進攻即防守：利用開源信息抵御網(wǎng)絡(luò)攻擊

目前IT面臨的主要困境是：安全工具就像一個黑洞，吸走企業(yè)的時間和金錢，以及企業(yè)應(yīng)該如何適當?shù)乇Ｗo企業(yè)的信息系統(tǒng)和資產(chǎn)。強大的防御并不一定意味著高成本，企業(yè)應(yīng)該從評估公開信息開始，并想辦法保護這些公開信息免受攻擊。

關(guān)于誰正在攻擊企業(yè)以及為什么發(fā)動攻擊，企業(yè)很容易被各種炒作新聞左右，從而產(chǎn)生了對有效安全相關(guān)的要求和成本的誤解。企業(yè)需要從根本上和戰(zhàn)略上選擇安全辦法，他們需要從攻擊者的角度來看問題，以確定攻擊者有什么數(shù)據(jù)可偷以及如何發(fā)動攻擊。這些問題的答案可以指導(dǎo)企業(yè)很好地規(guī)劃防御系統(tǒng)。

在ISSA洛杉磯(ISSALA)五月安全首腦會議的小組討論中，BeyondTrust公司首席技術(shù)官Marc Maiffret談道，媒體和供應(yīng)商傳遞安全趨勢和公眾利益等相關(guān)信息的方式將會影響企業(yè)對其面臨的風險以及安全需求的評估。

Maiffret指出，分布式拒絕服務(wù)(DDoS)攻擊能夠立即得到媒體的關(guān)注，是因為這些事件是公眾可見的。當主要托管服務(wù)供應(yīng)商、金融機構(gòu)或者社會網(wǎng)絡(luò)服務(wù)因為DDoS攻擊導(dǎo)致脫機，全世界都會引起高度關(guān)注。這種事件很容易被發(fā)現(xiàn)，停機的結(jié)果往往具有新聞價值，并且事件的人為部分吸引著人們的關(guān)注。

在公眾和媒體的注意力放在誰發(fā)動攻擊和為什么攻擊的方程式中時，供應(yīng)商充分利用了消費者的恐慌心理，圍繞新聞炒作焦點來宣傳他們的產(chǎn)品。這種營銷策略吸引著更多的媒體和公眾的關(guān)注，導(dǎo)致這種炒作循環(huán)下去，像滾雪球一樣。所有這一切都嚇得企業(yè)不斷投資來抵御攻擊者。

如果企業(yè)不知道需要保護什么或者他們?nèi)菀资艿焦�擊的程度，對于企業(yè)而言，最好選擇一個可靠的安全方案，無論昂貴或者便宜的。

每個企業(yè)的安全需求都不一樣，就像每個安全產(chǎn)品的功能一樣，因此，適用于一個企業(yè)的相同產(chǎn)品，在另一個企業(yè)可能完全無用。并且，雖然每個企業(yè)都有自己獨特的情況。然而，所有企業(yè)都面對著一個相同的簡單事實：他們的所有公開訪問信息同樣能被攻擊者利用。世界上沒有任何安全產(chǎn)品可以改變這個現(xiàn)實，無論供應(yīng)商如何吹捧其產(chǎn)品。

如果企業(yè)準備切實地保護其系統(tǒng)、業(yè)務(wù)數(shù)據(jù)和知識產(chǎn)權(quán)，企業(yè)需要結(jié)界很多棘手的問題。雖然，誰將攻擊其系統(tǒng)以及為什么發(fā)動攻擊是建立成功的安全計劃非常重要的問題，但這兩個問題只有在確定攻擊者的攻擊目標以及如何執(zhí)行攻擊后才能夠解決。

ISSALA的很多會議都涵蓋了這一主題。McAfee公司的安全研究與通訊主管David Marcus談?wù)摿斯�擊者如何利用開源情報(OSINT)來獲取對企業(yè)基礎(chǔ)設(shè)施、技術(shù)和操作的信息。

Marcus列出了這些具有創(chuàng)新性和協(xié)作性攻擊者所使用的工具，包括Twitter、Pastebin、SHODAN和Metasploit等。從使用這些工具的結(jié)果來看，Marcus向觀眾展示了如何通過識別、捕捉、分享和利用公開信息來輕松地獲取可用于攻擊企業(yè)的有效信息。

