首页> 健康 >正文

认清劲敌 寻求信息安全未来保障

2019/10/9 1:02:11来源:新浪娱乐 编辑:李敏萱

对于用户来说,迫切需要认清自己的劲敌:小型、针对性的入侵攻击正成为危及企业网络的下一波攻击主角。

  打一场实力悬殊的战争,给你带来的感觉会如同在地狱一般。当然,你可能有夜视镜、盔甲和空中支援,但现在你不是单兵作战,而是在为一个关系错综复杂的机构工作,打一场同你以往所打的完全不同的战争。另一方面,你的对手装备也许不如你好,但胜在敏捷、足智多谋且熟练于探测和挖掘最微小的弱点。可以说,双方的实力非常悬殊,你甚至在遭受攻击时还茫然不知。

  据美国政府透露,许多攻击都使用钓鱼式攻击电子邮件,诱使员工打开电子邮件附件或访问网站,下载针对公共应用(如Microsoft Word 或IE)中的零日漏洞的特洛依木马。一旦黑客们获得对网络内某个系统的访问权后,他们就散布到整个网络、收集敏感信息并植入Rootkit和后门程序,从而确保他们在网络上能站稳脚跟。

  政府机构并不是惟一的受害者。据信息安全公司WebSense报告,本月已记录了许多例针对互联网服务提供商(ISP)、电子商务和银行站点客户和员工的网络钓鱼攻击。该公司还点明,在2006年上半年发散用于抓取受害人桌面图像的犯罪软件(如键盘记录器和屏幕搜刮器)的站点数量翻了一番。

  WebSense公司发现网络罪犯比以往更有创造性、组织性和商业头脑。需要注意的是,已经出现这样的公司,它们专门生产销售工具集以及开发用来使数据不容易被技术犯罪者所偷盗的商业伴侣程序,并以此牟利。

  新一波的攻击正挑战传统智慧,对基于特征码安全产品的有效性打了个问号。来自内部网络的未知数量的低强度攻击常被忽略。

  为此,一个IT管理人员要做些什么呢?安全专家表示,没有容易的解决方式。虽然传统的分层式安全防护仍是最好的防护方式,但未来几年将会更注重投资在有突破性或更有远见的技术、程序上,如内部威胁检测和安全的程序写法。对于在安全防护最前线的那些人来说,新的、更有效的防御不可能在瞬间达成。

  挑战传统的新攻击

  Peiter Zatko是为BBN公司的国家情报研究和应用组工作,他发现新一代攻击所产生的破坏都能与越南、阿富汗和伊拉克的非对称战争旗鼓相当了:攻击者使用大量分离型的针对性攻击,常常能阻拦受害者看到大型威胁的踪迹。

  “政府和企业的IT安全防护部门都无法联想到此类低调侵入。他们已有的思维定势,就是边界防护和标准种类的探查和端口扫描。这种外来网络力量可能花几年时间来进行渗透,然后站稳脚步并阻绝你对自己系统的使用。”Mudge表示,“而这正是我们必须开始正视的问题。”

  美国系统网络安全协会(SANS Institute)研究总监Alan Paller深表同感道:“使用网络钓鱼攻击和零日漏洞没有真正的范围。一旦有人进入,在无人监视情况下,就会像病毒转移一样迅速扩散。”

  更不必提家贼难防了。据Cybertrust公司数据显示,在对所有要求调查的事故中,约10%的事故的问题根源在于内部员工。Cybertrust公司全球服务高级副总裁Kerry Bailey还表示,还有其他30%的攻击是通过商业伙伴和其他可信任方的连接进行的。

  “首要问题是,这些人根本不必硬闯,就能进入网络。他们可能已有访问权,如防火墙和入侵检测系统(IDS)的设备根本对他们毫无作用,因为你必须允许员工有权访问资源来完成他们的工作。”网络防御专家 Eric Cole表示。他同时还是Sytex集团首席技术官和纽约技术学院和乔治敦大学的兼职教授。

  而Mudge表示,这意味着IT员工必须理解攻击是如何在网络内完成的——系统中的软件漏洞如何使攻击者获得一个立足点,从而能损害其他系统、访问敏感数据且将这些数据从你的网络中偷运出来。

  换句话说,匿名黑客已渗透进你的网络并隐藏起他们行迹,但他们仍然不是无迹可循的。大多数情况下,企业网络的渗透者不知道他们想要的数据到底在哪,必须到处寻找才行。在这么做时,他们常由于违反Mudge所谓的网络物理学而暴露他们的存在。Mudge表示:“考虑一下你的内部环境,你就能真正确定你的数据分布在哪里。假设我发现有人访问一串不同的数据库或金融、市场、研发等不同数据库服务器,显然这就极其不合理了。”

  他还列举了一些例子。比如Mudge帮助创建的Intrusic公司,它销售搜寻各种罪证的产品。而越来越多多企业开始投资在从多个安全产品关联数据的SEM(安全事件管理)工具。

  但安全专家也表示同意,在近期内仍然没有对抗内部威胁的有效技术。在此期间,IT管理人员应培训合格的内部事故响应队伍来查找欺骗的对象,还应准备对攻击的动态弹性响应,以便在事情暴发时不会引发恐慌。

  进行消耗战

  怎样在攻击开始前就阻止他们呢?不幸的是,要有效地检举有组织的网络犯罪团体和黑客还远着呢。实际上,最好的战略是机智灵活防御,使攻击发动成本很高,导致黑客无力搞出大的动作。

