有声,古风小说,梦入神机

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

有針對性的攻擊的應對法則

關于病毒、蠕蟲和rootkit惡意工具的消息已經(jīng)不算是新聞了。我們可以保護自己和公司免受遍及網(wǎng)絡的常見攻擊?，F(xiàn)在，普通的釣魚式攻擊很容易被監(jiān)測到，用戶在這方面也有了較高的警惕性。不過，我們針對的重點是針對企業(yè)的網(wǎng)絡犯罪。這時間，由于需要關注價值較高的客戶群，攻擊行為變得更方便，采取保護措施變得更困難。

讓客戶滿意是我們工作的目標，不斷超越客戶的期望值來自于我們對這個行業(yè)的熱愛。我們立志把好的技術通過有效、簡單的方式提供給客戶，將通過不懈努力成為客戶在信息化領域值得信任、有價值的長期合作伙伴，公司提供的服務項目有：主機域名、網(wǎng)絡空間、營銷軟件、網(wǎng)站建設、長白網(wǎng)站維護、網(wǎng)站推廣。

有針對目標的攻擊行為

所謂有針對目標的攻擊行為指的是針對特定組織或這些組織內(nèi)單獨個人的攻擊。與利用惡意軟件在互聯(lián)網(wǎng)上進行掃描，等待關于隨機漏洞和被影響系統(tǒng)的報告不同，有針對目標的攻擊行為利用的是基于社會化網(wǎng)絡提供的信息。換句話說，他們采用的方式是說服針對的用戶，一封電子郵件或者其它電子物品本身是合法的。這樣，由于它們沒有違反過濾規(guī)則，電子郵件過濾解決方案會容許這些信息通過。

有針對目標的攻擊行為并不一定需要很復雜。F-Secure公司在YouTube上發(fā)布的一個視頻就說明了它的簡單性。在這個例子中，PDF文件被偽裝成為調(diào)查報告。一旦打開文件，就會導致惡意軟件的安裝，并開始從用戶機器上搜集信息。從這個例子中，我們可以看出;有針對目標的攻擊非常類似木馬，看起來真實而且有關聯(lián)。

當針對目標是高級管理人員和其它關鍵員工時，關聯(lián)性是非常重要的。攻擊者可能花費數(shù)月時間來對公司進行調(diào)查以確認相關信息，這其中包括了：

◆目標組織中可以獲得相關信息的個人；

◆業(yè)務進程中的主要項目；

◆常見業(yè)務伙伴、供應商等；

◆以及定期對目標用戶發(fā)送電子郵件的人的名字和電子郵件地址。

利用這些信息，攻擊者就可以讓欺騙電子郵件看起來象是和業(yè)務處理、項目管理等工作有關聯(lián)。他或她將會偽造來源地址，讓郵件看起來就象是來自與目標用戶進行定期溝通的企業(yè)或個人。

攻擊者必須在秘密的情況下進行這些工作了。為了盡可能多得搜集目標用戶的信息，惡意軟件必須被隱藏起來（舉例來說，位于rootkit中），并且象常規(guī)網(wǎng)絡流量一樣發(fā)送信息。由于這些要求，加上每一起攻擊在表現(xiàn)上都是截然不同的，因此，對于安全團隊來說，利用反惡意軟件工具或入侵檢測系統(tǒng)（IPS）/入侵防御系統(tǒng)（IDS）來確認它們是比較困難的。但這并不等于這么做是不可能的。

可以采取的防御措施

我們應該知道，對于安全來說，第一道防線并不是軟件或者網(wǎng)絡設備。我們應該了解到，對于網(wǎng)絡犯罪分子來說，實際情況正好相反，關鍵員工的筆記本或者臺式機才是有價值的目標?？刂七@些設備就可以提供搜集目標客戶創(chuàng)建和使用的信息的機會。因此，組織內(nèi)使用權限最高的鏈接或者可以訪問最機密信息的用戶是攻擊者的選擇。

因此，這些用戶包括了哪些人?對于大部分組織來說，最好的選擇就是高級管理人員。高級管理人員包括了總部主管和部門領導。不幸的是，這些人使用的系統(tǒng)受到的保護等級經(jīng)常是最低的。

在很多組織中，在實施安全控制策略方面存在雙重標準。很多管理人員認為自己足夠明智和負責任，可以避免惡意軟件的感染。即使他們不相信這一點，也不希望自己和普通員工一樣受到限制。這種雙重標準的存在，讓攻擊者可以利用有針對性的方法進行重點攻擊。

在這里，他們不僅僅是高級管理人員，也是被針對的目標。在一家公司中，很多負責處理最高級機密信息的用戶都有鏈接到本地工作站安裝數(shù)據(jù)搜集類惡意軟件的權限。

為了滿足防御有針對目標的攻擊帶來的挑戰(zhàn)，我建議采取如下的措施：

1、在部署安全控制措施時，消除所有使用方面的雙重標準。高級管理人員應該明白，在攻擊者對內(nèi)部系統(tǒng)進行全面搜索試圖找到漏洞時，他們面臨的風險更大。

2、在任何情況下，用戶也不能在本地計算機上利用系統(tǒng)管理員權限對公司機密信息進行處理。即使用戶打開了被感染的附件，這樣的設置也可以讓它不能安裝。對于目標和攻擊者來說，這是一種建立隔離墻最好的方式。

3、貫徹最小權限原則。對信息數(shù)量進行限制，以防止攻擊的發(fā)生。對于信息技術團隊來說，這一原則同樣適用。對于攻擊者來說，破解網(wǎng)絡或服務器管理員的系統(tǒng)等于獲得了大獎。信息技術人員只有在必須執(zhí)行具體任務時，才使用管理員賬戶。此外，僅僅因為一名管理員擁有創(chuàng)建業(yè)務用戶賬戶的權限，并不等于他或她應該獲得鏈接路由器和交換機進行配置的權限。

4、確保包括應用程序在內(nèi)的所有系統(tǒng)補丁都已安裝。

5、關注入侵防御，對入侵防御系統(tǒng)設備進行配置，來防止或監(jiān)測內(nèi)部系統(tǒng)和外部意料之外或不尋常的輸出鏈接。對于有針對性的攻擊的防御來說，擠出檢測/預防模式屬于非常重要的組成部分。

6、用戶必須對面臨的威脅有足夠的認識。這就需要開展培訓，讓用戶對有針對性的攻擊有基本的了解，并且知道在面臨可能的威脅時，應該怎么辦。培訓內(nèi)容還應該包括利用現(xiàn)有的安全措施關注威脅帶來的風險。

7、最后，常規(guī)控制措施必須部署到位。這些措施包括了反惡意軟件工具、主機和網(wǎng)絡端的入侵檢測/預防解決方案、郵件過濾器等。

結(jié)論

本文中講述的所有方法都沒有超過常識的范圍。不過，當我們在公司里的地位越高，就越傾向于選擇限制度越低的控制措施。在防御有針對性的攻擊時，這樣做是錯誤的。同樣，這樣的錯誤也出現(xiàn)在強制所有的系統(tǒng)部署基本安全控制措施，而沒有意識到有個別的用戶系統(tǒng)應該被重點關注的情況中。對于安全來說，是沒有確定答案的，這樣的做法從來就不是簡單的。但是，這樣做越來越有必要。

分享標題：有針對性的攻擊的應對法則
鏈接分享：http://fisionsoft.com.cn/article/cccidog.html

新聞中心

其他資訊