讓我們看看行業最復雜的攻擊之一以及從中學到的教訓。伊朗核設施、零日漏洞、秘密特工和國家行動聽起來更像是間諜小說的背景故事，而不會讓人聯想到惡意軟件。然而，Stuxnet正是這樣一個惡意軟件。這個經過最多研究和分析的惡意軟件仍然在世界各地的安全界被研究和討論，盡管它已經出現了一年多之久。

你可能并沒有經營核電廠，那為什么應該擔心這個以特定離心機模型(特別是核電廠)為攻擊對象的惡意軟件呢?簡單地說，Stuxnet帶來了網絡噩夢，并且永遠地改變了安全世界，同時造成與監管控制和數據采集(SCADA)網絡(很多能源和公用事業公司內的控制操作)相關的高風險。

類似Stuxnet的攻擊是如何攻擊你的企業，而你又該如何阻止這種攻擊?讓我們看看。

第一個問題，你為什么要擔心這種惡意軟件?最近Ponemon研究所的報告(IT安全狀況：公用設施和能源公司的研究)顯示，在這些公司中，保護監管控制和數據采集系統是最高的安全目標，且是最難以實現的目標。對于這些運行監管控制和數據采集網絡的公司，Stuxnet帶來的危害就像是擁有充足資源的堅定而技術熟練的攻擊者造成危害。

對于其他公司而言，私有網絡和SCADA網絡存在差異，風險也不相同。最好的辦法就是理解Stuxnet的攻擊原理，它的意圖，最重要的是為什么這種攻擊能夠如此成功，以及可能攻擊你的網絡的這種惡意軟件的潛在變種。

在2009年6月、7月，以及2010年的3月、4月和5月，Stuxnet被用于針對五家企業的有針對性攻擊，這五家企業都與伊朗核設施有關聯。對特定企業的針對性是Stuxnet與傳統高級持續性威脅的主要區別。

我們通常都會聯想到高級持續性威脅，例如針對谷歌、Adobe、Juniper、Rackspace等的Aurora攻擊，這種攻擊利用了相同的零日IE漏洞，對多家企業部署了相同的技術以試圖竊取源代碼。

而另一方面，Stuxnet是一種非常復雜、資金充足、定制設計的攻擊，顯然是為了擾亂伊朗濃縮鈾的生產的單一目的。如果說高級持續性攻擊時針對某一范圍內多個目標的機槍的話，那么，Stuxnet就是熱敏GPS定位導彈。

安全研究人員研究了抵御Stuxnet的潛在抵御措施，他們創建了一個模擬核電廠網絡，配備了Stuxnet在2009年和2010年初發動攻擊時當時最優秀的安全防御工具。隨后，這些研究人員分析了Stuxnet使用過的每個感染、傳播和隱藏的切入點，來確定這些最佳措施是否能夠阻止這種惡意軟件的感染。

他們的結論是：“不行，以現在的部署情況，不能真正防止這種類型的攻擊。”但是這些研究人員提出了一些建議：不要專門針對這些危險，應該將重點放在企業的漏洞上。

USB驅動器是第一個教訓。可移動驅動器感染是非常常見的。惡意軟件被放在USB驅動或者外部移動硬盤中，在電腦間傳播。Stuxnet這種類型的攻擊更加致命的原因在于它使用了零日快捷漏洞，這就不需要任何用戶間的交互，只需要將驅動插入電腦。

針對這個問題的最佳防御手段就是可移動存儲設備安全軟件，很多安全供應商都供應這種安全軟件，能夠防止未知或未經授權USB驅動、CD/DVD、移動硬盤、數字音樂播放器等接入或者載入電腦。這些工具應該通過公司政策來強制執行，政策應該明確規定可移動存儲設備是否能夠用于特定計算機或者特定用戶。

第二個教訓就是傳播。Stuxnet依賴于網絡漏洞，將其自身藏在WinCC項目文件中以確保能夠在指定時間內被執行。這種類型的傳播需要工作站間的點到點通信。

你可以通過使用托管防火墻過濾潛在危險的流量來阻止這種類型的傳播，，例如讓一臺計算機直接與另一臺計算機通信的服務。Stuxnet利用了一個漏洞來從工作站A向工作站B發送精心設計的RPC信息，導致它執行代碼下載惡意軟件。如果工作站B部署了防火墻來防止入站連接的話，這種攻擊就會失敗。

第三個教訓是身份驗證。Stuxnet使用的Windows rootkit做的事情是整個安全行業從未見過的，它利用來自合法公司的合法證書來讓windows驅動程序來掩蓋其身份。

Stuxnet并不必擔心其代碼與其他惡意軟件使用的所有復雜的技術混淆，如果你是一個管理員，你會懷疑Windows\System32文件夾下名為MrxNet.sys由RealTek編寫，有合法證書的文件嗎?

If this install was not on your schedule, it might be someone operating without following change management procedures, or it might be something nasty, like Stuxnet. 你現在可以做的就是使用文件哈希和更改管理工具(例如來自Tripwire公司用于檢測這些“隱藏在眾目睽睽之下”的技術)。當一個新的驅動程序被安裝時，監測關鍵windows驅動程序文件夾的更改管理工具會發出一個警告。如果這種安裝并不是你的指示，那么可能是有人在沒有按照更改管理程序來操作，或者更糟糕的情況，例如Stuxnet。