進(jìn)攻即防守：利用開(kāi)源信息抵御網(wǎng)絡(luò)攻擊

目前IT面臨的主要困境是：安全工具就像一個(gè)黑洞，吸走企業(yè)的時(shí)間和金錢，以及企業(yè)應(yīng)該如何適當(dāng)?shù)乇Ｗo(hù)企業(yè)的信息系統(tǒng)和資產(chǎn)。強(qiáng)大的防御并不一定意味著高成本，企業(yè)應(yīng)該從評(píng)估公開(kāi)信息開(kāi)始，并想辦法保護(hù)這些公開(kāi)信息免受攻擊。

關(guān)于誰(shuí)正在攻擊企業(yè)以及為什么發(fā)動(dòng)攻擊，企業(yè)很容易被各種炒作新聞左右，從而產(chǎn)生了對(duì)有效安全相關(guān)的要求和成本的誤解。企業(yè)需要從根本上和戰(zhàn)略上選擇安全辦法，他們需要從攻擊者的角度來(lái)看問(wèn)題，以確定攻擊者有什么數(shù)據(jù)可偷以及如何發(fā)動(dòng)攻擊。這些問(wèn)題的答案可以指導(dǎo)企業(yè)很好地規(guī)劃防御系統(tǒng)。

在ISSA洛杉磯(ISSALA)五月安全首腦會(huì)議的小組討論中，BeyondTrust公司首席技術(shù)官M(fèi)arc Maiffret談道，媒體和供應(yīng)商傳遞安全趨勢(shì)和公眾利益等相關(guān)信息的方式將會(huì)影響企業(yè)對(duì)其面臨的風(fēng)險(xiǎn)以及安全需求的評(píng)估。

Maiffret指出，分布式拒絕服務(wù)(DDoS)攻擊能夠立即得到媒體的關(guān)注，是因?yàn)檫@些事件是公眾可見(jiàn)的。當(dāng)主要托管服務(wù)供應(yīng)商、金融機(jī)構(gòu)或者社會(huì)網(wǎng)絡(luò)服務(wù)因?yàn)镈DoS攻擊導(dǎo)致脫機(jī)，全世界都會(huì)引起高度關(guān)注。這種事件很容易被發(fā)現(xiàn)，停機(jī)的結(jié)果往往具有新聞價(jià)值，并且事件的人為部分吸引著人們的關(guān)注。

在公眾和媒體的注意力放在誰(shuí)發(fā)動(dòng)攻擊和為什么攻擊的方程式中時(shí)，供應(yīng)商充分利用了消費(fèi)者的恐慌心理，圍繞新聞炒作焦點(diǎn)來(lái)宣傳他們的產(chǎn)品。這種營(yíng)銷策略吸引著更多的媒體和公眾的關(guān)注，導(dǎo)致這種炒作循環(huán)下去，像滾雪球一樣。所有這一切都嚇得企業(yè)不斷投資來(lái)抵御攻擊者。

如果企業(yè)不知道需要保護(hù)什么或者他們?nèi)菀资艿焦�擊的程度，�?duì)于企業(yè)而言，最好選擇一個(gè)可靠的安全方案，無(wú)論昂貴或者便宜的。

每個(gè)企業(yè)的安全需求都不一樣，就像每個(gè)安全產(chǎn)品的功能一樣，因此，適用于一個(gè)企業(yè)的相同產(chǎn)品，在另一個(gè)企業(yè)可能完全無(wú)用。并且，雖然每個(gè)企業(yè)都有自己獨(dú)特的情況。然而，所有企業(yè)都面對(duì)著一個(gè)相同的簡(jiǎn)單事實(shí)：他們的所有公開(kāi)訪問(wèn)信息同樣能被攻擊者利用。世界上沒(méi)有任何安全產(chǎn)品可以改變這個(gè)現(xiàn)實(shí)，無(wú)論供應(yīng)商如何吹捧其產(chǎn)品。

如果企業(yè)準(zhǔn)備切實(shí)地保護(hù)其系統(tǒng)、業(yè)務(wù)數(shù)據(jù)和知識(shí)產(chǎn)權(quán)，企業(yè)需要結(jié)界很多棘手的問(wèn)題。雖然，誰(shuí)將攻擊其系統(tǒng)以及為什么發(fā)動(dòng)攻擊是建立成功的安全計(jì)劃非常重要的問(wèn)題，但這兩個(gè)問(wèn)題只有在確定攻擊者的攻擊目標(biāo)以及如何執(zhí)行攻擊后才能夠解決。

ISSALA的很多會(huì)議都涵蓋了這一主題。McAfee公司的安全研究與通訊主管David Marcus談?wù)摿斯�擊者如何利用開(kāi)源情報(bào)(OSINT)來(lái)獲取對(duì)企業(yè)基礎(chǔ)設(shè)施、技術(shù)和操作的信息。