  Booze Allen Hamilton公司近期刚经历这样一种现象,一家主要的海外银行客户成为网络钓鱼攻击的目标,这家银行就将资金转出他们受到危及的账号。Booze为这家银行设计了一个解决方案,使用蜜罐(Honeypots)技术识别受损账号,同时告知该账号的客户修好这个漏洞,从而迫使攻击者只能使用不同渠道。

  “一两个月后,攻击都换到电话频道,使用电话钓鱼式攻击。”Booz Allen Hamilton公司安全网络设计方面的一个专家Ron Ritchey表示,“这就像你扔一块石头到小河,使它改道流到其他区域。”尽管如此,由于银行有过预先警告,在电话式钓鱼攻击发生时就会有一个准备好的响应计划。

  这想法是类似博弈论中的“消耗战”,就是比赛双方在比赛结束前如何更多地消耗对手。“也就是说,使一方在比赛中的损失超过他们所能赢得的价值。”Mudge表示,处理这一明显的问题是一个长期过程,因为在这点上大多数企业不易占到上风。

  “大型企业更多关注的是业务连续性,而不是抓住网络骗子。”nCircle网络安全公司首席技术官Tim Keanini表示。“如果他们能发现一种方式增加对手进行入侵的成本,使对手会因成本太高而不得不放弃这种入侵方式,这就是一种好方式。”他还表示,像虚拟化之类的技术可带给企业架构足够的多样性和可变性来使入侵者在尝试入侵时需要花费巨大的代价和时间。

  隐藏你的资产

  攻击途径如此多,许多企业最大的问题是决定他们最需要保护的是什么。“当我和主管们交谈时,情况实在不容乐观。”Sytex公司的Cole表示,“我问他们‘你的关键资产是什么?哪类数据落入不正当的人手中会对你造成最大损害?\\’但他们并不知道,他们会就这个问题跟你打起太极。”

  这种远见的缺乏使得主管们只是因为技术而投资安全技术,从不考虑这技术是否使他们的企业更为安全。“主管们可能自我感觉良好,他们可能会说‘我已有了防火墙和入侵检测系统(IDS)’,并且他们很有自信。”Cole补充道,“但是如果他们连他们的IP是什么都不知道,也不知道这些安全产品是否真正起作用了,这又有什么意义呢?”

  Bailey 表示,Cybertrust 公司经常碰到数百万美元的安全项目由于没能有效保护关键资产,所有风险几乎没减少分毫。他说:“我近期就看到一个通过加密网络来保护数据、金额达3000万美元的项目,但他们所努力保护的核心数据却只需一个四位数PIN码就可访问到。而破解一个四位数PIN码比破解网络加密要容易得多,假设你是一个攻击者,你会选择怎么做就不言自明了。”

  “你必须开始了解数据所在位置和如何应用它来支持你的商业目标。”Sytex公司的 Cole表示,“问问你自己‘我们知道我们关键数据是什么吗,我们关键泄露环节在哪?将会彻底搞跨企业的可能发生事情中最坏可能事情是什么?\\’”认清关键资产,对其应用“最少用户权限”概念,即只分配主要负责人用于完成工作所需的最少数据访问权限。Cole解释,这会是个好的开始。而好的开始是成功的一半。

  重视软件安全

  最后,专家承认去除软件在代码层的漏洞是最好的防御。在过去两年里,由于黑客开发出更精密方法来获取远程可利用的漏洞,因此低层软件的安全问题已显得特别棘手。

  Booz Allen Hamilton公司的Ritchey举了个例子,日益依赖的输入模糊(Input Fuzzing)软件是一类测试软件,是在软件应用上投入一股输入的稳定流量,希望造成一次软件意外,从而暴露出一个潜在漏洞。随着严重的有组织犯罪和隐藏在这类行为背后的金钱诱惑,应用程序漏洞数据已不断增加,甚至是已做过很好的测试的应用也不例外,如微软的IE 和Office。 随着安全重心转移到应用程序的漏洞,精密应用程序攻击已成为黑客们常备剧目。Ritchey表示:“这些人真正有数百个可用攻击工具,且从细微处都做了修改。如今他们已是鸟枪换大炮了。”据Cybertr

  ust公司统计,新的黑客工具中应用程序非法渗透工具远多过网络非法渗透工具,到去年两者比例已达到了2∶1。

  使应用程序更能抵制住攻击将能立刻解决许多企业IT们的头疼问题。Counterpane互联网安全公司首席技术官Bruce Schneier表示:“想想,开始时由于应用程序写得很糟,你必须使用防火墙。这是一种公认行为,不要在事情发生后,才说‘哦,我的天,应用程序情况太糟了,我们必须进行保护。\\’如果应用程序够好,就不会有需要你拦截的数据包,你也就不会需要防火墙。”

  不幸的是,软件质量问题是个棘手的问题。“我们已在这问题上花了很长时间,而且我们仍不能根除这个问题。” Ritchey 提到,“一旦你拥有20万行代码,其复杂性远超出你能理解的极限。”

  Schneier表示,真正的软件担保,在20年甚至30年之内还不会有。“要怎么做我们完全没有概念。证明安全性?先别管它,目前我们是毫无头绪;安全担保是一门技术?当然;是一门科学?为时不远了。” 相关阅读:
书法班加盟 www.sesfw.com

>>高清图集

推荐新闻
最新新闻