|
如果你的網(wǎng)絡(luò)中潛伏著高級(jí)持續(xù)性攻擊威脅�,你的安全團(tuán)隊(duì)會(huì)知道嗎?在RSA大會(huì)上���,HBGary的Greg Hoglund與我們分享了四種抵御有害攻擊的方法��。
大部分針對(duì)企業(yè)的攻擊都是投機(jī)詐騙和網(wǎng)絡(luò)犯罪����,但是對(duì)于想要保護(hù)客戶信息和企業(yè)知識(shí)產(chǎn)權(quán)信息的企業(yè)而言����,還需要關(guān)注更為持久的攻擊者。
雖然“高級(jí)持續(xù)性威脅”(APT)現(xiàn)在已經(jīng)成為一個(gè)營銷口號(hào)���,但持續(xù)攻擊者的確對(duì)企業(yè)構(gòu)成威脅��,HBGary公司首席技術(shù)官Greg Hoglund表示。隨著攻擊者逐漸意識(shí)到悄悄在企業(yè)網(wǎng)絡(luò)內(nèi)搶灘的好處��,企業(yè)IT安全團(tuán)隊(duì)需要假設(shè)攻擊者已經(jīng)越過了他們的防線���,并且積極追捕已經(jīng)在其網(wǎng)絡(luò)中的入侵者���。
他表示:“你不能完全依賴于外部供應(yīng)商為你提供一個(gè)神奇的黑名單�,就能解決所有安全問題�����。”
HBGary發(fā)現(xiàn)高級(jí)持續(xù)性攻擊并不需要使用先進(jìn)的技術(shù)來獲取企業(yè)的關(guān)鍵信息���。一年前�,自稱是Anonymous運(yùn)動(dòng)成員的攻擊者獲取了該公司子公司HBGary Federal電子郵件賬戶的訪問權(quán)限����,并且泄露了敏感信息,即使攻擊者沒有獲取對(duì)該公司網(wǎng)絡(luò)的訪問權(quán)限���。
Hoglund表示�,對(duì)付專門針對(duì)你公司的攻擊者是一個(gè)很棘手且成本很高的問題�����。
“這是一個(gè)反間諜問題����,”Hoglund表示����,“你必須愿意接受將其作為反間諜問題的成本��,如果你想要更好的安全性的話���。”
以下是Hoglund的建議�,以幫助企業(yè)更好地發(fā)現(xiàn)網(wǎng)絡(luò)中的高級(jí)持續(xù)性攻擊��。
1. 請注意可疑行為
高級(jí)持續(xù)性攻擊者會(huì)使用社會(huì)工程學(xué)和其他方法(例如破壞第三方服務(wù)器)來獲取訪問企業(yè)網(wǎng)絡(luò)的有效憑證信息���。在這一點(diǎn)上���,我們幾乎不可能根據(jù)檢測惡意代碼來檢測攻擊者。相反的��,防御者需要將重點(diǎn)放在檢查可疑活動(dòng)上����。
“一旦他們開始進(jìn)行持續(xù)攻擊,他們可能不會(huì)再使用漏洞利用����,”他表示,“他們只會(huì)使用用戶登錄信息來登錄����,這是一個(gè)完全不同的問題。查找惡意軟件并無濟(jì)于事���。”
檢測網(wǎng)絡(luò)中怪異的員工行為變得非常重要���,特別是在登錄信息被泄露時(shí)。例如�����,有這樣一個(gè)案例����,在從目標(biāo)滲出數(shù)據(jù)前,攻擊者通常會(huì)習(xí)慣性地等待三天�����。對(duì)異常行為比較敏感的企業(yè)就能夠檢測到這種活動(dòng)��。
他表示,“如果在著三天中��,我們知道他們會(huì)滲出數(shù)據(jù)����,那么我們就可以做好準(zhǔn)備。”
2.檢測流量
每個(gè)公司都想要防止攻擊者進(jìn)入�,但是企業(yè)應(yīng)該假設(shè),攻擊者已經(jīng)滲透入他們的網(wǎng)絡(luò)��。當(dāng)事情真的發(fā)生時(shí)����,攻擊者最初滲入的系統(tǒng)從來都不是攻擊者真正感興趣的系統(tǒng)。
攻擊者會(huì)侵入任何內(nèi)部系統(tǒng)���,然后使用那個(gè)系統(tǒng)在網(wǎng)絡(luò)內(nèi)橫向移動(dòng)���。雖然企業(yè)應(yīng)該注意到攻擊者在網(wǎng)絡(luò)中,但是攻擊者會(huì)制造很多異常網(wǎng)絡(luò)流量����,這些流量可能會(huì)暴露他們的活動(dòng)。查看流量是關(guān)鍵��。
Hoglund表示:“如果你可以檢測到網(wǎng)絡(luò)內(nèi)的橫向移動(dòng),你就能夠檢查出高級(jí)持續(xù)攻擊�����。”
3.當(dāng)發(fā)現(xiàn)一個(gè)被感染系統(tǒng)��,不要停下腳步
很多公司只會(huì)清除被感染的服務(wù)器��,然后重新安裝系統(tǒng)�。然后企業(yè)會(huì)發(fā)現(xiàn)追蹤其他感染系統(tǒng)變得難上加難��。
IT安全團(tuán)隊(duì)?wèi)?yīng)該利用這個(gè)被感染系統(tǒng)找出其他已經(jīng)被感染的系統(tǒng)�����。
高級(jí)攻擊者會(huì)使用一種鞏固戰(zhàn)略�����,當(dāng)他們在環(huán)境中部署了遠(yuǎn)程訪問工具后�,他們不可能只部署一個(gè)這樣的工具。
例如�,在另一個(gè)案例中,HBGary追蹤了攻擊者三個(gè)月����,并且清除了他們的訪問權(quán)限�����。他們不停地尋找���,最終發(fā)現(xiàn)了與已經(jīng)檢測到的遠(yuǎn)程訪問工具相同的工具,不過使用的是微軟的Windows Messenger的副本作為緊急后門��,以防萬一有人會(huì)清除他們的訪問權(quán)限��。
他表示:“他們部署了多層次戰(zhàn)略����,也就是說,如果你找到他們的東西�,你需要找出所有東西才行。”
4.尋找滲出點(diǎn)
當(dāng)攻擊者發(fā)現(xiàn)有價(jià)值的信息���,他就會(huì)準(zhǔn)備滲出數(shù)據(jù)��。這也是防御者可以檢測到攻擊者存在的一點(diǎn)�,找尋服務(wù)器中大型壓縮文件是一個(gè)不錯(cuò)的開始���。
“我們看到攻擊者利用RAR作為滲出數(shù)據(jù)的格式���,還有CAB文件���,”Hoglund表示��,RAR是WinRAR的專有歸檔格式���,而CAB文件是微軟用于壓縮軟件組件以便于安裝者使用的格式�����。
通過搜索網(wǎng)絡(luò)中的RAR和CAB文件���,企業(yè)可能能夠找出潛在的滲出點(diǎn)。
Hoglund表示:“你知道嗎?如果你發(fā)現(xiàn)某臺(tái)機(jī)器堆滿這些格式的文件���,你可能就找到了一個(gè)滲出點(diǎn)����。”
本文出自:億恩科技【www.allwellnessguide.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)���!虛擬主機(jī)域名注冊頂級(jí)提供商����!15年品質(zhì)保障���!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
