怎么预备和应对目标攻击
公司需求做好预备,以施行灾祸康复方案所需的相同努力来辨认,呼应和缓解目标攻击。凭借数十年的经历,以下清单,以协助安排预备和应对目标攻击。
在具有敏感数据的安排中,有针对性的攻击是不可避免的。根据详细情况,有针对性的攻击或许涉及盗窃源代码,洽谈数据或一般业务中止。公司需求做好预备,以施行灾祸康复方案所需的相同努力 来辨认,呼应和缓解目标攻击。凭借数十年的经历,以下清单,以协助安排预备和应对目标攻击。
在目标攻击之前:
1. 整合和监控Internet出口点:应监控企业环境中与Internet的一切衔接,以确认哪些信息正在脱离环境。监控的出口点越少,检测潜在歹意活动就越容易。
2. 使用根据主机的检测:随着劳动力变得更加自动化,集中式网络入侵检测体系并非总是来自职工。计算机应使用端点维护来检测一切类型的活动,包含端点可见性,以了解在效劳器,台式机,笔 记本电脑以及或许在家工作的长途职工之间履行的每个指令。
3. 施行分层办理模型:主张使用至少三个等级的办理来阻隔凭证并避免要害凭证的泄露。这些等级是域办理员,效劳器办理员和工作站办理员。没有一个帐户能够拜访一切体系。根据您的环境,有 几种方法能够完成此意图。
4. 小化或删除本地办理权限:用户不该使用具有本地办理员权限的,由于这会为目标攻击者创建多种方式来横向移动并破坏凭证。我们主张禁用本地办理员帐户。在其间,应禁用工作站和服 务器上的本地办理员。
5. 施行集中式和时刻同步日志记载:DHCP,DNS,效劳器事情日志,防火墙日志,IDS和代理日志都应存储在受时刻同步且易于查找的受维护集中式体系中。
6. 树立事情呼应效劳保存器:在您或许需求其效劳之前评估事情呼应公司,以便在发生针对性攻击时制定方案。
7. 辨认,阻隔和记载对要害数据的拜访:确认敏感数据的方位,并完成对其拜访的记载和监控。
8. 修补程序,修补程序和修补程序:修补操作体系和第三方应用程序是加强网络抵挡目标攻击的佳方法之一。应赶快装置重要的安全补丁。
9. 审核陈述要求:确认在发生安全漏洞时您有责任通知哪些安排和客户,并提前预备文档并进行法律审核。
应对目标攻击:
1. 不要断开衔接:大多数目标攻击会在被发现之前持续数月到数年。当受损体系匆忙断开衔接时,攻击者极有或许会破坏其他体系以树立或许未被发现的其他形式的持久性。假如必须断开计算机, 请确保在断开电源之前保存体系的取证图画。
2. 保存一切日志:验证是否正在保存一切根据主机的根据群集的日志和根据网络的日志,以及是否维护要害效劳器的备份。
3. 树立带外通信通道:假设您的网络完全遭到攻击,攻击者能够阅读电子邮件。
4. 联系事情呼应效劳公司:这应该是您已在上一个清单中树立了保存者的公司。
5. 事情规模:进行网络取证; 履行主机取证以确认已拜访或受损的体系数量以及或许已拜访的数据。
6. 修复攻击:阻隔要害体系; 阻止对指令和操控基础设施的拜访; 删除并替换受的主机; 在需求时履行凭证重置; 评估其他措施以加强环境。
7. 陈述:根据要求提供所需的陈述,并确认是否有必要进行媒体陈述。
每个环境都是的,并且需求额外的项目,详细取决于安排的方针以及或许使用的攻击类型。
在具有敏感数据的安排中,有针对性的攻击是不可避免的。根据详细情况,有针对性的攻击或许涉及盗窃源代码,洽谈数据或一般业务中止。公司需求做好预备,以施行灾祸康复方案所需的相同努力 来辨认,呼应和缓解目标攻击。凭借数十年的经历,以下清单,以协助安排预备和应对目标攻击。
在目标攻击之前:
1. 整合和监控Internet出口点:应监控企业环境中与Internet的一切衔接,以确认哪些信息正在脱离环境。监控的出口点越少,检测潜在歹意活动就越容易。
2. 使用根据主机的检测:随着劳动力变得更加自动化,集中式网络入侵检测体系并非总是来自职工。计算机应使用端点维护来检测一切类型的活动,包含端点可见性,以了解在效劳器,台式机,笔 记本电脑以及或许在家工作的长途职工之间履行的每个指令。
3. 施行分层办理模型:主张使用至少三个等级的办理来阻隔凭证并避免要害凭证的泄露。这些等级是域办理员,效劳器办理员和工作站办理员。没有一个帐户能够拜访一切体系。根据您的环境,有 几种方法能够完成此意图。
4. 小化或删除本地办理权限:用户不该使用具有本地办理员权限的,由于这会为目标攻击者创建多种方式来横向移动并破坏凭证。我们主张禁用本地办理员帐户。在其间,应禁用工作站和服 务器上的本地办理员。
5. 施行集中式和时刻同步日志记载:DHCP,DNS,效劳器事情日志,防火墙日志,IDS和代理日志都应存储在受时刻同步且易于查找的受维护集中式体系中。
6. 树立事情呼应效劳保存器:在您或许需求其效劳之前评估事情呼应公司,以便在发生针对性攻击时制定方案。
7. 辨认,阻隔和记载对要害数据的拜访:确认敏感数据的方位,并完成对其拜访的记载和监控。
8. 修补程序,修补程序和修补程序:修补操作体系和第三方应用程序是加强网络抵挡目标攻击的佳方法之一。应赶快装置重要的安全补丁。
9. 审核陈述要求:确认在发生安全漏洞时您有责任通知哪些安排和客户,并提前预备文档并进行法律审核。
应对目标攻击:
1. 不要断开衔接:大多数目标攻击会在被发现之前持续数月到数年。当受损体系匆忙断开衔接时,攻击者极有或许会破坏其他体系以树立或许未被发现的其他形式的持久性。假如必须断开计算机, 请确保在断开电源之前保存体系的取证图画。
2. 保存一切日志:验证是否正在保存一切根据主机的根据群集的日志和根据网络的日志,以及是否维护要害效劳器的备份。
3. 树立带外通信通道:假设您的网络完全遭到攻击,攻击者能够阅读电子邮件。
4. 联系事情呼应效劳公司:这应该是您已在上一个清单中树立了保存者的公司。
5. 事情规模:进行网络取证; 履行主机取证以确认已拜访或受损的体系数量以及或许已拜访的数据。
6. 修复攻击:阻隔要害体系; 阻止对指令和操控基础设施的拜访; 删除并替换受的主机; 在需求时履行凭证重置; 评估其他措施以加强环境。
7. 陈述:根据要求提供所需的陈述,并确认是否有必要进行媒体陈述。
每个环境都是的,并且需求额外的项目,详细取决于安排的方针以及或许使用的攻击类型。
