如果大家希望了解哪些網(wǎng)絡(luò)防御方案具備實(shí)際效果,而哪些只是對(duì)金錢與資源的浪費(fèi),那么不妨聽(tīng)聽(tīng)黑客們的意見(jiàn)。很明顯,Nuix的研究人員們采取的正是這樣一種評(píng)判方式。
Nuix公司在最近發(fā)布的報(bào)告中指出,“在2016年召開(kāi)的BlackHat黑帽美國(guó)大會(huì)與DEF CON 24上,我們針對(duì)已知黑客人員(專業(yè)術(shù)語(yǔ)稱為滲透測(cè)試人員)進(jìn)行了一番調(diào)查,旨在了解其使用的攻擊方法、偏好選擇的漏洞以及在實(shí)際操作中發(fā)現(xiàn)哪些防御措施最具成效等問(wèn)題。”
結(jié)論匯總黑客們針對(duì)上述問(wèn)題給出了如下回應(yīng):
· 在入侵系統(tǒng)時(shí),黑客們最為偏好的方法為直接服務(wù)器攻擊(43%),其后為釣魚(yú)攻擊(40%)。引導(dǎo)與水坑攻擊則分別得到了黑客人員9%的支持率。
· 60%受訪黑客使用開(kāi)源工具,21%使用自己的定制化工具,而只有10%使用商用工具。5%選擇使用自有漏洞利用工具,3%則使用漏洞利用軟件包。
· 84%的受訪黑客利用社交工程方式獲取目標(biāo)相關(guān)信息,86%受訪者利用安全漏洞掃描方式以了解目標(biāo)系統(tǒng)中的潛在漏洞。
· 33%的受訪者表示其攻擊目標(biāo)的內(nèi)部安全團(tuán)隊(duì)永遠(yuǎn)不會(huì)發(fā)現(xiàn)相關(guān)系統(tǒng)入侵跡象。
· 半數(shù)受訪者每一次都會(huì)改變具體攻擊方法,而不加改變的受訪者則大多認(rèn)為原有方法已經(jīng)無(wú)法奏效,因此轉(zhuǎn)而嘗試學(xué)習(xí)新型技術(shù)旨在降低噪音并提升速度。
幾乎四分之三的受訪者宣稱他們能夠在12小時(shí)之內(nèi)成功完成目標(biāo)入侵; 其中28%需要6到12小時(shí),而高達(dá)43%的受訪者表示完全能夠在6小時(shí)之內(nèi)找到入侵途徑。
研究人員指出:“可怕的是,有17%受訪者表示其能夠在2個(gè)小時(shí)之內(nèi)入侵一套系統(tǒng)。實(shí)際上,防御一方幾乎不可能在2個(gè)小時(shí)之內(nèi)對(duì)攻擊活動(dòng)擁有充足了解,更遑論采取任何形式的防御措施。這些數(shù)字強(qiáng)調(diào)了建立一支訓(xùn)練有素的應(yīng)對(duì)團(tuán)隊(duì),并負(fù)責(zé)利用尖端技術(shù)進(jìn)行主動(dòng)威脅監(jiān)控的重要意義。”
社交工程在攻擊活動(dòng)的偵察階段,84%的受訪者會(huì)利用社交工程中的某些手段收集與攻擊目標(biāo)相關(guān)的信息。只有16%的受訪者表示其從未采用過(guò)這樣一種攻擊方式。
值得著重強(qiáng)調(diào)的是,目前還沒(méi)有任何安全控制方案能夠完全緩解或者預(yù)防社交工程攻擊。也可能正因?yàn)槿绱?,大多?shù)受訪者才傾向于利用這種方法收集與攻擊目標(biāo)相關(guān)的數(shù)據(jù)。應(yīng)對(duì)社交工程攻擊的惟一可行方式,在于對(duì)內(nèi)部員工進(jìn)行培訓(xùn)以確保其了解自身可能面臨哪些攻擊活動(dòng)、如何加以應(yīng)對(duì)以及為何如此應(yīng)對(duì),同時(shí)讓每個(gè)人皆認(rèn)真思考自己能夠在潛在的攻擊應(yīng)對(duì)當(dāng)中發(fā)揮哪些作用。
可以采用哪些技術(shù)與方案阻止攻擊者?入侵檢測(cè)/預(yù)防系統(tǒng)以及端點(diǎn)安全解決方案成為受訪黑客眼中最大的挑戰(zhàn)所在(分別占比29%與23%)。防火墻占比為10%,而反病毒軟件則占比2%。
根據(jù)受訪者們的觀點(diǎn),企業(yè)應(yīng)當(dāng)在IDS/IDP系統(tǒng)、數(shù)據(jù)衛(wèi)生/信息治理解決方案以及滲透測(cè)試領(lǐng)域著重進(jìn)行投資。另外,大多數(shù)受訪者認(rèn)為員工教育、面向明確目標(biāo)的滲透測(cè)試以及安全漏洞掃描應(yīng)當(dāng)成為網(wǎng)絡(luò)攻擊預(yù)防層面最為重要的安全舉措。
如果有機(jī)會(huì)與安全決策制定者們進(jìn)行交流,受訪者認(rèn)為其會(huì)提出培訓(xùn)員工、尋求合適人才與技術(shù)組合同時(shí)默認(rèn)假設(shè)人類操作必然引發(fā)問(wèn)題(并應(yīng)選擇能夠保護(hù)用戶免受危害的技術(shù)解決方案)等相關(guān)建議。而他們給企業(yè)董事會(huì)提供的總結(jié)性意見(jiàn)為:認(rèn)真對(duì)待安全事務(wù),加大投資并允許安全專業(yè)人員全權(quán)處理這方面工作。