该如何防御高级持续威胁？

伏的迹象

APT的运行是秘密的，因此组织可能甚至在真正出问题之前都没有意识到它们已被破坏。例如，InfoTrax Systems在其服务器的存储空间已用完之后，只能检测到长达数年的漏洞。

IT团队必须注意APT可能潜伏在网络中的迹象。

一些明显的迹象：

• 过多的登录 -APT通常依赖于受到破坏的访问凭据来获得对网络的常规访问。他们可以使用登录名和密码凭据转储进行暴力破解尝试，也可以使用从社会工程学和网络钓鱼攻击中窃取的合法凭据进行暴力破解。过多或可疑的登录活动(尤其是在奇数小时)通常归因于APT。
• 恶意软件爆炸 -APT还使用各种恶意软件来执行其黑客攻击。因此，如果防病毒工具经常检测并删除恶意软件，则APT可能会将木马和远程访问工具不断植入网络。
• 计算资源的使用增加-威胁者还必须使用网络的计算资源来进行攻击。活动的恶意软件将使用端点内的计算能力和内存。黑客还可能将其窃取的数据临时存储在服务器中。泄露大量数据也将显示为过多的传出流量。

加强监控

发现这些迹象并非易事，因此IT团队必须积极寻找这些迹象。幸运的是，现代安全解决方案现在提供了使IT团队能够监视APT潜在存在及其活动的功能。

日志分析-日志可以准确显示设备，系统和应用程序中发生的各种活动，事件和任务。浏览日志通常是无格式的纯文本格式。

为了帮助IT团队对信息进行分类，高级日志分析工具现在提供了可以在所有IT基础架构组件中搜索模式的算法。

例如，日志管理和分析解决方案XpoLog，可以合并跨各种基础架构组件的所有日志。Xpolog可以自动分析和标记这些日志文件中包含的信息。

然后，使用人工智能(AI)，Xpolog可以识别异常模式并生成见解，包括那些表明安全问题的见解。

诸如带宽使用，登录会话，网络流量的地理分布之类的信息都可以用来揭示威胁的存在。所有数据甚至都可以可视化，以便于演示和查看。

必须改进防御

（编辑：阜阳站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!