Marcus列出了這些具有創(chuàng)新性和協(xié)作性攻擊者所使用的工具，包括Twitter、Pastebin、SHODAN和Metasploit等。從使用這些工具的結(jié)果來(lái)看，Marcus向觀眾展示了如何通過(guò)識(shí)別、捕捉、分享和利用公開(kāi)信息來(lái)輕松地獲取可用于攻擊企業(yè)的有效信息。

為了進(jìn)一步說(shuō)明這一點(diǎn)，Marcus描述了如何使用這些相同的方法來(lái)攻擊關(guān)鍵基礎(chǔ)設(shè)施，更確切地說(shuō)，SCADA系統(tǒng)。

例如，Pastebin剪貼板可以用于搜索標(biāo)簽#SCADA和#IDIOTS，以找出世界各地關(guān)于SCADA設(shè)備的公開(kāi)信息，包括已經(jīng)確定存在漏洞的SCADA系統(tǒng)的公開(kāi)可見(jiàn)的IP地址。這些搜索結(jié)果信息可能是被攻擊者和黑客上傳的，然后，我們可以將這些結(jié)果放入谷歌搜索，來(lái)找出容易受到相同或類似漏洞攻擊的SCADA網(wǎng)站。

Marcus還介紹了我們?nèi)绾慰梢宰鳛楣芾韱T來(lái)登錄這些網(wǎng)站，這完全不受約束。成功登錄后，我們可以閱讀這些系統(tǒng)數(shù)據(jù)庫(kù)的內(nèi)容，改變?cè)O(shè)備的配置，安裝惡意代碼，甚至通過(guò)點(diǎn)擊一個(gè)按鈕就可以重新啟動(dòng)系統(tǒng)。

那么，我們?nèi)绾未蚱泼襟w和供應(yīng)商灌輸?shù)恼l(shuí)正在發(fā)動(dòng)攻擊和為什么的方程式呢?所謂，進(jìn)攻是最好的防守。Marcus分享了以下五個(gè)秘訣：

1.利用和操作化OSINT ：使用Twitter、Pastebin和SHODAN來(lái)識(shí)別和捕捉關(guān)于你自己企業(yè)和系統(tǒng)的面向公眾的信息。這種開(kāi)源公開(kāi)信息可以為我們提供很有用的信息，可以幫助企業(yè)了解攻擊者如何看待其基礎(chǔ)設(shè)施和運(yùn)營(yíng)。

2. 不要根據(jù)行業(yè)或營(yíng)銷流行語(yǔ)來(lái)做決定： 不要過(guò)于擔(dān)心高級(jí)持續(xù)性攻擊，應(yīng)該理解這種攻擊的目標(biāo)是什么以及攻擊者將如何接近這個(gè)目標(biāo)。

Marcus表示應(yīng)該著眼于基礎(chǔ)。在Marcus的演示過(guò)程中，其識(shí)別和訪問(wèn)的所有SCADA系統(tǒng)的基本安全措施都失效了，雖然系統(tǒng)中部署了入侵防御系統(tǒng)(IPS)、入侵檢測(cè)系統(tǒng)(IDS)以及其他抵御APT的技術(shù)。Marcus表示：“這些保護(hù)措施沒(méi)有得到正確配置或者根本不能抵御已知漏洞。”

3. 超越滲透測(cè)試：利用紅色小組(red team)。紅色小組行動(dòng)和滲透測(cè)試結(jié)果之間有著很大的區(qū)別。當(dāng)某個(gè)系統(tǒng)對(duì)業(yè)務(wù)非常重要時(shí)，紅色小組取下這個(gè)系統(tǒng)，而滲透測(cè)試只是會(huì)指出“這里有一個(gè)漏洞需要修復(fù)”。

對(duì)于真正關(guān)心其環(huán)境安全的企業(yè)而言，應(yīng)該從傳統(tǒng)滲透測(cè)試轉(zhuǎn)移到整合了紅色小組的安全方案。企業(yè)需要弄清楚其環(huán)境內(nèi)存在的真正漏洞，然后解決這些漏洞。

4. 利用合作伙伴和供應(yīng)商的知識(shí)： 企業(yè)應(yīng)該向值得信賴的安全合作伙伴和解決方案供應(yīng)商尋求幫助，Marcus表示“不要將你的供應(yīng)商看作是某個(gè)產(chǎn)品的供應(yīng)商，他們知道很多惡意軟件和其他攻擊方法，充分利用他們的知識(shí)、專業(yè)技能和人力”。

5. 為信息共享建立合作伙伴關(guān)系： 網(wǎng)絡(luò)安全下一個(gè)大爆炸將圍繞情報(bào)和屬性。企業(yè)不僅需要檢測(cè)到他們正受到攻擊，而且需要知道誰(shuí)編寫的攻擊，這樣當(dāng)局就可以找出攻擊背后的來(lái)源。

信息就是黃金，雖然很多企業(yè)沒(méi)能利用這些可用的信息。顯然，企業(yè)可以利用開(kāi)源情報(bào)來(lái)建立強(qiáng)大的網(wǎng)絡(luò)防線。這引出了一個(gè)問(wèn)題，你的企業(yè)上一次檢查公眾對(duì)你的環(huán)境的了解情況是什么時(shí)候?

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]