如何避免黑客組織攻擊你的企業
當諸如Anonymous和LulzSec這樣的安全破解團體在不斷制造新聞時,企業的IT人員卻憂心忡忡,提心吊膽。這類組織之所以出名,是因為他們總是將攻擊目標鎖定為那些大型企業,而對于這些企業來說,任何時候只要有微小的破壞就能導致嚴重的財務損失。而我在本文中之所以用Anonymous和LulzSec來舉例,是因為不久前這兩個團體分別獨立對Sony進行了攻擊。
2011年6月25日,著名黑客組織LulzSec宣布解散,但是我們都不難想象,肯定會有類似的組織重新出現。事實上,與之類似的組織早已有很多了。而之前LulzSec曾經與另一個聲名狼藉的黑客組織Anonymous以類似的手法和動機,計劃在全球范圍針對政府IT資源展開所謂“Anti-Security運動”的大規模攻擊。
在面對這種黑客團體時,很多IT人士都會驚慌失措,他們一般都會問:“我該解決系統中那些漏洞,才能防止黑客團隊對我的系統展開攻擊呢?”他們實際上是想知道“如果我將重點放在SQL注入漏洞的防護上,是不是就能防止未來類似于LulzSec這樣的黑客組織對我的攻擊呢?”事實上,SQL注入確實是LulzSec常用的一種特色攻擊手段。而一般來說,IT管理員所要做的是將全部漏洞都打上補丁,修補的順序可以先考慮SANS頂級網絡安全風險上列出的漏洞。
而要想盡可能避免被與LulzSec有類似攻擊動機的黑客組織盯上,一個更簡單的方法就是了解這些黑客組織的攻擊動機,并由此找到避免成為攻擊目標的方法。對于任何思路清晰,不抱有過多偏見的人來說,只需要仔細思考幾分鐘,基本都能根據黑客組織目前的狀態以及活動規律分析出他們的攻擊動機。
首先,也是最重要的,即LulzSec表現的很活躍,或者說是毫不介意承認自己的網絡犯罪行為。從某種角度看,這是一種幸災樂禍的心態,即把自己的快樂建立在別人遭受的損失上。從這個角度看,LulzSec是很特殊的一類黑客組織。
在Anti-Security運動的宣言中,LulzSec表態說:
我們計劃每周都發布有關軍隊和政府的機密文件,不僅僅是為了揭露他們的種族主義和腐敗的本性,還要破壞他們為不公正的毒品戰爭所作的努力。全世界的黑客們應該團結起來,用直接的行動反抗我們共同的壓迫者—全世界的政府、企業、警察和軍隊。
這份聲明中所說的計劃確實實施了:LulzSec通過入侵亞利桑那州安全部門獲取了大量敏感信息,并將其公布出來。之所以要針對亞利桑那州安全部門進行攻擊,可能有部分因素是因為該州的法律規定一些外地人需要隨身攜帶身份證明,隨時出示給該州執法官員檢查。
而聲明中所指的壓迫者,包括了政府機構和大型企業,尤其是有政府背景的大型企業,因為這類企業的性質導致他們比一般企業“更殘酷的對待客戶”。但諷刺的是,LulzSec的很多攻擊行為,也使得這類企業所殘酷對待的客戶遭受了間接傷害,因為LulzSec在攻擊大型企業后將所獲取的客戶數據公之于眾了。但一般來說,不論黑客組織獲取了什么數據,或者是否攻擊成功,他的攻擊目標都是那些被認為曾經有過欺騙或更惡劣對待客戶行為的大型企業。
Anonymous組織選擇攻擊目標的方法也是一樣。Sony公司因此被這兩個黑客組織分別選中成為了他們的攻擊目標,通過黑客手段在用戶電腦上安裝rootkits的方法破壞Sony公司在全球的客戶關系和企業聲譽。Anonymous還將ChurchofScientology作為自己的攻擊目標,因為這個機構曾經通過恐嚇手段阻止機構前成員談論機構的內幕。而不久前,Anonymous還針對那些幫助關閉WikiLeaks網站的企業進行過大范圍的攻擊。
只要有政府機構或企業單位出現欺壓人民或客戶的事件(或有類似的傾向),早晚都會成為黑客組織的攻擊目標,因此商業機構和政府部門不要試圖審查,恐嚇或欺騙用戶。而那些關心客戶安全和隱私保護,并且盡力保護用戶安全的企業,或者更泛泛的說,那些不是圖阻止用戶和數據遷移,不炫耀自己的IT安全水平的企業和機構,可能會較少被黑客組織鎖定。而那些傾向于對政府的行政命令說“不”的企業,那些主張提升執政和經營透明度的企業,以及支持開源軟件開發聯盟的企業,被黑客組織盯上的幾率就更低了。
雖然這并不能算是避免被黑客組織盯上的最佳方案,但是在你考慮該如何避免成為LulzSec這樣的黑客組織的攻擊目標時,可以問自己這樣一個問題:讓自己避免成為攻擊目標,與嘗試做一個良好的互聯網公民,這之間有什么差別嗎?
換句話說,如果你想知道你的企業是否可能成為Anonymous和LulzSec這樣的黑客組織的攻擊目標,可以問問自己,你的企業或機構是在監管別人,還是被別人監管。
【編輯推薦】
