|
如果你的網(wǎng)絡中潛伏著高級持續(xù)性攻擊威脅,你的安全團隊會知道嗎?在RSA大會上�����,HBGary的Greg Hoglund與我們分享了四種抵御有害攻擊的方法����。
大部分針對企業(yè)的攻擊都是投機詐騙和網(wǎng)絡犯罪,但是對于想要保護客戶信息和企業(yè)知識產(chǎn)權(quán)信息的企業(yè)而言�,還需要關(guān)注更為持久的攻擊者。
雖然“高級持續(xù)性威脅”(APT)現(xiàn)在已經(jīng)成為一個營銷口號����,但持續(xù)攻擊者的確對企業(yè)構(gòu)成威脅,HBGary公司首席技術(shù)官Greg Hoglund表示�。隨著攻擊者逐漸意識到悄悄在企業(yè)網(wǎng)絡內(nèi)搶灘的好處,企業(yè)IT安全團隊需要假設攻擊者已經(jīng)越過了他們的防線��,并且積極追捕已經(jīng)在其網(wǎng)絡中的入侵者��。
他表示:“你不能完全依賴于外部供應商為你提供一個神奇的黑名單�����,就能解決所有安全問題����。”
HBGary發(fā)現(xiàn)高級持續(xù)性攻擊并不需要使用先進的技術(shù)來獲取企業(yè)的關(guān)鍵信息�����。一年前���,自稱是Anonymous運動成員的攻擊者獲取了該公司子公司HBGary Federal電子郵件賬戶的訪問權(quán)限,并且泄露了敏感信息���,即使攻擊者沒有獲取對該公司網(wǎng)絡的訪問權(quán)限����。
Hoglund表示�,對付專門針對你公司的攻擊者是一個很棘手且成本很高的問題。
“這是一個反間諜問題���,”Hoglund表示,“你必須愿意接受將其作為反間諜問題的成本��,如果你想要更好的安全性的話�����。”
以下是Hoglund的建議,以幫助企業(yè)更好地發(fā)現(xiàn)網(wǎng)絡中的高級持續(xù)性攻擊��。
1. 請注意可疑行為
高級持續(xù)性攻擊者會使用社會工程學和其他方法(例如破壞第三方服務器)來獲取訪問企業(yè)網(wǎng)絡的有效憑證信息��。在這一點上��,我們幾乎不可能根據(jù)檢測惡意代碼來檢測攻擊者����。相反的�����,防御者需要將重點放在檢查可疑活動上�。
“一旦他們開始進行持續(xù)攻擊��,他們可能不會再使用漏洞利用�����,”他表示����,“他們只會使用用戶登錄信息來登錄�����,這是一個完全不同的問題。查找惡意軟件并無濟于事。”
檢測網(wǎng)絡中怪異的員工行為變得非常重要,特別是在登錄信息被泄露時。例如,有這樣一個案例��,在從目標滲出數(shù)據(jù)前��,攻擊者通常會習慣性地等待三天�。對異常行為比較敏感的企業(yè)就能夠檢測到這種活動。
他表示�����,“如果在著三天中����,我們知道他們會滲出數(shù)據(jù)���,那么我們就可以做好準備。”
2.檢測流量
每個公司都想要防止攻擊者進入��,但是企業(yè)應該假設����,攻擊者已經(jīng)滲透入他們的網(wǎng)絡�。當事情真的發(fā)生時��,攻擊者最初滲入的系統(tǒng)從來都不是攻擊者真正感興趣的系統(tǒng)。
攻擊者會侵入任何內(nèi)部系統(tǒng),然后使用那個系統(tǒng)在網(wǎng)絡內(nèi)橫向移動�。雖然企業(yè)應該注意到攻擊者在網(wǎng)絡中����,但是攻擊者會制造很多異常網(wǎng)絡流量,這些流量可能會暴露他們的活動�。查看流量是關(guān)鍵�����。
Hoglund表示:“如果你可以檢測到網(wǎng)絡內(nèi)的橫向移動����,你就能夠檢查出高級持續(xù)攻擊�����。”
3.當發(fā)現(xiàn)一個被感染系統(tǒng)����,不要停下腳步
很多公司只會清除被感染的服務器����,然后重新安裝系統(tǒng)����。然后企業(yè)會發(fā)現(xiàn)追蹤其他感染系統(tǒng)變得難上加難��。
IT安全團隊應該利用這個被感染系統(tǒng)找出其他已經(jīng)被感染的系統(tǒng)���。
高級攻擊者會使用一種鞏固戰(zhàn)略�����,當他們在環(huán)境中部署了遠程訪問工具后,他們不可能只部署一個這樣的工具。
例如,在另一個案例中�,HBGary追蹤了攻擊者三個月���,并且清除了他們的訪問權(quán)限���。他們不停地尋找����,最終發(fā)現(xiàn)了與已經(jīng)檢測到的遠程訪問工具相同的工具,不過使用的是微軟的Windows Messenger的副本作為緊急后門����,以防萬一有人會清除他們的訪問權(quán)限����。
他表示:“他們部署了多層次戰(zhàn)略���,也就是說,如果你找到他們的東西,你需要找出所有東西才行。”
4.尋找滲出點
當攻擊者發(fā)現(xiàn)有價值的信息�,他就會準備滲出數(shù)據(jù)�����。這也是防御者可以檢測到攻擊者存在的一點�����,找尋服務器中大型壓縮文件是一個不錯的開始。
“我們看到攻擊者利用RAR作為滲出數(shù)據(jù)的格式�����,還有CAB文件��,”Hoglund表示��,RAR是WinRAR的專有歸檔格式��,而CAB文件是微軟用于壓縮軟件組件以便于安裝者使用的格式��。
通過搜索網(wǎng)絡中的RAR和CAB文件����,企業(yè)可能能夠找出潛在的滲出點�����。
Hoglund表示:“你知道嗎?如果你發(fā)現(xiàn)某臺機器堆滿這些格式的文件����,你可能就找到了一個滲出點。”
本文出自:億恩科技【prubsntakaful.com】
服務器租用/服務器托管中國五強�����!虛擬主機域名注冊頂級提供商���!15年品質(zhì)保障��!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