為了進一步說明這一點，Marcus描述了如何使用這些相同的方法來攻擊關(guān)鍵基礎(chǔ)設(shè)施，更確切地說，SCADA系統(tǒng)。

例如，Pastebin剪貼板可以用于搜索標簽#SCADA和#IDIOTS，以找出世界各地關(guān)于SCADA設(shè)備的公開信息，包括已經(jīng)確定存在漏洞的SCADA系統(tǒng)的公開可見的IP地址。這些搜索結(jié)果信息可能是被攻擊者和黑客上傳的，然后，我們可以將這些結(jié)果放入谷歌搜索，來找出容易受到相同或類似漏洞攻擊的SCADA網(wǎng)站。

Marcus還介紹了我們?nèi)绾慰梢宰鳛楣芾韱T來登錄這些網(wǎng)站，這完全不受約束。成功登錄后，我們可以閱讀這些系統(tǒng)數(shù)據(jù)庫的內(nèi)容，改變設(shè)備的配置，安裝惡意代碼，甚至通過點擊一個按鈕就可以重新啟動系統(tǒng)。

那么，我們?nèi)绾未蚱泼襟w和供應(yīng)商灌輸?shù)恼l正在發(fā)動攻擊和為什么的方程式呢?所謂，進攻是最好的防守。Marcus分享了以下五個秘訣：

1.利用和操作化OSINT ：使用Twitter、Pastebin和SHODAN來識別和捕捉關(guān)于你自己企業(yè)和系統(tǒng)的面向公眾的信息。這種開源公開信息可以為我們提供很有用的信息，可以幫助企業(yè)了解攻擊者如何看待其基礎(chǔ)設(shè)施和運營。

2. 不要根據(jù)行業(yè)或營銷流行語來做決定： 不要過于擔心高級持續(xù)性攻擊，應(yīng)該理解這種攻擊的目標是什么以及攻擊者將如何接近這個目標。

Marcus表示應(yīng)該著眼于基礎(chǔ)。在Marcus的演示過程中，其識別和訪問的所有SCADA系統(tǒng)的基本安全措施都失效了，雖然系統(tǒng)中部署了入侵防御系統(tǒng)(IPS)、入侵檢測系統(tǒng)(IDS)以及其他抵御APT的技術(shù)。Marcus表示：“這些保護措施沒有得到正確配置或者根本不能抵御已知漏洞。”

3. 超越滲透測試：利用紅色小組(red team)。紅色小組行動和滲透測試結(jié)果之間有著很大的區(qū)別。當某個系統(tǒng)對業(yè)務(wù)非常重要時，紅色小組取下這個系統(tǒng)，而滲透測試只是會指出“這里有一個漏洞需要修復(fù)”。

對于真正關(guān)心其環(huán)境安全的企業(yè)而言，應(yīng)該從傳統(tǒng)滲透測試轉(zhuǎn)移到整合了紅色小組的安全方案。企業(yè)需要弄清楚其環(huán)境內(nèi)存在的真正漏洞，然后解決這些漏洞。

4. 利用合作伙伴和供應(yīng)商的知識： 企業(yè)應(yīng)該向值得信賴的安全合作伙伴和解決方案供應(yīng)商尋求幫助，Marcus表示“不要將你的供應(yīng)商看作是某個產(chǎn)品的供應(yīng)商，他們知道很多惡意軟件和其他攻擊方法，充分利用他們的知識、專業(yè)技能和人力”。

5. 為信息共享建立合作伙伴關(guān)系： 網(wǎng)絡(luò)安全下一個大爆炸將圍繞情報和屬性。企業(yè)不僅需要檢測到他們正受到攻擊，而且需要知道誰編寫的攻擊，這樣當局就可以找出攻擊背后的來源。

信息就是黃金，雖然很多企業(yè)沒能利用這些可用的信息。顯然，企業(yè)可以利用開源情報來建立強大的網(wǎng)絡(luò)防線。這引出了一個問題，你的企業(yè)上一次檢查公眾對你的環(huán)境的了解情況是什么時候?

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]