首页。 / 资源 / 新闻及趋势 / 澳门赌场官方软件 / 2021 / 来自NIST的对抗apt的新想法

来自NIST的对抗apt的新想法

大卫交叉
作者: 大卫·克罗斯,CISSP, GCIH, GPEN, GWAPT, ISTQB
发表日期: 2021年10月19日

2021年带来了许多惊喜, 其中最重要的是网络攻击的规模和严重程度有所上升. 有人可能会把2021年称为勒索软件年, 然而,勒索软件不再仅仅是自动蠕虫. 现代高级持续性威胁(apt)使用复杂的手段攻击澳门赌场官方下载甚至关键基础设施,并留下勒索软件. apt会窃取或加密数据, 或者只是拿一份副本,连同勒索信和要求的比特币一起交给组织. 大多数澳门赌场官方下载没有手段或技术深度来应对民族国家大小的对手. 他们不仅缺乏工具和资源, 而且还提供了解释和过滤攻击场景的指导,以保护协议和可操作的安全控制. 帮助组织加强他们的保护, 美国国家标准与技术研究院(NIST)回应了这一呼吁,并在“如何使用本刊物部分:“增强的安全要求旨在应对高级持续性威胁(APT),并补充[SP 800-171]中的基本和派生安全要求。”.”1

而NIST特别出版物[SP] 800-171于2016年12月发布,并于2017年11月更新, 它的设计本质上是一般性的,几乎没有解决apt的增强威胁. NIST SP 800-172增强的安全要求建立在3个概念之上:防渗透架构, damage-limiting操作, 以及实现网络弹性生存能力的设计, 所有这些都基于NIST SP 800-171的基础.

保护数据免受apt攻击的关键是NIST SP 800-172中解释的一组具有启发性的概念:重定向, 排除, 阻碍, 限制和暴露. 该指南的新颖之处在于,它承认安全团队不可能总是阻止APT, 但它们会让民族国家行为体的事情变得非常困难, 揭露他们并提供策略, 流程, 并归因,以帮助其他澳门赌场官方下载识别攻击方法,加快其响应时间.

该指南的新颖之处在于,它承认安全团队不可能总是阻止APT, 但它们会让民族国家行为体的事情变得非常困难.

第二节.SP 800-172的第3部分描述了系统组件和业务之间的信任关系, 在决定将哪些增强的需求应用于组织时,应考虑机构的需求. NIST表示:“我们并不期望所有的增强安全要求都会被每个联邦机构选择.”2 世界各地的网络安全专家都将欣赏一个可选的合规指导标准,甚至可以激发创造力. NIST更进一步, 注意到其建议的某些方面可能费用过高,而且, 因此, 不是每个人都能做到的, 这是对商业和网络领导者所经历的现实的一种令人耳目一新的认可. 读数SP 800-172, 你会感觉到,这份文件是由一群聪明的人写出来的,他们务实地承担了解决令人沮丧的apt的艰巨任务.

NIST为对抗apt概述的有趣关键概念大致可以解释为:3

  • 策划威胁情报,并超越阅读新闻媒体的报道
  • 使用旨在发现包括人工智能(AI)在内的可疑活动的工具进行威胁搜索
  • 24/7系统监控和安全管理,可能通过第三方
  • 使用软件即服务加强IT基础设施和平台,以帮助降低风险
  • 利用apt进行威胁、脆弱性和风险评估
  • 实施超出基本的响应和恢复实践
  • 提高网络弹性,更好地发现欺骗行为

虽然SP 800-172中的许多建议都是基本的, 其中隐藏着一些有趣的想法,比如:4

  • 使用自动化来检测错误配置
  • 自动轮换凭证和密钥, 并使用具有轮换功能的密码管理器或特权帐户管理(PAM)产品
  • 在使用网络访问控制(Network Access Control)或交换散列或配置签名等低技术选项进行连接之前,验证系统是否正确配置的信任
  • 考虑建立一个事件响应小组或与第三方签约一个随叫随到的小组
  • 管理安全运营中心(SOC)运营,帮助实现24/7覆盖
  • 进行物理安全评估和网络安全评估
  • 应用预测分析
  • 使用第三方子组件监控供应链风险,并制定供应链风险后备计划,以便在其中一个失败时提供保护
  • 组织一个模拟APT的桌面练习. 一些顶级公司提供这项服务. 结果可能会有所不同,但这是一个新颖的想法.

第三节.13.3e5 通过接受一个有争议的概念:广受诟病的欺骗概念,在网络安全领域做一些不正常的事情吗. 人们通常认为混淆是没有意义的, 真正的安全意味着能够在不被黑客攻击或逆转的情况下暴露信息. 这可能是一种过时的思维方式, 然而, 考虑到澳门赌场官方下载在2021年面临的巨大威胁. SP 800-172打开了一扇门,允许欺骗操作成为网络安全的合法方面. 这并不是说应该使用混淆来代替加密, 相反,蜜罐和沙盒可以用来减缓攻击者, 并观察或分析恶意行为者, 甚至可能使用植入的数据来跟踪文件或提供错误信息作为误导攻击者的策略.

富有洞察力的SP 800-172提出了额外的开创性建议, 提出零信任概念,隔离而不是连接网络, 以及自动刷新基础设施即代码版本,以迫使对手在虚拟机(vm)或容器中建立任何数字立足点. NIST甚至提出了物联网(IOT)的主题。, 考虑到许多组织正在整合智能白板, 电器, 以及类似亚马逊alexa的设备, 并建议组织注意物联网部署及其如果不更新所带来的危险.

整体, SP 800-172是一个有趣的声音读物, 然而,基于网络专业人士所了解和喜爱的安全基础知识的进步理念, 混合了一些前沿的概念,可能会激发新的想法. 应用SP 800-172中的概念可以帮助保护澳门赌场官方下载系统,无论组织的规模或预算如何. 当安全从业者正在制定对抗复杂攻击者的作战计划时, SP 800-172将帮助拨入APT安全策略.

尾注

1 美国国家标准与技术研究院, 特别出版物(SP) 800-172, 保护受控非机密信息的增强安全要求:NIST SP 800-171的补充,美国,2021年2月
2 同前.
3 同前.
 4 同前.
5 同前.

大卫·克罗斯,CISSP, GCIH, GPEN, GWAPT, ISTQB

黑客和首席安全架构师是什么 亨利·沙因一号. 他从开发部门转到安全部门, 他在哪里创建了包括基于神经网络的成本预测系统在内的应用程序, 文件识别和紧急医疗管理系统. 他喜欢在安全会议上发言并为澳门赌场官方下载服务. 他是犹他证券公司和网络安全合作论坛的董事会成员, 他还曾担任InfraGard的总裁. 当他不保护系统的时候, 支持策略或自动化安全控制, 他正在编写基于语音自动化人工智能(AI)的黑客软件, 为黑客工具做出贡献, 对未来的猜测,或者宣扬人工智能在安全领域的应用.