如何应对自定义、针对性的恶意软件攻击?

安全 黑客攻防
来到自定义恶意软件攻击的世界,在这个世界,攻击者(在必要时)使用通用且广泛使用的攻击代码作为基石,制作自定义恶意软件来偷偷潜入企业内部。

不久前,美国某主要电子元器件分销商的IT安全分析师发现了一些特殊的网络活动。该分析师评估了Netflow网络流量数据,并确定某个人或者某个物体当时正在制定对大量IP地址的定期扫描。这名不愿意透露姓名的分析师表示:“我们遭到攻击了。在我们的一个仓库中,发现很多系统被感染,甚至我们的管理网络也被感染了。”

攻击者在该公司的网络中至少“潜伏”了6个星期,很多端点和服务器都受到感染。虽然该分析师表示他相信现在恶意软件已经被清除,并且攻击者也已经撤离,但他并不清楚攻击是如何发生的。“让人头疼的是,我们不知道这种攻击的初始时间,”他表示,“他们可能仍然潜伏在我们网络中的某个地方。”

这种攻击同时具有常见的和不常见的特性。常见之处在于,感染了这么久都未被发现。不常见之处在于,该公司安全团队自己发现了这个攻击。根据2012年Verizon数据泄露调查报告(DBIR)显示,很多数据泄露在很长时间内都未被发现,90%的感染企业通过第三方发现泄漏事故,而不是自己发现。

来到自定义恶意软件攻击的世界,在这个世界,攻击者(在必要时)使用通用且广泛使用的攻击代码作为基石,制作自定义恶意软件来偷偷潜入企业内部。“这难以量化,”IANS研究高级副总裁兼首席技术官David Shackleford表示,“但现在越来越多的攻击使用自定义恶意软件。”

根据很多未经实证研究的证据显示,几乎每天都会涌现出一个新的有针对性的零日攻击。此外,CounterTack公司在8月份对有针对性攻击的调查显示,在100名接收调查的信息安全管理人员中,超过一半的人表示他们的企业在过去12个月中成为攻击目标。

SANS研究所资深教授Lenny Zeltser表示,也许,自定义恶意软件攻击(或者说一般攻击)如此成功的原因在于我们将全部焦点放在了恶意软件上。“我们经常专注于攻击的恶意软件组件,也许是因为恶意软件被发现后,它是我们可以看到和进行分析的有形的东西,”Zeltser表示,“我们应该从更大的范围来考虑攻击事件:自定义恶意软件通常只是针对性攻击的一部分,攻击者试图通过针对性攻击来实现一个目标。”

Zeltser表示,最佳防御方法在于,企业应该检查攻击的生命周期的所有方面,避免围着恶意软件打转。这种重新定位包括侧重检测能力和事件响应能力。这种方法看似很简单,但这并不意味着它很容易执行。为了打击自定义恶意软件,企业不仅需要重新考虑他们用于保护其系统的技术,也要重新思考已经部署的程序。

在接受SearchSecurity.com采访时,反恶意软件厂商卡巴斯基首席执行官兼联合创始人Eugene Kaspersky表示,企业必须提高攻击者绕过其防御的复杂度和成本。他提到了著名的Stuxnet木马攻击,据称该病毒侵入了伊朗纳坦兹提炼设施中完全断开的网络,这说明即使是完全隔绝的网络,都难以杜绝病毒攻击。

为了抵御针对性的恶意软件攻击,Kaspersky认为,应用白名单也是个可行的办法。“如果某个应用做了它不应该做的事情,它将立即通过默认拒绝被阻止,”他表示,“如果你创建一个默认环境,只有白名单中的应用可以在环境中运行,你将能够阻止任何复杂的恶意应用的运行。”

Spire Security公司研究主管Pete Lindstrom也表示,白名单(或者说应用控制)是重要的防御方法,但并不是完全的解决方案。他表示:“这种方法并不总是行得通,因为环境会变化,一些环境甚至经常会改变。为了抵御针对性攻击,企业需要保持审慎的态度,而不要被吓到了。”

出于这种审慎的态度,企业应该具备一个事件响应团队和有效的取证调查能力。根据Zeltser表示,一旦确定了自定义恶意软件,企业应该检查该恶意软件以及它所处的环境,以了解攻击事件的严重性。他还表示,企业需要通过了解被攻击系统的性质以及他们处理的数据、恶意软件的能力以及恶意软件使用的方式,来确定攻击者的潜在目标。Zeltser表示:“取证分析帮助企业确定如何遏制攻击者在企业内的影响,清除恶意软件,并最终恢复。”

责任编辑:蓝雨泪 来源: TechTarget中国
相关推荐

2010-10-18 17:58:49

2013-02-19 09:23:58

2022-06-07 11:47:25

恶意软件僵尸网络物联网

2014-10-22 10:49:17

2010-07-29 16:52:38

2021-06-17 14:05:49

卡巴斯基安全

2013-07-29 16:09:07

2021-09-05 06:16:26

勒索攻击勒索软件攻击

2012-05-24 09:52:10

2013-12-12 16:36:03

2012-07-20 10:21:42

2015-12-08 12:13:05

高级恶意软件Rombertik反恶意软件

2018-05-30 23:47:20

2022-04-12 15:18:22

网络安全松下加拿大

2015-05-18 10:24:28

2012-03-20 16:30:31

2021-06-14 07:17:43

恶意软件Cookie数据安全

2009-06-16 16:17:35

2022-03-18 13:15:30

恶意软件网络攻击
点赞
收藏

51CTO技术栈公众号