关于病毒、蠕虫和rootkit恶意工具的消息已经不算是新闻了。我们可以保护自己和公司免受遍及网络的常见攻击。现在,普通的钓鱼式攻击很容易被监测到,用户在这方面也有了较高的警惕性。不过,我们针对的重点是针对企业的网络犯罪。这时间,由于需要关注价值较高的客户群,攻击行为变得更方便,采取保护措施变得更困难。
有针对目标的攻击行为
所谓有针对目标的攻击行为指的是针对特定组织或这些组织内单独个人的攻击。与利用恶意软件在互联网上进行扫描,等待关于随机漏洞和被影响系统的报告不同,有针对目标的攻击行为利用的是基于社会化网络提供的信息。换句话说,他们采用的方式是说服针对的用户,一封电子邮件或者其它电子物品本身是合法的。这样,由于它们没有违反过滤规则,电子邮件过滤解决方案会容许这些信息通过。
有针对目标的攻击行为并不一定需要很复杂。F-Secure公司在YouTube上发布的一个视频就说明了它的简单性。在这个例子中,PDF文件被伪装成为调查报告。一旦打开文件,就会导致恶意软件的安装,并开始从用户机器上搜集信息。从这个例子中,我们可以看出;有针对目标的攻击非常类似木马,看起来真实而且有关联。
当针对目标是高级管理人员和其它关键员工时,关联性是非常重要的。攻击者可能花费数月时间来对公司进行调查以确认相关信息,这其中包括了:
◆目标组织中可以获得相关信息的个人;
◆业务进程中的主要项目;
◆常见业务伙伴、供应商等;
◆以及定期对目标用户发送电子邮件的人的名字和电子邮件地址。
利用这些信息,攻击者就可以让欺骗电子邮件看起来象是和业务处理、项目管理等工作有关联。他或她将会伪造来源地址,让邮件看起来就象是来自与目标用户进行定期沟通的企业或个人。
攻击者必须在秘密的情况下进行这些工作了。为了尽可能多得搜集目标用户的信息,恶意软件必须被隐藏起来(举例来说,位于rootkit中),并且象常规网络流量一样发送信息。由于这些要求,加上每一起攻击在表现上都是截然不同的,因此,对于安全团队来说,利用反恶意软件工具或入侵检测系统(IPS)/入侵防御系统(IDS)来确认它们是比较困难的。但这并不等于这么做是不可能的。
可以采取的防御措施
我们应该知道,对于安全来说,第一道防线并不是软件或者网络设备。我们应该了解到,对于网络犯罪分子来说,实际情况正好相反,关键员工的笔记本或者台式机才是有价值的目标。控制这些设备就可以提供搜集目标客户创建和使用的信息的机会。因此,组织内使用权限最高的链接或者可以访问最机密信息的用户是攻击者的首选。
因此,这些用户包括了哪些人?对于大部分组织来说,最好的选择就是高级管理人员。高级管理人员包括了总部主管和部门领导。不幸的是,这些人使用的系统受到的保护等级经常是最低的。
在很多组织中,在实施安全控制策略方面存在双重标准。很多管理人员认为自己足够明智和负责任,可以避免恶意软件的感染。即使他们不相信这一点,也不希望自己和普通员工一样受到限制。这种双重标准的存在,让攻击者可以利用有针对性的方法进行重点攻击。
在这里,他们不仅仅是高级管理人员,也是被针对的目标。在一家公司中,很多负责处理最高级机密信息的用户都有链接到本地工作站安装数据搜集类恶意软件的权限。
为了满足防御有针对目标的攻击带来的挑战,我建议采取如下的措施:
1、在部署安全控制措施时,消除所有使用方面的双重标准。高级管理人员应该明白,在攻击者对内部系统进行全面搜索试图找到漏洞时,他们面临的风险更大。
2、在任何情况下,用户也不能在本地计算机上利用系统管理员权限对公司机密信息进行处理。即使用户打开了被感染的附件,这样的设置也可以让它不能安装。对于目标和攻击者来说,这是一种建立隔离墙最好的方式。
3、贯彻最小权限原则。对信息数量进行限制,以防止攻击的发生。对于信息技术团队来说,这一原则同样适用。对于攻击者来说,破解网络或服务器管理员的系统等于获得了大奖。信息技术人员只有在必须执行具体任务时,才使用管理员账户。此外,仅仅因为一名管理员拥有创建业务用户账户的权限,并不等于他或她应该获得链接路由器和交换机进行配置的权限。
4、确保包括应用程序在内的所有系统补丁都已安装。
5、关注入侵防御,对入侵防御系统设备进行配置,来防止或监测内部系统和外部意料之外或不寻常的输出链接。对于有针对性的攻击的防御来说,挤出检测/预防模式属于非常重要的组成部分。
6、用户必须对面临的威胁有足够的认识。这就需要开展培训,让用户对有针对性的攻击有基本的了解,并且知道在面临可能的威胁时,应该怎么办。培训内容还应该包括利用现有的安全措施关注威胁带来的风险。
7、最后,常规控制措施必须部署到位。这些措施包括了反恶意软件工具、主机和网络端的入侵检测/预防解决方案、邮件过滤器等。
结论
本文中讲述的所有方法都没有超过常识的范围。不过,当我们在公司里的地位越高,就越倾向于选择限制度越低的控制措施。在防御有针对性的攻击时,这样做是错误的。同样,这样的错误也出现在强制所有的系统部署基本安全控制措施,而没有意识到有个别的用户系统应该被重点关注的情况中。对于安全来说,是没有确定答案的,这样的做法从来就不是简单的。但是,这样做越来越有必要。
【编辑推荐】
