有針對性的攻擊的應對法則
關于病毒、蠕蟲和rootkit惡意工具的消息已經不算是新聞了。我們可以保護自己和公司免受遍及網絡的常見攻擊。現在,普通的釣魚式攻擊很容易被監測到,用戶在這方面也有了較高的警惕性。不過,我們針對的重點是針對企業的網絡犯罪。這時間,由于需要關注價值較高的客戶群,攻擊行為變得更方便,采取保護措施變得更困難。
有針對目標的攻擊行為
所謂有針對目標的攻擊行為指的是針對特定組織或這些組織內單獨個人的攻擊。與利用惡意軟件在互聯網上進行掃描,等待關于隨機漏洞和被影響系統的報告不同,有針對目標的攻擊行為利用的是基于社會化網絡提供的信息。換句話說,他們采用的方式是說服針對的用戶,一封電子郵件或者其它電子物品本身是合法的。這樣,由于它們沒有違反過濾規則,電子郵件過濾解決方案會容許這些信息通過。
有針對目標的攻擊行為并不一定需要很復雜。F-Secure公司在YouTube上發布的一個視頻就說明了它的簡單性。在這個例子中,PDF文件被偽裝成為調查報告。一旦打開文件,就會導致惡意軟件的安裝,并開始從用戶機器上搜集信息。從這個例子中,我們可以看出;有針對目標的攻擊非常類似木馬,看起來真實而且有關聯。
當針對目標是高級管理人員和其它關鍵員工時,關聯性是非常重要的。攻擊者可能花費數月時間來對公司進行調查以確認相關信息,這其中包括了:
◆目標組織中可以獲得相關信息的個人;
◆業務進程中的主要項目;
◆常見業務伙伴、供應商等;
◆以及定期對目標用戶發送電子郵件的人的名字和電子郵件地址。
利用這些信息,攻擊者就可以讓欺騙電子郵件看起來象是和業務處理、項目管理等工作有關聯。他或她將會偽造來源地址,讓郵件看起來就象是來自與目標用戶進行定期溝通的企業或個人。
攻擊者必須在秘密的情況下進行這些工作了。為了盡可能多得搜集目標用戶的信息,惡意軟件必須被隱藏起來(舉例來說,位于rootkit中),并且象常規網絡流量一樣發送信息。由于這些要求,加上每一起攻擊在表現上都是截然不同的,因此,對于安全團隊來說,利用反惡意軟件工具或入侵檢測系統(IPS)/入侵防御系統(IDS)來確認它們是比較困難的。但這并不等于這么做是不可能的。
可以采取的防御措施
我們應該知道,對于安全來說,第一道防線并不是軟件或者網絡設備。我們應該了解到,對于網絡犯罪分子來說,實際情況正好相反,關鍵員工的筆記本或者臺式機才是有價值的目標。控制這些設備就可以提供搜集目標客戶創建和使用的信息的機會。因此,組織內使用權限最高的鏈接或者可以訪問最機密信息的用戶是攻擊者的首選。
因此,這些用戶包括了哪些人?對于大部分組織來說,最好的選擇就是高級管理人員。高級管理人員包括了總部主管和部門領導。不幸的是,這些人使用的系統受到的保護等級經常是最低的。
在很多組織中,在實施安全控制策略方面存在雙重標準。很多管理人員認為自己足夠明智和負責任,可以避免惡意軟件的感染。即使他們不相信這一點,也不希望自己和普通員工一樣受到限制。這種雙重標準的存在,讓攻擊者可以利用有針對性的方法進行重點攻擊。
在這里,他們不僅僅是高級管理人員,也是被針對的目標。在一家公司中,很多負責處理最高級機密信息的用戶都有鏈接到本地工作站安裝數據搜集類惡意軟件的權限。
為了滿足防御有針對目標的攻擊帶來的挑戰,我建議采取如下的措施:
1、在部署安全控制措施時,消除所有使用方面的雙重標準。高級管理人員應該明白,在攻擊者對內部系統進行全面搜索試圖找到漏洞時,他們面臨的風險更大。
2、在任何情況下,用戶也不能在本地計算機上利用系統管理員權限對公司機密信息進行處理。即使用戶打開了被感染的附件,這樣的設置也可以讓它不能安裝。對于目標和攻擊者來說,這是一種建立隔離墻最好的方式。
3、貫徹最小權限原則。對信息數量進行限制,以防止攻擊的發生。對于信息技術團隊來說,這一原則同樣適用。對于攻擊者來說,破解網絡或服務器管理員的系統等于獲得了大獎。信息技術人員只有在必須執行具體任務時,才使用管理員賬戶。此外,僅僅因為一名管理員擁有創建業務用戶賬戶的權限,并不等于他或她應該獲得鏈接路由器和交換機進行配置的權限。
4、確保包括應用程序在內的所有系統補丁都已安裝。
5、關注入侵防御,對入侵防御系統設備進行配置,來防止或監測內部系統和外部意料之外或不尋常的輸出鏈接。對于有針對性的攻擊的防御來說,擠出檢測/預防模式屬于非常重要的組成部分。
6、用戶必須對面臨的威脅有足夠的認識。這就需要開展培訓,讓用戶對有針對性的攻擊有基本的了解,并且知道在面臨可能的威脅時,應該怎么辦。培訓內容還應該包括利用現有的安全措施關注威脅帶來的風險。
7、最后,常規控制措施必須部署到位。這些措施包括了反惡意軟件工具、主機和網絡端的入侵檢測/預防解決方案、郵件過濾器等。
結論
本文中講述的所有方法都沒有超過常識的范圍。不過,當我們在公司里的地位越高,就越傾向于選擇限制度越低的控制措施。在防御有針對性的攻擊時,這樣做是錯誤的。同樣,這樣的錯誤也出現在強制所有的系統部署基本安全控制措施,而沒有意識到有個別的用戶系統應該被重點關注的情況中。對于安全來說,是沒有確定答案的,這樣的做法從來就不是簡單的。但是,這樣做越來越有必要。
【編輯推薦】
