在拥有敏感数据的组织中，针对性攻击是不可避免的。根据具体情况，有针对性的攻击可能涉及盗窃源代码，协商数据或一般业务中断。公司需要做好准备，以实施灾难恢复计划所需的相同工作来识别，响应和减轻目标攻击。凭借数十年的经验，以下核对清单可帮助组织准备和应对目标攻击。
在目标攻击之前：
1.集成和监控Internet出口点：应监控企业环境中与Internet的所有连接，以确定离开环境的信息。监控的退出点越少，检测潜在的恶意活动就越容易。
2.利用基于主机的检测：随着劳动力变得更加自动化，集中式网络入侵检测系统并非始终来自员工。计算机应使用端点保护来检测所有类型的活动，包括端点可见性，以了解服务器，台式机，笔记本电脑和可能在家工作的远程员工之间执行的每个命令。
3.实施分层管理模型：建议使用至少三个级别的管理来隔离凭据并防止泄露关键凭据。这些级别是域管理员，服务器管理员和工作站管理员。没有帐户可以访问所有系统。根据您的环境，有几种方法可以执行此操作。
4.最小化或删除本地管理权限：用户不应使用具有本地管理员权限的帐户，因为这会为目标攻击者创建多种方式来横向移动和销毁凭据。我们建议您禁用本地管理员帐户。其中，应禁用工作站和服务器上的本地管理员。
5.实施集中式和时间同步日志记录：DHCP，DNS，服务器事件日志，防火墙日志，IDS和代理日志都应存储在受时间同步且易于搜索的受保护的集中式系统中。
6.建立事件响应服务保留者：在您可能需要其服务来计划针对性攻击之前，评估事件响应公司。
7.识别，隔离和记录对关键数据的访问：识别最敏感数据的位置，并启用对其访问的记录和监控。
8.修补程序，修补程序和修补程序：修补操作系统和第三方应用程序是增强网络抵御目标攻击的最佳方法之一。应尽快安装重要的安全补丁。
9.审计报告要求：确定在发生安全漏洞时您负责的组织和客户，并提前准备文件和进行法律审查。
回应目标攻击：
1.不要断开连接：大多数目标攻击会在被发现之前持续数月到数年。当受损系统急于断开连接时，攻击者很可能会破坏其他系统以建立可能无法发现的其他形式的持久性。如果必须断开计算机连接，请确保在断开电源之前保留系统的取证图像。2.保留所有日志：验证是否正在保留所有基于主机的基于群集和基于网络的日志，以及是否维护关键服务器的备份。
3.建立带外通信渠道：假设您的网络受到完全攻击，攻击者可以阅读该电子邮件。
4.联系事件响应服务公司：这应该是您在上一个列表中建立了保留器的公司。
5.活动范围：进行网络取证；执行主机取证以确定已访问或受损的系统数量以及可能已访问的数据。
6.修复攻击：隔离关键系统；阻止访问命令和控制基础设施；删除并替换受感染的主机；在需要时执行凭证重置；评估其他措施，以改善环境。
7.报告：根据需要提供所需的报告，并确定是否有必要进行媒体报道。
每个环境都是独一无二的，需要额外的项目，具体取决于组织的目标和可能被利用的攻击类型。

• 上一篇: 蓝盟IT外包，元宇宙：四梁八柱是什么
  下一篇: 勒索攻击，如何在云中处理这种“破坏性”？

• 分享到：