|
如果你的網(wǎng)絡(luò)中潛伏著高級持續(xù)性攻擊威脅,你的安全團隊會知道嗎?在RSA大會上,HBGary的Greg Hoglund與我們分享了四種抵御有害攻擊的方法���。
大部分針對企業(yè)的攻擊都是投機詐騙和網(wǎng)絡(luò)犯罪�����,但是對于想要保護客戶信息和企業(yè)知識產(chǎn)權(quán)信息的企業(yè)而言����,還需要關(guān)注更為持久的攻擊者��。
雖然“高級持續(xù)性威脅”(APT)現(xiàn)在已經(jīng)成為一個營銷口號���,但持續(xù)攻擊者的確對企業(yè)構(gòu)成威脅����,HBGary公司首席技術(shù)官Greg Hoglund表示��。隨著攻擊者逐漸意識到悄悄在企業(yè)網(wǎng)絡(luò)內(nèi)搶灘的好處�����,企業(yè)IT安全團隊需要假設(shè)攻擊者已經(jīng)越過了他們的防線�,并且積極追捕已經(jīng)在其網(wǎng)絡(luò)中的入侵者�����。
他表示:“你不能完全依賴于外部供應(yīng)商為你提供一個神奇的黑名單����,就能解決所有安全問題����。”
HBGary發(fā)現(xiàn)高級持續(xù)性攻擊并不需要使用先進的技術(shù)來獲取企業(yè)的關(guān)鍵信息。一年前���,自稱是Anonymous運動成員的攻擊者獲取了該公司子公司HBGary Federal電子郵件賬戶的訪問權(quán)限,并且泄露了敏感信息����,即使攻擊者沒有獲取對該公司網(wǎng)絡(luò)的訪問權(quán)限。
Hoglund表示����,對付專門針對你公司的攻擊者是一個很棘手且成本很高的問題。
“這是一個反間諜問題��,”Hoglund表示����,“你必須愿意接受將其作為反間諜問題的成本����,如果你想要更好的安全性的話��。”
以下是Hoglund的建議���,以幫助企業(yè)更好地發(fā)現(xiàn)網(wǎng)絡(luò)中的高級持續(xù)性攻擊��。
1. 請注意可疑行為
高級持續(xù)性攻擊者會使用社會工程學(xué)和其他方法(例如破壞第三方服務(wù)器)來獲取訪問企業(yè)網(wǎng)絡(luò)的有效憑證信息����。在這一點上�����,我們幾乎不可能根據(jù)檢測惡意代碼來檢測攻擊者���。相反的�,防御者需要將重點放在檢查可疑活動上���。
“一旦他們開始進行持續(xù)攻擊��,他們可能不會再使用漏洞利用����,”他表示,“他們只會使用用戶登錄信息來登錄����,這是一個完全不同的問題。查找惡意軟件并無濟于事��。”
檢測網(wǎng)絡(luò)中怪異的員工行為變得非常重要���,特別是在登錄信息被泄露時�����。例如,有這樣一個案例�����,在從目標(biāo)滲出數(shù)據(jù)前��,攻擊者通常會習(xí)慣性地等待三天��。對異常行為比較敏感的企業(yè)就能夠檢測到這種活動。
他表示�,“如果在著三天中,我們知道他們會滲出數(shù)據(jù)����,那么我們就可以做好準(zhǔn)備。”
2.檢測流量
每個公司都想要防止攻擊者進入��,但是企業(yè)應(yīng)該假設(shè)�,攻擊者已經(jīng)滲透入他們的網(wǎng)絡(luò)。當(dāng)事情真的發(fā)生時����,攻擊者最初滲入的系統(tǒng)從來都不是攻擊者真正感興趣的系統(tǒng)。
攻擊者會侵入任何內(nèi)部系統(tǒng)���,然后使用那個系統(tǒng)在網(wǎng)絡(luò)內(nèi)橫向移動����。雖然企業(yè)應(yīng)該注意到攻擊者在網(wǎng)絡(luò)中�����,但是攻擊者會制造很多異常網(wǎng)絡(luò)流量�,這些流量可能會暴露他們的活動����。查看流量是關(guān)鍵����。
Hoglund表示:“如果你可以檢測到網(wǎng)絡(luò)內(nèi)的橫向移動,你就能夠檢查出高級持續(xù)攻擊���。”
3.當(dāng)發(fā)現(xiàn)一個被感染系統(tǒng)����,不要停下腳步
很多公司只會清除被感染的服務(wù)器����,然后重新安裝系統(tǒng)。然后企業(yè)會發(fā)現(xiàn)追蹤其他感染系統(tǒng)變得難上加難�����。
IT安全團隊?wèi)?yīng)該利用這個被感染系統(tǒng)找出其他已經(jīng)被感染的系統(tǒng)��。
高級攻擊者會使用一種鞏固戰(zhàn)略�����,當(dāng)他們在環(huán)境中部署了遠程訪問工具后�����,他們不可能只部署一個這樣的工具����。
例如,在另一個案例中���,HBGary追蹤了攻擊者三個月�����,并且清除了他們的訪問權(quán)限��。他們不停地尋找���,最終發(fā)現(xiàn)了與已經(jīng)檢測到的遠程訪問工具相同的工具,不過使用的是微軟的Windows Messenger的副本作為緊急后門����,以防萬一有人會清除他們的訪問權(quán)限。
他表示:“他們部署了多層次戰(zhàn)略,也就是說��,如果你找到他們的東西��,你需要找出所有東西才行���。”
4.尋找滲出點
當(dāng)攻擊者發(fā)現(xiàn)有價值的信息�,他就會準(zhǔn)備滲出數(shù)據(jù)����。這也是防御者可以檢測到攻擊者存在的一點,找尋服務(wù)器中大型壓縮文件是一個不錯的開始��。
“我們看到攻擊者利用RAR作為滲出數(shù)據(jù)的格式���,還有CAB文件����,”Hoglund表示����,RAR是WinRAR的專有歸檔格式,而CAB文件是微軟用于壓縮軟件組件以便于安裝者使用的格式���。
通過搜索網(wǎng)絡(luò)中的RAR和CAB文件���,企業(yè)可能能夠找出潛在的滲出點。
Hoglund表示:“你知道嗎?如果你發(fā)現(xiàn)某臺機器堆滿這些格式的文件�,你可能就找到了一個滲出點。”
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強���!虛擬主機域名注冊頂級提供商�����!15年品質(zhì)保障��!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
