關于抵御新一代Stuxnet攻擊的幾個建議
關于抵御新一代Stuxnet攻擊和關鍵基礎設施,雖然受經濟利益驅使的互聯網威脅一直讓我們很不安,然而,Stuxnet讓我們看到更令人擔憂的事情:新型威脅旨在攻占和控制關鍵基礎設施。
Stuxnet是迄今為止最為復雜的威脅,不僅在于它利用了“有趣的”防病毒規避技術以及復雜的過程注入代碼,而且在病毒設計方面還利用了最新的漏洞,包括利用四個獨立的零日漏洞以及專門針對可編程控制器系統的有史以來第一個rootkit。
然而,最值得注意的是,它是設計用語重新變成工業控制系統(用于管理工業環境的計算機程序系統,如發電廠、煉油廠和天然氣管道等)。這是第一個已知的專門針對這些系統的惡意軟件,目標是影響現實世界設備和工藝流程。
Stuxnet的終極目標是改變變頻器(控制電動機轉速的電源供應器)運行的速度,Stuxnet只針對具有以某種頻率運行的驅動器的系統,改變驅動器的頻率將有效破壞富集過程,并且有可能破壞離心機的運行。
Stuxnet構成的大部分威脅已經被瓦解,但是在威脅領域這種具有劃時代意義的變化還是引起了很多人的不安。運行或者管理關鍵基礎設施的企業可以從Stuxnet中學到很多知識。
以下是抵御這種新型攻擊的一些建議:
利用基于聲譽的檢測技術。傳統保護(例如基于簽名的防病毒程序)是抵御最初威脅階段的最常用方法。不幸的是,在每次新攻擊之前,很多依賴于變異代碼的現代化有針對性的惡意軟件都進行了改變,并且對防病毒程序進行了測試以確保它能夠規避檢測。有些惡意軟件甚至還利用自我變異代碼,傳統簽名保護無法識別這種代碼。另外,基于簽名的檢測在識別新型從未見過的惡意軟件方面基本是無用的。這也是Stuxnet在初期階段成功的原因。利用大規模數據(包含所有現有的好和壞的文件)庫的基于聲譽的檢測系統能夠篩選出未知的疑似惡意軟件的程序。
利用托管安全服務的優勢。很多安全供應商都提供托管安全服務,目標在于緩解安全運營的負擔。對于Stuxnet,例如,托管安全服務能夠檢測包含.LNK文件的下載數據流量,而該文件可能與某種零日漏洞攻擊有關。
部署和執行設備控制政策。這是高級端點保護解決方案的一個功能,設備控制為管理員提供了監控和控制設備行為的能力,通過創建和執行相關政策。由于出于安全原因,工業控制系統經常與互聯網和整個企業忘了斷開連接,USB通常被用于傳輸數據到這些系統,以及安裝修復不定。Stuxnet編寫者知道這個情況,而威脅傳播的速度也依賴于這個事實。事實上,受感染的USB被某些粗心的承包商帶入企業,就可能是導致這種威脅的傳播。設備控制政策可以控制哪些設備和應用程序允許運行USB驅動器,如果設置正確的話,這樣能夠預防惡意可執行文件在系統上運行。
安裝基于主機的入侵防御系統。直接在工業控制系統上安裝入侵防御軟件市預防Stuxnet攻擊的另一個有效途徑。這種基于主機的入侵防御系統能夠檢測工業控制系統的可疑行為,并且在必要的時候鎖定系統,防止新的惡意軟件被感染。很多工業控制系統開發人員都不愿意加載第三方軟件,他們需要驗證和提供支持,但是面對Stuxnet,開發人員們必須建立更好的合作共同抵御攻擊。
確保及時的軟件證書撤銷更新。為了進一步規避檢測和更深入目標系統,Stuxnet利用兩個盜來的數字證書,一個來自Jmicron,另一個來自Realtek,來設法使自己看起來像合法程序。這些證書都已經被吊銷了,但是如果系統沒有及時更新證書撤銷信息,Stuxnet使用的證書仍然會作為有效的證書。未來威脅可能還會利用被感染的證書。
使用端點管理軟件來確保及時的安全修復。如前所述,Stuxnet(與很多有針對性和非針對性的攻擊一樣)通常是使用之前的未知的軟件漏洞來獲取對可疑系統的訪問權。安全更新能夠解決被Stuxnet利用的漏洞,但是只有當真正安裝修復補丁后,系統才能避免這種威脅。端點管理軟件可以幫助管理安全修復,并確保進行了正確的部署。特別是對于那些過時的漏洞,因為這些常常被大家忽視,成為攻擊者的有利工具。
利用有效的數據丟失防御解決方案。數據丟失防御技術專門用于發現和預防內部數據泄漏事故。很多數據泄漏事故都是因為內部人員無意識泄漏造成的結果。如果不使用數據丟失防御技術來檢測這些泄漏事件、清除它們和加密信息,會讓攻擊者的工作輕松很多。對于Stuxnet,為了攻擊特定企業,攻擊者就需要描述目標企業運行的系統以及配置的重要數據。通過防止攻擊者獲取這些數據,我們就可以抵御類似攻擊的發生。
如果可能的話,部署自動化合規監測來杜絕默認密碼的使用。一些工業控制系統生產商堅持在它們的系統中使用默認密碼設置。這可能是出于正當理由,但是Stuxnet就恰恰利用了這個明顯的弱點。因為Stuxnet針對的是特定工業控制系統,而這些默認密碼通常是大家知道的,這很容易被攻擊者獲取。在沒有使用默認密碼的環境(希望這種情況能夠增加),自動合規監測可以控制默認密碼設置,確保沒有使用默認密碼,而且還能夠發現嘗試猜測密碼的情況。
Stuxnet非常復雜,需要大量資源來開發,很少有攻擊者能夠制造出類似的攻擊,因此,我們應該不會看到類似復雜的攻擊突然出現。然而,Stuxnet這樣的攻擊對現實世界造成的威脅是顯而易見的。
這個威脅表明針對關鍵基礎設施的攻擊不再只是“紙上談兵”,而是完全可能發生的,并且會越來越多。
【編輯推薦】
