趋势与观点 | NIST对抗APT攻击的新理念

2021年发生了许多不寻常的事情,其中最重要的是网络攻击的规模和严重程度的上升。人们可能会想将2021年称为勒索软件年,但勒索软件不再仅仅是自动化蠕虫病毒。现代高级持续威胁(APT)使用复杂的手段攻击企业甚至关键基础设施,并植入勒索软件。APT会窃取或加密数据,哪怕仅仅是拷贝数据,然后将勒索通知和勒索的比特币数量发给被勒索的组织。大多数企业不具备应对国家级对手的手段或技术深度。他们不仅缺乏工具和资源,而且缺乏解读和过滤攻击场景对应的保护协议和可操作的安全控制的指导。为了帮助组织加强保护,美国国家标准与技术研究院 (NIST) 已响应号召,并在相关标准“如何使用本出版物”部分中指出:“增强的安全要求旨在应对先进的持续威胁 (APT) 并补充 [SP 800-171] 中的基本和扩展安全要求。”

虽然NIST特别出版物[SP] 800-171于2016年12月发布,并于2017年11月更新,但它的设计是通用性的,在应对APT的增强威胁方面收效甚微。而NIST SP 800-172增强的安全需求建立在3个概念之上:抗渗透架构、损害限制操作和实现网络弹性生存能力的设计,所有这些都基于NIST SP 800-171。

保护数据不受APTs影响的关键是NIST SP 800-172中解释的一组具有启示性的概念:重定向、排除、阻碍、限制和暴露。该指南的新颖之处在于承认安全团队不能总是阻止APT,但他们可以使国家级对手的行事变得非常困难,暴露他们,并提供战术、流程和归因,以帮助其他企业识别攻击方法,加快他们的响应时间。

SP 800-172第2.3节描述了在决定向组织应用哪些增强需求时,如何考虑系统组件和业务或机构需求之间的信任关系。NIST表示:“我们并不期望所有加强的安全要求都将由每个联邦机构选择。²任何地方的网络安全专家都会喜欢一个可选的、甚至可以激发创造力的合规指导标准。NIST进一步指出,其建议的某些方面可能成本高昂,因此不可能对所有人都适用,这是对商业和网络领袖经历的现实的一种令人耳目一新的认可。阅读SP 800-172,你会有这样一种感觉:这份文档是由一些聪明的人编写的,他们对解决令人沮丧的APT的艰巨任务采取了务实的态度。

NIST为对抗APT概述的有趣的关键概念大致可以解释为: ³

  • 策划威胁情报而不仅仅是阅读新闻媒体的报道

  • 使用旨在发现包括人工智能(AI)在内的可疑活动的工具进行威胁追踪

  • 7*24小时系统监控和安全管理,可能通过第三方来实现

  • 利用软件即服务加强IT基础设施和平台,帮助降低风险

  • 针对APT进行威胁、脆弱性和风险评估

  • 在基础之上实施应对和恢复措施

  • 提高网络弹性,更好地检测欺骗

虽然SP 800-172中的许多建议都是基本的,但其中隐藏着一些有趣的想法,例如: ⁴

  • 采用自动化检测错误配置

  • 自动轮换凭证和密钥,并使用具有轮换功能的密码管理器或特权帐户管理(PAM)产品

  • 在使用网络访问控制或低技术选项(如交换哈希值或配置签名)连接之前,验证系统是否正确配置

  • 考虑建立一个事件响应团队或从第三方承包一个随时待命的团队

  • 管理安全运营中心(SOC)运营,帮助实现7*24小时覆盖

  • 进行物理安全评估和网络安全评估

  • 应用预测分析

  • 监控与第三方子组件的供应链风险,并制定供应链风险灾备计划,以在其中一个失败时提供保护

  • 组织一个模拟APT的桌面演练。一些顶级公司提供这种服务。结果可能不同,但这是一个新颖的想法。

第3.13.3e节在网络安全方面做了一些超出常规的事情,它接受了一个有争议的概念:广受诟病的欺骗概念。人们通常认为混淆是没有意义的,真正的安全意味着能够在不被黑客攻击或逆转的情况下暴露。然而,考虑到2021年组织面临的威胁的严重性,这可能是一种过时的思维方式。SP 800-172让欺骗行动成为网络安全的一个合法方面。这并不是说,每个人都应该使用混淆技术替代加密,而是蜂蜜罐子和沙箱可以用来减缓攻击者,并观察或分析恶意的行动者,甚至使用植入数据跟踪文档或提供错误信息作为误导攻击者的策略。

富有洞察力的 SP 800-172 提出了额外的突破性建议,提出了零信任概念和隔离而不是连接不同的网络,以及自动刷新基础设施即代码发布,以迫使对手在虚拟机 (VM) 或容器中建立的任何数字立足点。NIST 甚至提出了物联网 (IOT) 的主题,因为许多组织正在将智能白板、设备和类似 Amazon Alexa 的设备集成到他们的办公室中,并建议组织注意物联网部署以及如果不进行更新将带来的危险。

总的来说,SP800-172是一本有趣的读物,它是基于网络专业人员所了解和喜爱的安全基础知识,并融合了一些可能激发新想法的前沿概念。无论组织的规模或预算如何,应用SP 800-172中的概念可以帮助确保企业系统的安全。当安全从业人员正在制定对抗复杂攻击者的作战计划时,SP 800-172将有助于调整APT安全策略。

NIST SP 800-172下载链接:

https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-172.pdf
 

编者注:本文首次发表于2021年10月19日ISACA官网News and Trends/Industry News。尾注略。文章内容仅代表作者本人观点。
作者:David Cross, CISSP, GCIH, GPEN, GWAPT, ISTQB,是 Henry Schein One 的黑客和首席安全架构师。他是 UtahSec 和网络安全协作论坛的董事,还担任过 InfraGard 的总裁。
翻译:谭辰菲(William Tan),CISSP,CISA,CDPSE,CRISC, ISACA微信公众号特邀通讯员,德国商业银行信息安全经理
校对:尹杭宇,CISM,PMP, ISACA微信公众号特邀通讯员。