對於應對目標攻擊前的準備

公司須要作好準備，以實施災難恢復計劃所需的相同努力來識別，響應和緩解目標攻擊。憑藉數十年的經驗，如下清單，以幫助組織準備和應對目標攻擊。

在具備敏感數據的組織中，有針對性的攻擊是不可避免的。根據具體狀況，有針對性的攻擊可能涉及盜竊源代碼，協商數據或通常業務中斷。公司須要作好準備，以實施災難恢復計劃所需的相同努力來識別，響應和緩解目標攻擊。憑藉數十年的經驗，如下清單，以幫助組織準備和應對目標攻擊。

在目標攻擊以前：

1. 整合和監控Internet出口點：應監控企業環境中與Internet的全部鏈接，以肯定哪些信息正在離開環境。監控的出口點越少，檢測潛在惡意活動就越容易。
2. 利用基於主機的檢測：隨着勞動力變得更加自動化，集中式網絡入侵檢測系統並不是老是來自員工。計算機應利用端點保護來檢測全部類型的活動，包括端點可見性，以瞭解在服務器，臺式機，筆記本電腦以及可能在家工做的遠程員工之間執行的每一個命令。
3. 實施分層管理模型：建議使用至少三個級別的管理來隔離憑據並防止關鍵憑據的泄露。這些級別是域管理員，服務器管理員和工做站管理員。沒有一個賬戶能夠訪問全部系統。根據您的環境，有幾種方法能夠實現此目的。
4. 最小化或刪除本地管理權限：用戶不該使用具備本地管理員權限的帳號，由於這會爲目標攻擊者建立多種方式來橫向移動並破壞憑據。咱們建議禁用本地管理員賬戶。在其中，應禁用工做站和服務器上的本地管理員。
5. 實施集中式和時間同步日誌記錄：DHCP，DNS，服務器事件日誌，防火牆日誌，IDS和代理日誌都應存儲在受時間同步且易於搜索的受保護集中式系統中。
6. 創建事件響應服務保留器：在您可能須要其服務以前評估事件響應公司，以便在發生針對性攻擊時制定計劃。
7. 識別，隔離和記錄對關鍵數據的訪問：肯定最敏感數據的位置，並實現對其訪問的記錄和監控。
8. 修補程序，修補程序和修補程序：修補操做系統和第三方應用程序是增強網絡抵禦目標攻擊的最佳方法之一。應儘快安裝重要的安全補丁。
9. 審覈報告要求：肯定在發生安全漏洞時您有責任通知哪些組織和客戶，並提早準備文檔並進行法律審覈。

應對目標攻擊：

1. 不要斷開鏈接：大多數目標攻擊會在被發現以前持續數月到數年。當受損系統匆忙斷開鏈接時，攻擊者極有可能會破壞其餘系統以創建可能未被發現的其餘形式的持久性。若是必須斷開計算機，請確保在斷開電源以前保留系統的取證圖像。
2. 保留全部日誌：驗證是否正在保留全部基於主機的基於羣集的日誌和基於網絡的日誌，以及是否維護關鍵服務器的備份。
3. 創建帶外通訊通道：假設您的網絡徹底受到攻擊，攻擊者能夠閱讀電子郵件。
4. 聯繫事件響應服務公司：這應該是您已在上一個清單中創建了保留者的公司。
5. 事件範圍：進行網絡取證; 執行主機取證以肯定已訪問或受損的系統數量以及可能已訪問的數據。
6. 修復攻擊：隔離關鍵系統; 阻止對命令和控制基礎設施的訪問; 刪除並替換受感染的主機; 在須要時執行憑據重置; 評估其餘措施以增強環境。
7. 報告：根據要求提供所需的報告，並肯定是否有必要進行媒體報告。
每一個環境都是獨一無二的，而且須要額外的項目，具體取決於組織的目標以及可能利用的攻擊類型。