西北太平洋國(guó)家實(shí)驗(yàn)室在今年7月檢測(cè)到針對(duì)其技術(shù)基礎(chǔ)設(shè)施發(fā)動(dòng)的網(wǎng)絡(luò)攻擊（實(shí)際上有兩起攻擊）后，這家實(shí)驗(yàn)室迅速采取了行動(dòng)，查明了漏洞根源，并確保了網(wǎng)絡(luò)安全。該實(shí)驗(yàn)室隨后做出了很少有其他網(wǎng)絡(luò)攻擊受害者愿意做出的舉動(dòng)：它決定公開(kāi)談?wù)摪l(fā)生的情況。

 

西北太平洋國(guó)家實(shí)驗(yàn)室的CIO Jerry Johnson在上周詳細(xì)敘述了遭到的網(wǎng)絡(luò)攻擊。Johnson在加利福尼亞州戴納波恩特市舉行的《信息周刊》500強(qiáng)大會(huì)上作了發(fā)言，敘述了入侵者如何利用該實(shí)驗(yàn)室其中一臺(tái)面向公眾的Web服務(wù)器存在的安全漏洞，從而把“路過(guò)式”安全漏洞植入到網(wǎng)站訪(fǎng)客（其中就有實(shí)驗(yàn)室員工）的PC上。在之后的幾星期，黑客通過(guò)中招的工作站，偷偷摸摸地偵察該實(shí)驗(yàn)室的網(wǎng)絡(luò)。 

 

與此同時(shí)，一起魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊襲擊了該實(shí)驗(yàn)室的其中一個(gè)主要的業(yè)務(wù)合作伙伴，該實(shí)驗(yàn)室與業(yè)務(wù)合作伙伴共享網(wǎng)絡(luò)資源。這第二伙黑客設(shè)法獲得了一個(gè)特權(quán)帳戶(hù)，闖入了該實(shí)驗(yàn)室與合作伙伴共享的root域控制器。入侵者試圖重新創(chuàng)建并提升帳戶(hù)權(quán)限時(shí)，這一行動(dòng)觸發(fā)了警報(bào)，結(jié)果實(shí)驗(yàn)室的網(wǎng)絡(luò)安全小組引起了注意。

 

實(shí)驗(yàn)室在短短幾小時(shí)內(nèi)立馬決定斷開(kāi)網(wǎng)絡(luò)，目的是為了切斷黑客的通信路徑，遏制任何進(jìn)一步的破壞。在7月4日的周末，就在其他人享受假期的同時(shí)，西北太平洋國(guó)家實(shí)驗(yàn)室的安全小組忙得不可開(kāi)交：進(jìn)行網(wǎng)絡(luò)取證分析，重新構(gòu)建域控制器，重新制作系統(tǒng)映像，還恢復(fù)了之前停運(yùn)的網(wǎng)絡(luò)服務(wù)。

 

誰(shuí)策動(dòng)了這些攻擊？這是CIO Johnson不會(huì)討論的一個(gè)問(wèn)題。但值得一提的是，隸屬美國(guó)能源部的諸機(jī)構(gòu)據(jù)說(shuō)是名為遠(yuǎn)端操控隱蔽行動(dòng)（Operation Shady RAT）的一連串網(wǎng)絡(luò)攻擊的目標(biāo)。這起行動(dòng)已持續(xù)了好幾年，目標(biāo)針對(duì)70多家公司、國(guó)防承包商和政府機(jī)構(gòu)。從現(xiàn)有的證據(jù)來(lái)看，一些專(zhuān)家猜測(cè)那些攻擊起源于中國(guó)。

 

在《信息周刊》500強(qiáng)大會(huì)上一場(chǎng)名為《剖析零日攻擊》的分會(huì)上，Johnson坦率地談?wù)摿嗽搶?shí)驗(yàn)室針對(duì)入侵事件采取了怎樣的對(duì)策。他還分享了從這起事件中學(xué)到的幾個(gè)經(jīng)驗(yàn)。

 

