企業(yè)與黑客攻擊 就是一場軍備競賽

責(zé)任編輯:editor005

作者:nana

2016-07-25 15:26:26

摘自:安全牛

攻擊者只需要找到一個(gè)漏洞就能登堂入室,安全從業(yè)者卻必須知曉、修復(fù)和防護(hù)每一個(gè)漏洞。這些白帽子黑客可以幫助企業(yè)堵住漏洞循環(huán),響應(yīng)并控制攻擊,在與網(wǎng)絡(luò)犯罪的戰(zhàn)爭中保持積極主動。

破壞總是比建設(shè)容易,傷害必然比愈合簡單。攻擊者潛入地下小心準(zhǔn)確地突破企業(yè)防線,扎根數(shù)據(jù)存儲不斷吸取重要信息,獲取巨大經(jīng)濟(jì)利益,也總是比企業(yè)構(gòu)筑防線要容易得多。

企業(yè)與網(wǎng)絡(luò)罪犯之間拼的就是軍備。就算不妄想扭轉(zhuǎn)局勢占據(jù)上風(fēng),僅僅維持現(xiàn)狀,公司就必須時(shí)常構(gòu)筑防線。

通過分析深網(wǎng)、駐留時(shí)間,以及二者在網(wǎng)絡(luò)安全勢力平衡中的角色,可以得出:想要更好地武裝企業(yè)人員,可以采取雇用黑客和提升員工社工/網(wǎng)絡(luò)釣魚培訓(xùn)有效性等防御行動。

一、深網(wǎng)黑暗面

出于安全或隱私等多種原因,深網(wǎng)站點(diǎn)主人不在目錄和搜索引擎里索引他們的網(wǎng)頁屬性。深網(wǎng)論壇的犯罪黑客也規(guī)避網(wǎng)頁爬蟲機(jī)器人以最小化人們對他們不法行動的感知。(人們通常會把深網(wǎng)的這個(gè)部分與常被稱作暗網(wǎng)的地下網(wǎng)絡(luò)相混淆。)

犯罪黑客使用深網(wǎng)進(jìn)行隱秘會談喝防御性惡意軟件的交易。“他們在深網(wǎng)上通過網(wǎng)絡(luò)協(xié)議加密通信,交易黑客工具包進(jìn)行騷擾性攻擊以掩蓋真實(shí)攻擊。”美國倫斯勒理工學(xué)院數(shù)據(jù)探索與應(yīng)用研究所所長詹姆斯·亨徳勒教授說道。

網(wǎng)絡(luò)暴徒使用最新漏洞利用包、APT方法和零日漏洞等威脅構(gòu)造真實(shí)攻擊,這些威脅被他們深度保密起來,企業(yè)無從知曉,也就無法組織有效防御。最新的攻擊往往不在深網(wǎng)發(fā)生,因?yàn)楣粽卟辉敢夤蚕磉@些信息。比如說,勒索軟件就是極端復(fù)雜的惡意軟件,而這些網(wǎng)絡(luò)罪犯竭盡全力掩蓋其來源。

深網(wǎng)還是攻擊者售賣盜取信息的市場,這些被盜信息中包括了用戶網(wǎng)上日常習(xí)慣和憑證等。犯罪黑客交易的數(shù)據(jù)涉及誰在用哪家銀行、他們的電子郵件如何行文等,這樣罪犯就不僅僅能在那家銀行,還能在任何使用同一用戶名和密碼的場合假扮該用戶。

攻擊者只需要找到一個(gè)漏洞就能登堂入室,安全從業(yè)者卻必須知曉、修復(fù)和防護(hù)每一個(gè)漏洞。

除了深網(wǎng),任何加密機(jī)制都能被犯罪黑客用以進(jìn)行通信,比如加密電話、即時(shí)通訊/非官方通訊(OTR)和密碼。“密碼有可能是明文文本形式,但又不直接顯示誰被黑了或者何時(shí)被黑了。目標(biāo)/受害者,以及攻擊所用的載荷類型都會有自己的代碼名稱。犯罪黑客會使用這些神秘的代碼交流。”亞速爾網(wǎng)絡(luò)安全公司CEO查爾斯·騰德爾說。

攻擊者還會以用過量信息淹沒信道的方式相互聯(lián)系,讓其他人無法從巨量信息中鑒別出有用的部分。“除非你知道自己想找的是什么,否則你完全找不到什么合法交談。”

