方案整合才是防禦 APT 攻擊的最佳方法

企業防禦方案面對進階持續威脅(APT)時，明顯力有不遞，令企業往往在一段很長時間後才發現，然而期間已足夠令黑客玩過樂此不疲。究竟在一個又一個強勁的 APT 陰謀發生前，企業如何進行有效的 APT 免疫呢?

很多企業的做法是增加更多的安全工具到數據庫來保護企業的資料，包括在雲中、內部系統以及流動設備中的資料。其實這令問題變得複雜化，當太多工具而你無法清楚瞭解其保護範圍，這只會是一種浪費。傳統Antivirus清除惡意軟體，Firewall來阻攔攻擊者，還有DLP、IPS等其他解決方案，這些方案雖然強大，但這些方案並不懂得智慧地相互交換、通信。由於它們各自獨立執行，缺乏真正的融合，而多套方案之下，要找出漏洞亦更容易，令黑客有機可乘。

難測針對性攻擊

針對性攻擊的威脅最大，因為每項攻擊都是獨特而且數量少，保安系統未必能分辦出來，加上 APT 不就是針對著目標保安盲點而來的嗎？因此對於真正的 APT 威脅防護，大家可考慮以下四點：

1. 預防是根本

傳統預防並沒有奏效，因為使用的Firewall和Antivirus主要依賴基於已知病毒數據庫來對比，哪麼未定義的新風險出現時，還未有patch企業已經被攻擊了。三年前大家都意識到由新風險出現到有解決方案時的延時期間，所以近年新開發的方案都有預防技術，這些技術採用行為檢測、深度檢測以及新的內嵌阻攔方法。當結合安全智慧檢測，它們會變得更加有效。

2. 智慧型安全

資料是網路罪犯的主要目標，big data是解決下一代資訊安全問題的良藥。Big data防禦方案優勢在於收集資訊並即時分析預測攻擊，讓保安人員比潛在的攻擊者更快反應，未化大先化解。通過分析工作，企業限制並可篩選海量資料來發現隱藏的關係、發現攻擊模式、阻止安全威脅，以及優先排序補救工作。情報有效的收集，並從中攝取大量資料，以及應用行為分析來實際確定洩漏事故可能發生的時間。

3. 安全整合保護

現時很多企業已經部署了幾十個終端產品來保護每個領域，如何管理及控制所有系統的權限變得複雜。安全情報工具可以跨領域和於各工具間提供分析儀錶板，這是整合的第一步。整合的真正目標是，所有安全工具可以協調工作來阻止攻擊。例如，特權用戶的異常行為會觸發警報，讓你可以阻止該網段訪問；或者，流動裝置上出現惡意軟體可以讓停止對顧客的身份驗證；或者在應用程式中檢測到漏洞會讓你阻止網路中對這個漏洞的使用，這些都是安全整合的例子。

4. 開放性很重要

企業需要能夠整合所有安全技術共用資訊和自動化反應行動，這些安全方案須覆蓋流動和雲運算的安全，以提供傳統IT環境相同水準的安全性。隨著企業部署新項目，安全性就可以在開始時已納入，開發過程即時控制和更改應用程式加入許可權和身份驗證過程。

上面這四個點說明安全性並不只是關於「一刻的預防」，還應該將安全看作是一種免疫系統，可以通過成熟的預測分析變得更強，與攻擊者同步進化，並提供企業風險範圍的藍圖，最終能更輕鬆的部署新服務。