对于信息安全防御,Mike Hamilton肩负着艰巨的任务。
作为美国西雅图市的首席信息安全官,Hamilton的责任延伸到各种其他部门的网络,例如该市的警察和消防部门。为了保护这些网络,Hamilton不仅需要专注于防御,还需要能给攻击者制造障碍。
在2007年,Hamilton开始与美国国土安全局以及华盛顿大学合作创建了一个系统来收集全球威胁数据,目的是尽可能快地检测出该市的医院、紧急服务和其他重要基础设施的网络中的攻击活动。通过让攻击者没有时间完全利用这些网络中的漏洞,Hamilton试图提高每次攻击的失败率以及让攻击活动变得更加昂贵。并且,由于该市与州和联邦执法的关联,他们还可以试图关闭攻击者的基础设施。(编者按:去年10月,Hamilton已经离任西雅图市的首席信息安全官职务)。
“如果你攻击我们,我们就会追踪你,”他表示,“而且我相信这会提高攻击者攻击我们的成本。”
与Hamilton一样,CISO们在制定战略来保护其网络时,都开始考虑攻击者的成本。很多CISO认识到,攻击者已经找到方法来绕过大多数企业部署的普通防御措施,所以他们开始专注于让黑帽攻击者的整个攻击活动变得更加昂贵、复杂和容易失败。
NSS实验室安全咨询研究副总裁John Pirc表示,在认识到攻击者可以绕过防火墙、终端的防病毒软件以及入侵检测系统后,企业应该加强防御,“纵深防御的整个模式都很好,但是企业需要离开自己的舒适区,让攻击者的工作变得困难。”
事件响应公司Mandiant首席安全官Richard Bejtlich表示,攻击者的成本主要以时间来衡量,因此,提高攻击者完成其任务时间的防御战略可以增加其成本。延迟攻击者的战略也可能给企业更多时间来发现攻击,并挫败攻击者的计划。Bejtlich在2009年创造了“黑帽预算”的术语,当时他试图想象攻击团伙用100万能做什么。
“如果你不能超过攻击者完成其任务的速度,那么,他就赢了,”Bejtlich表示,“如果他不能完成他来这里的目的,那么防御企业就赢了。”
了解你的网络
当攻击者保持隐蔽时,他们只要花最少的精力和时间就能实现攻击目标。出于这个原因,Bejtlich建议,每个企业都应该开始对网络中正在发生的情况进行检测,并获得相关可视性。在攻击者入侵系统时尽快发现攻击者要比当他们访问数据时发现他们更好,他表示:“当他们正在窃取你的数据时,你宁愿没有抓住他们。”
例如,攻击团伙在入侵《纽约时报》后的一个月后才渗出数据,Bejtlich的公司负责调查其中部分攻击。如果该出版公司在攻击者完成其任务前检测到攻击活动,他们可能有时间安装成功的防御技术。
在检测到攻击后,企业需要部署额外的防御措施,或者更改现有防御,迫使攻击者来改变。通过改变防御来对付现有攻击,以及关闭已知攻击途径,企业可以迫使攻击者改变其攻击方法,而这会提高他们的攻击成本。
“培训攻击人员是很难的,”专注于攻击者情报的安全咨询和服务公司CrowdStrike联合创始人兼首席技术官Dmitri Alperovitch表示,“如果每次他们攻击你的时候,你都迫使他们做出一些改变,这必然会提高他们的成本。”
停止使用不可行的方法
度量是发现影响黑帽攻击者底线的可行做法的最佳途径。攻击者入侵企业的主要方式之一是有针对性钓鱼攻击。安全教育公司ThreatSim收集的数据显示,攻击活动中的每个额外的电子邮件通常会诱骗四分之一的员工,让他们打开附件或者点击链接。通过调整攻击活动的规模,攻击者可以快速提高其攻击成功率,根据Verizon 2013年数据泄露调查报告显示,4封电子邮件可以带来三分之二的攻击机会,而6封邮件则可以带来超过80%的成功机会。
利用攻击数据来制定防御策略的安全咨询公司Trail of Bits首席技术官Dan Guido表示,教育可以迫使攻击者调整其攻击活动,但它并不会真正增加其他成本。
Guido表示:“如果你想要失败的黑帽预算策略,那么培训员工是你应该选择的做法。”事实上,企业应该专注于提高其反钓鱼技术,并进行定制化,以让攻击者无法预见。他表示:“最好定制化一台设备,而不是培训你的全体员工。”
有些公司仍然依赖于旧版本的桌面软件,这些软件通常有着过时的防病毒保护,这意味着这些企业将无法抵御攻击者。在微软的最新安全情报报告(第14卷:2012年7月到2012年12月),微软发现运行其Windows XP和Windows 7 RTM(发布到制造)操作系统且具有过时防病毒保护的计算机受感染的几率为15.6%和20.4%(图1)。而运行最新版本Windows 7(SP1)和更新的防病毒软件的计算机只有不到1.5%的受感染率。受保护的Windows 8系统只有0.2%的几率。
“人们必须了解漏洞利用开发生命周期的情况,”Guido表示,“当新平台推出时,攻击者需要巨大的成本来发动攻击,因为他们需要花时间来学习如何利用其漏洞。”
企业应该相对快速地采用新的平台,而事实上,企业通常会更新次要修复程序,而不急于更新主要平台补丁。
曝光攻击活动可缓解攻击
虽然提高攻击者的成本是一个很好的策略,但一些攻击者(例如国家支持的攻击者)并不会被吓到。很多网络间谍攻击者都有机会收集数据,而其他攻击者(例如Hidden Lynx组织相关的攻击以及美国和以色列执行的Stuxnet攻击)甚至根本不在乎成本问题。
CrowdStrike的Alperovitch说:“如果你面对的是国家政府机构,攻击者的预算并不会带来太大的影响。”
而对于这些国家政府支持的攻击,其他因素可能会有影响。曝光秘密活动可以阻止国家政府继续攻击。前政府雇员斯诺登泄露的关于美国安全局活动的机密文件让该机构处于聚光灯之下,这可能会限制其在未来的部分数据收集。
Mandiant的报告详细介绍了其对被称为“APT-1”的某国情报组织的活动,但这个研究并没有从长期削弱该组织的活动,只有短期的影响。不过,这给该国增加了政治压力。
“每个对手都有一定程度的风险,他们都不会忽视,”Alperovitch表示,“对于一些人来说,他们可能需要升级到军事行动,这可能会造成人员伤亡。”
看似很难做到
在认识到对抗攻击者的持续问题后,作为最后一搏,研究人员已经开始寻找不同的方法来在攻击者渗出数据时迷惑攻击者,或者识别攻击者。一种方法会创建大量的诱饵文件,使得无法访问正确索引的攻击者面对更大的阻碍去寻找有价值的数据。
其他方法会将诱饵文件(相当于煤矿里的金丝雀)放在吸引攻击者的地方。由于这些文件是不合法的,任何试图访问这些文件的行为都会拉响警报。其他诱饵文件会在攻击者打开后试图进行拨号呼叫。
Trail of Bits公司的Guido表示,虽然这种技术有优势,但企业应该小心不要污染了他们的环境。
Guido表示:“这些文件可能是有价值的,但只有在真正特殊的情况下。”企业不能只是使用诱骗数据来填充数据库,他们需要创建一个系统来监控这些诱饵文件并分析事件。
最终,黑帽预算意味着专注于攻击者的成本,并部署防御措施以在网络杀敌链的每个点提高这个成本,而不是专注于阻止攻击者进入网络,如果CISO让攻击者的每个步骤都变得更加困难,他们更有可能会获胜。