二、攻擊者是如何獲得駐留時(shí)間的

地下網(wǎng)絡(luò)犯罪早已積累了眾多可用的被盜信息,任何網(wǎng)絡(luò)暴徒都能隨意取用各種各樣的個(gè)人身份信息(PII)和登錄憑證,訪問更多的系統(tǒng),盜取更多憑證,然后從新的企業(yè)受害者身上搜刮可賣數(shù)據(jù)。

犯罪黑客可以去大型數(shù)據(jù)轉(zhuǎn)儲網(wǎng)站,輸入用戶名,然后找出那個(gè)人是否在被盜數(shù)據(jù)庫中或是某場數(shù)據(jù)泄露事件的一部分。由于人們通常會重用口令,如果受害者沒有修過口令,攻擊者還能用這些憑證登錄其他更多網(wǎng)站,得到更多信息。

攻擊者還能很容易地在物聯(lián)網(wǎng)上找到可供他們最終登入企業(yè)的漏洞。犯罪黑客利用Shodan之類聯(lián)網(wǎng)設(shè)備搜索引擎來查詢地理位置和IP地址信息,搜尋哪些地方是脆弱點(diǎn)可供利用的。

手握大量漏洞和脆弱點(diǎn),攻擊者便可靈活應(yīng)用零日、黑客工具包、惡意軟件、加密通信、被盜憑證等維持駐留時(shí)間,在有人阻止他們之前盡可能多地滲漏出大多數(shù)數(shù)據(jù)。攻擊者要么一次偷運(yùn)一點(diǎn)點(diǎn)數(shù)據(jù)以便不被發(fā)現(xiàn),要么將數(shù)據(jù)緩存在企業(yè)內(nèi)部其他地方更長時(shí)間再一次性秘密駝出來。無論哪種方式,攻擊者都收獲頗豐。

三、網(wǎng)絡(luò)安全實(shí)力的平衡轉(zhuǎn)變

犯罪黑客和安全人士之間的實(shí)力平衡明顯傾向于攻擊者一方。每次添加新軟件或軟件更新,總會突然爆出新漏洞。攻擊者只需要找到一個(gè)漏洞就能登堂入室,安全從業(yè)者卻必須知曉、修復(fù)和防護(hù)每一個(gè)漏洞。

大多數(shù)攻擊都從成功的網(wǎng)絡(luò)釣魚或其他社會工程方法開始,意味著企業(yè)需要尋找讓員工培訓(xùn)更為精準(zhǔn)、清晰和有效的方法,產(chǎn)生更為深遠(yuǎn)的結(jié)果。有些公司設(shè)置了相關(guān)系統(tǒng),讓IT部門可以從內(nèi)部發(fā)起虛假網(wǎng)絡(luò)釣魚攻擊,向員工和各級主管報(bào)告成功攻擊,教育員工:只要不是100%確定郵件合法,那你的績效考核可能也就到此為止了。公司采取此類辦法強(qiáng)化網(wǎng)絡(luò)釣魚表征信號識別和避免防御失敗的重要性,是因?yàn)檎心紗T工與網(wǎng)絡(luò)犯罪作斗爭和阻止攻擊者侵入公司,都有很長的路要走。

企業(yè)需要鼓勵員工在確實(shí)點(diǎn)開了釣魚郵件的時(shí)候立即上報(bào),以便IT/安全團(tuán)隊(duì)可以盡早控制/隔離攻擊。這是比單純懲罰員工的錯(cuò)誤點(diǎn)擊行為更為積極的另一個(gè)選擇。

而在進(jìn)攻方面,企業(yè)需要在網(wǎng)絡(luò)安全挑戰(zhàn)上應(yīng)用有經(jīng)驗(yàn)的、有能力的、知情的黑客思維。這些專業(yè)人士可以專注于諸如犯罪黑客社區(qū)對話之類的攻擊數(shù)據(jù)的源頭,基于犯罪黑客常用端口(如31337)和相應(yīng)策略實(shí)時(shí)監(jiān)視帶外流量。

這些白帽子黑客可以幫助企業(yè)堵住漏洞循環(huán),響應(yīng)并控制攻擊,在與網(wǎng)絡(luò)犯罪的戰(zhàn)爭中保持積極主動。

堵住社會工程攻擊的漏洞絕不容易,委托白帽子加固網(wǎng)絡(luò)安全亦是如此,但這也是信息安全從業(yè)者打擊網(wǎng)絡(luò)犯罪義不容辭的責(zé)任。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號