進攻即防守：利用開源信息抵御網(wǎng)絡攻擊

目前IT面臨的主要困境是：安全工具就像一個黑洞，吸走企業(yè)的時間和金錢，以及企業(yè)應該如何適當?shù)乇Ｗo企業(yè)的信息系統(tǒng)和資產(chǎn)。強大的防御并不一定意味著高成本，企業(yè)應該從評估公開信息開始，并想辦法保護這些公開信息免受攻擊。

關于誰正在攻擊企業(yè)以及為什么發(fā)動攻擊，企業(yè)很容易被各種炒作新聞左右，從而產(chǎn)生了對有效安全相關的要求和成本的誤解。企業(yè)需要從根本上和戰(zhàn)略上選擇安全辦法，他們需要從攻擊者的角度來看問題，以確定攻擊者有什么數(shù)據(jù)可偷以及如何發(fā)動攻擊。這些問題的答案可以指導企業(yè)很好地規(guī)劃防御系統(tǒng)。

在ISSA洛杉磯(ISSALA)五月安全首腦會議的小組討論中，BeyondTrust公司首席技術官Marc Maiffret談道，媒體和供應商傳遞安全趨勢和公眾利益等相關信息的方式將會影響企業(yè)對其面臨的風險以及安全需求的評估。

Maiffret指出，分布式拒絕服務(DDoS)攻擊能夠立即得到媒體的關注，是因為這些事件是公眾可見的。當主要托管服務供應商、金融機構(gòu)或者社會網(wǎng)絡服務因為DDoS攻擊導致脫機，全世界都會引起高度關注。這種事件很容易被發(fā)現(xiàn)，停機的結(jié)果往往具有新聞價值，并且事件的人為部分吸引著人們的關注。

在公眾和媒體的注意力放在誰發(fā)動攻擊和為什么攻擊的方程式中時，供應商充分利用了消費者的恐慌心理，圍繞新聞炒作焦點來宣傳他們的產(chǎn)品。這種營銷策略吸引著更多的媒體和公眾的關注，導致這種炒作循環(huán)下去，像滾雪球一樣。所有這一切都嚇得企業(yè)不斷投資來抵御攻擊者。

如果企業(yè)不知道需要保護什么或者他們?nèi)菀资艿焦�擊的程度，對于企業(yè)而言，最好選擇一個可靠的安全方案，無論昂貴或者便宜的。

每個企業(yè)的安全需求都不一樣，就像每個安全產(chǎn)品的功能一樣，因此，適用于一個企業(yè)的相同產(chǎn)品，在另一個企業(yè)可能完全無用。并且，雖然每個企業(yè)都有自己獨特的情況。然而，所有企業(yè)都面對著一個相同的簡單事實：他們的所有公開訪問信息同樣能被攻擊者利用。世界上沒有任何安全產(chǎn)品可以改變這個現(xiàn)實，無論供應商如何吹捧其產(chǎn)品。

如果企業(yè)準備切實地保護其系統(tǒng)、業(yè)務數(shù)據(jù)和知識產(chǎn)權(quán)，企業(yè)需要結(jié)界很多棘手的問題。雖然，誰將攻擊其系統(tǒng)以及為什么發(fā)動攻擊是建立成功的安全計劃非常重要的問題，但這兩個問題只有在確定攻擊者的攻擊目標以及如何執(zhí)行攻擊后才能夠解決。

ISSALA的很多會議都涵蓋了這一主題。McAfee公司的安全研究與通訊主管David Marcus談論了攻擊者如何利用開源情報(OSINT)來獲取對企業(yè)基礎設施、技術和操作的信息。

Marcus列出了這些具有創(chuàng)新性和協(xié)作性攻擊者所使用的工具，包括Twitter、Pastebin、SHODAN和Metasploit等。從使用這些工具的結(jié)果來看，Marcus向觀眾展示了如何通過識別、捕捉、分享和利用公開信息來輕松地獲取可用于攻擊企業(yè)的有效信息。

為了進一步說明這一點，Marcus描述了如何使用這些相同的方法來攻擊關鍵基礎設施，更確切地說，SCADA系統(tǒng)。

例如，Pastebin剪貼板可以用于搜索標簽#SCADA和#IDIOTS，以找出世界各地關于SCADA設備的公開信息，包括已經(jīng)確定存在漏洞的SCADA系統(tǒng)的公開可見的IP地址。這些搜索結(jié)果信息可能是被攻擊者和黑客上傳的，然后，我們可以將這些結(jié)果放入谷歌搜索，來找出容易受到相同或類似漏洞攻擊的SCADA網(wǎng)站。

Marcus還介紹了我們?nèi)绾慰梢宰鳛楣芾韱T來登錄這些網(wǎng)站，這完全不受約束。成功登錄后，我們可以閱讀這些系統(tǒng)數(shù)據(jù)庫的內(nèi)容，改變設備的配置，安裝惡意代碼，甚至通過點擊一個按鈕就可以重新啟動系統(tǒng)。

那么，我們?nèi)绾未蚱泼襟w和供應商灌輸?shù)恼l正在發(fā)動攻擊和為什么的方程式呢?所謂，進攻是最好的防守。Marcus分享了以下五個秘訣：

1.利用和操作化OSINT ：使用Twitter、Pastebin和SHODAN來識別和捕捉關于你自己企業(yè)和系統(tǒng)的面向公眾的信息。這種開源公開信息可以為我們提供很有用的信息，可以幫助企業(yè)了解攻擊者如何看待其基礎設施和運營。

2. 不要根據(jù)行業(yè)或營銷流行語來做決定： 不要過于擔心高級持續(xù)性攻擊，應該理解這種攻擊的目標是什么以及攻擊者將如何接近這個目標。

Marcus表示應該著眼于基礎。在Marcus的演示過程中，其識別和訪問的所有SCADA系統(tǒng)的基本安全措施都失效了，雖然系統(tǒng)中部署了入侵防御系統(tǒng)(IPS)、入侵檢測系統(tǒng)(IDS)以及其他抵御APT的技術。Marcus表示：“這些保護措施沒有得到正確配置或者根本不能抵御已知漏洞。”

3. 超越滲透測試：利用紅色小組(red team)。紅色小組行動和滲透測試結(jié)果之間有著很大的區(qū)別。當某個系統(tǒng)對業(yè)務非常重要時，紅色小組取下這個系統(tǒng)，而滲透測試只是會指出“這里有一個漏洞需要修復”。

對于真正關心其環(huán)境安全的企業(yè)而言，應該從傳統(tǒng)滲透測試轉(zhuǎn)移到整合了紅色小組的安全方案。企業(yè)需要弄清楚其環(huán)境內(nèi)存在的真正漏洞，然后解決這些漏洞。

4. 利用合作伙伴和供應商的知識： 企業(yè)應該向值得信賴的安全合作伙伴和解決方案供應商尋求幫助，Marcus表示“不要將你的供應商看作是某個產(chǎn)品的供應商，他們知道很多惡意軟件和其他攻擊方法，充分利用他們的知識、專業(yè)技能和人力”。

5. 為信息共享建立合作伙伴關系： 網(wǎng)絡安全下一個大爆炸將圍繞情報和屬性。企業(yè)不僅需要檢測到他們正受到攻擊，而且需要知道誰編寫的攻擊，這樣當局就可以找出攻擊背后的來源。

信息就是黃金，雖然很多企業(yè)沒能利用這些可用的信息。顯然，企業(yè)可以利用開源情報來建立強大的網(wǎng)絡防線。這引出了一個問題，你的企業(yè)上一次檢查公眾對你的環(huán)境的了解情況是什么時候?

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]