使用多層防御應(yīng)對(duì)下一代威脅
每年的年底,一些保守派總是試圖用一個(gè)矯揉造作的主題來(lái)總結(jié)一年發(fā)生的事情。不過(guò)我會(huì)繼續(xù)采用一個(gè)簡(jiǎn)潔的主題,即:2010是充滿警醒的一年。
去年伊始,我們就被先進(jìn)持續(xù)威脅(advanced persistent threat)這一概念給搞得摸不著頭腦。極光行動(dòng)(Operation Aurora)成功侵入了谷歌、Adobe系統(tǒng)公司和其他20多個(gè)組織。
同大多數(shù)APT類型的攻擊一樣,極光采用了零日攻擊和已知未打補(bǔ)丁的軟件漏洞結(jié)合的方式,侵入傳統(tǒng)防御并維護(hù)長(zhǎng)期訪問(wèn)的敏感數(shù)據(jù)和關(guān)鍵任務(wù)的系統(tǒng),監(jiān)測(cè)內(nèi)部通訊,竊取商業(yè)機(jī)密,最終給企業(yè)造成無(wú)法修復(fù)的損失。
2010年,ATP的確言過(guò)其實(shí),并不是每個(gè)攻擊都被認(rèn)定為APT。但是,我們正在總結(jié)2010年出現(xiàn)的另一個(gè)APT事件,即最近的Gawker Media攻擊,所以這并非巧合。事實(shí)證明,在Gawker的IT員工意識(shí)到系統(tǒng)是錯(cuò)誤的及其企業(yè)領(lǐng)導(dǎo)決定處理之前,Gnosis攻擊群已經(jīng)進(jìn)入了Gawker的系統(tǒng)有幾周或幾個(gè)月了。
正如Gawker攻擊證明,并不只是像谷歌這樣的行業(yè)巨頭,實(shí)際上越來(lái)越多的企業(yè)正成為先進(jìn)的持續(xù)威脅(advanced persistent threat)的目標(biāo)。幾乎所有組織都有敵人,正如我們所看到的,Gawker類型利用了信息安全的疏忽和自大,這將導(dǎo)致災(zāi)難。
ATP幫助我們明確指出,傳統(tǒng)的信息安全模式需要更新。正如我們的信息安全威脅專家Nick Lewis寫(xiě)道,企業(yè)必須假設(shè)在其網(wǎng)絡(luò)存在一個(gè)只有攻擊者才可以看到大漏洞,并且公司應(yīng)該通過(guò)限制用戶權(quán)限級(jí)別來(lái)對(duì)其進(jìn)行保護(hù),仔細(xì)考慮攻擊者使用的Web瀏覽器,再訪問(wèn)對(duì)外流量監(jiān)測(cè)程序,甚至排查PCI類型網(wǎng)絡(luò)分段。還有,一旦要發(fā)生攻擊,準(zhǔn)備好進(jìn)行詳細(xì)的DNS日志分析或者請(qǐng)專家在線幫你做。
同樣,我們不能忽視新型病毒惡意軟件,包括特洛伊木馬如Zeus和蠕蟲(chóng)病毒。Zeus已經(jīng)侵入過(guò)幾次,但新的日益危險(xiǎn)的Zeus變種隨時(shí)都在出現(xiàn),不能被忽略。根據(jù)賽門(mén)鐵克公司與零日攻擊組合周旋的結(jié)果,蠕蟲(chóng)病毒在2010年七月出現(xiàn),最初的目標(biāo)是西門(mén)子SCADA系統(tǒng)軟件,并成功感染了10萬(wàn)個(gè)系統(tǒng)。
為什么我們可能處于惡意軟件復(fù)興之中?有些人喜歡指責(zé)軟件制造商。畢竟,或的確如此,如果軟件制造商把側(cè)重點(diǎn)放在使軟件開(kāi)發(fā)最佳實(shí)踐安全上,這些惡意軟件不會(huì)很高效(盈利)。
實(shí)際上軟件總是有缺陷的。也許沒(méi)有商業(yè)軟件供應(yīng)商比微軟投資的更多在確保安全軟件開(kāi)發(fā)上,但微軟在2010發(fā)布了比往年更多的軟件補(bǔ)丁,攻擊者不斷地尋找和利用新的零日。即使供應(yīng)商同微軟一樣勤奮并關(guān)注安全,他們也不能填補(bǔ)所有軟件漏洞,沒(méi)人能完全做到這一點(diǎn)。
相應(yīng)的,企業(yè)必須假設(shè)他們的應(yīng)用程序是脆弱的,并且一直都是。引用SANS 互聯(lián)網(wǎng)風(fēng)暴中心主任Marcus Sachs的話,企業(yè)不但需要實(shí)行深入防御的安全和維護(hù)多種安全保護(hù)層,還應(yīng)該為那些保護(hù)層考慮多種新的不同的技術(shù)和戰(zhàn)略,包括漏洞管理、內(nèi)部侵入測(cè)試、基于主機(jī)的職責(zé)和機(jī)器的入侵檢測(cè)和隔離等等。
很明顯,這些措施并沒(méi)有新的突破,但是攻擊者正在做的就用到了上述提到的方法,其他的入侵手段大多也是惡意的。隨著2010年的結(jié)束,新的攻擊類型已經(jīng)突破了今天傳統(tǒng)的防御措施,這給我們敲響了警鐘。因?yàn)槭韬觯雀琛dobe和Gawker在安全方面都打了盹,也都因此付出了代價(jià)。在2011年,其他企業(yè)也將會(huì)犯同樣的錯(cuò)誤,請(qǐng)不要讓你的公司成為其中之一。
【編輯推薦】