零日攻擊經(jīng)驗(yàn)1. 多層安全環(huán)境存在危險(xiǎn)。雖然西北太平洋國(guó)家實(shí)驗(yàn)室的IT安全邊界得到了妥善保護(hù)，但還是被攻擊突破了防線(xiàn)。作為“深層防御”機(jī)制的擁護(hù)者，Johnson現(xiàn)在更加重視對(duì)數(shù)據(jù)本身的保護(hù)。

 

零日攻擊經(jīng)驗(yàn)2. 清除遺留的少數(shù)技術(shù)。第一起攻擊中的那臺(tái)Web服務(wù)器基于該實(shí)驗(yàn)室中很少使用的技術(shù)：Adobe ColdFusion。這種眼不見(jiàn)心不煩的技術(shù)本身就很容易遭到攻擊，因?yàn)樗鼈儫o(wú)法得到與組織機(jī)構(gòu)的主要平臺(tái)一樣大的關(guān)注力度。 

 

零日攻擊經(jīng)驗(yàn)3. 全天候不間斷地監(jiān)控網(wǎng)絡(luò)安全事件。高級(jí)持續(xù)性威脅（如攻擊西北太平洋國(guó)家實(shí)驗(yàn)室的威脅）其特點(diǎn)就在于具有持續(xù)性，因而需要不斷保持警惕。各政府部門(mén)正致力于“持續(xù)監(jiān)控”工作，目的在于近乎實(shí)時(shí)地了解計(jì)算機(jī)系統(tǒng)安全的狀況。

 

零日攻擊經(jīng)驗(yàn)4. 確保擁有基本的取證分析能力。如果你的網(wǎng)絡(luò)果真遭到了黑客的攻擊，安全小組就必須能夠重現(xiàn)事件、評(píng)估危害。你所汲取的經(jīng)驗(yàn)教訓(xùn)有助于防止重蹈覆轍。 

 

零日攻擊經(jīng)驗(yàn)5. 響應(yīng)小組里面要有高級(jí)項(xiàng)目經(jīng)理。針對(duì)安全泄密事件采取對(duì)策，不但需要注意細(xì)節(jié)、認(rèn)真協(xié)調(diào)，還要能夠在很短的時(shí)間內(nèi)讓高層管理班子行動(dòng)起來(lái)；必要的話(huà)，交由更高層的管理人員作出決策。 

 

零日攻擊經(jīng)驗(yàn)6. 要準(zhǔn)備好尋求幫助，而不是坐以待斃。你可能需要請(qǐng)來(lái)安全專(zhuān)家、業(yè)務(wù)合作伙伴、執(zhí)法人員或者其他外面的人。在西北太平洋國(guó)家實(shí)驗(yàn)室，Johnson通知了公共事務(wù)辦公室，目的是為了準(zhǔn)備應(yīng)對(duì)媒體勢(shì)必會(huì)提出來(lái)的問(wèn)題。 

 

零日攻擊經(jīng)驗(yàn)7. 訂有確保通信連續(xù)性的應(yīng)急計(jì)劃。西北太平洋國(guó)家實(shí)驗(yàn)室斷開(kāi)網(wǎng)絡(luò)后，黑客們無(wú)法造成進(jìn)一步的危害。遺憾的是，這一決定也意味著，實(shí)驗(yàn)室的員工失去了網(wǎng)絡(luò)服務(wù)，包括電子郵件和語(yǔ)音郵件。應(yīng)當(dāng)為可能出現(xiàn)的這種結(jié)果作好準(zhǔn)備，所以事先要共享手機(jī)號(hào)碼和替代的電子郵件地址。

 

正如遠(yuǎn)端操控隱蔽行動(dòng)以及針對(duì)谷歌和其他公司的類(lèi)似網(wǎng)絡(luò)攻擊表明的那樣，風(fēng)險(xiǎn)很復(fù)雜，而且越來(lái)越大。Johnson覺(jué)得公開(kāi)談?wù)摽梢詭椭渌麢C(jī)構(gòu)加強(qiáng)防御。因此，他理應(yīng)受到莫大的贊揚(yáng)。遭到網(wǎng)絡(luò)攻擊后，不聲不響是習(xí)慣做法，但是公開(kāi)談?wù)撚兄诩訌?qiáng)防備能力。

 

原文鏈接：http://informationweek.com/news/security/attacks/231601692