最近,有关公司网络受到重大攻击的报道使这一消息变得更为沉重。在这种情况下 巴拿马文件 OPM泄漏 黑客团队泄漏,结果是极度机密信息的灾难性泄漏。

在每种情况下,被黑客入侵的组织都轻视了泄漏的重要性之后,在PR上花费了大量时间和精力。但是,在每种情况下,由于网络基础结构中的基本缺陷以及对安全性的重视不足,使得黑客入侵成为可能。

也许最近最严重的袭击是 孟加拉国中央银行案。报告表明,在攻击发生之前,他们几乎没有采取任何措施来保护其基础设施,这最终使他们损失了数千万美元。

实际上,一个果断且资源充足的攻击者总能找到出路。如果您的信息对外国政府有价值或感兴趣,您可能应该假设他们已经掌握了这些信息。但是在巴拿马文件和黑客团队的泄密事件中,攻击者可能是独立的非政府黑客。

但是,在所有情况下,在保护网络基础结构方面都存在严重错误。

好消息-坏消息

目前,最令人担忧的网络威胁分为四大类:恶意软件,网络钓鱼,拒绝服务(DoS)攻击和高级持久威胁(APT)。

The good news is that it’进行合理有效的防御既不十分困难也不昂贵。

坏消息是不可能建立完美的防御。特别是,您不能让坚决,熟练且资源丰富的攻击者(例如政府机构)远离您的数据。他们将始终能够发现和利用防御性安全基础结构中的漏洞。

因此,让我们专注于将常规罪犯拒之门外的更易于管理的任务。

1.恶意软件和勒索软件

恶意软件 是我们过去所说的 电脑病毒。术语已更改,因为威胁已更改-如今的恶意软件更加危险。通常是从一个小的“滴管”程序开始部署,然后与 指挥与控制l主机(缩写为C&C,CC或C2)以获取更多说明并下载其他恶意软件。

其中最...之一 危险的 生长 恶意软件的类型是 加密勒索软件,它立即开始加密所有文件,包括任何网络共享上的所有文件。然后提供给您钥匙来解锁文件,以换取赎金。

防御恶意软件和勒索软件

大多数恶意软件都没有针对性。我的意思是说,它的产生是为了抓住某个人(任何人),而不是特别是您。

恶意软件编写者通常会利用Web浏览器,Flash,Word或Excel等常见应用程序中的软件漏洞。在许多情况下,他们还利用操作系统漏洞。

第一道防线

在抵御恶意软件的第一道防线中有两个关键要素。

第一, 跟上软件补丁。如果您在补丁发布后立即应用所有补丁,那么您将领先于几乎所有的恶意软件威胁。

其次,使用良好的端点保护系统。端点保护就是我们所说的防病毒软件。传统的防病毒软件严重依赖文件签名。每当您的计算机上出现新文件时,防病毒软件都会对其进行扫描。它将计算一个总文件校验和,可以将其与已知恶意软件的数据库进行比较,并且它将扫描该文件以查看其是否包含与任何已知恶意软件相关的字节序列。

防病毒软件包仍然是有价值的工具,但是问题在于,恶意软件编写者已开始采用巧妙的技巧,例如使用随机且频繁更改的密钥对代码进行加密。这意味着该恶意软件将永远不会两次出现相同的校验和,并且内部字节序列将被遮盖。

为了对抗随机密钥,现代的端点保护软件通常包括某种 沙盒 特征。可疑恶意软件会在安全的虚拟环境中解压缩,并允许自己安装并运行,而扫描软件会仔细监视它是否存在任何恶意行为的迹象。

但是,与恶意软件的斗争是不断升级的斗争。恶意软件编写者已开始构建特殊的避免沙箱技术,以检测它们何时在沙箱(而不是真实系统)中运行。

因此,大多数优秀的端点保护系统还监视真实的端点工作站是否存在恶意软件行为的迹象,并尽力阻止恶意软件为时已晚。

第二道防线

保护基础设施免受恶意软件侵害的第二道防线是假定第一部分恶意软件实际上是一个滴管,并且它将通过Internet返回到Command 和 Control服务器以获取进一步的指令和进一步的软件包。

现代恶意软件通常是高度模块化的,因此我们通常可以通过在网络边缘实施良好的扫描来捕获感染。这不同于传统的 入侵侦测系统 (IDS),通常监视入站连接。在这里,我们正在监视出站连接。

我们正在寻找折衷的几个关键迹象,包括:

  • 连接到已知的恶意软件域或C&C systems
  • 下载可疑文件
  • 似乎指示类似VPN的交互式活动的流量模式,这可能表示远程访问特洛伊木马(RAT)

但是要注意!对于常见的勒索软件感染,通常无需采取其他命令和控制措施。最初的恶意软件只是开始加密它可以读取的每个文件,并且一直运行到停止为止。如果允许它打开包装并开始运行,可能已经为时已晚。

最好的老式备份是抵御勒索软件加密的最佳方法。查找并关闭受感染的计算机,然后开始从备份还原文件。

如果您使备份保持脱机状态,或者普通用户无法访问这些备份,并且至少每天进行一次备份,则暴露的风险仅限于过去24小时内发生的任何更改。这不是很好,但通常不是灾难。当然是 宁愿支付赎金,因为没有理由相信犯罪分子在您付款后实际上会给您解密密钥。

2.网络钓鱼

我其实不考虑 网络钓鱼 成为IT安全问题。这是一种社会工程攻击,攻击者通常通过电子邮件与组织内的某个人联系,并诱使该人做某事。

在某些情况下,该人会被诱骗将资金转入攻击者的帐户。在其他情况下,目标会被诱骗安装或运行可帮助攻击者进行下一阶段攻击的软件。

由于网络钓鱼并不是真正的技术攻击,因此技术解决方案通常无效。关闭基于电子邮件的网络钓鱼攻击的大门并不一定会阻止通过电话或邮件进行的类似攻击。这是老式的欺诈行为-它一直存在并且将永远存在。

防范网络钓鱼

有两种主要的防范网络钓鱼的防御措施。

首先是教育。如果每个人都保持警惕并了解网络钓鱼的外观,则可以减少您或您的客户遭受网络钓鱼攻击的机会。但这确实只会减少机会。一个非常聪明的攻击者总是能够提出令人信服的诡计。

如果他们通过电子邮件将逼真的发票发送给应付帐款部门的某人,该发票看起来像完全来自您的供应商之一,那会发生什么情况?几乎可以肯定会打开该消息。发送给人事部门的现实简历也是如此。

因此,针对网络钓鱼的另一种防御措施是程序。使其建立完善并严格遵守流程,在没有少数专门命名的人的口头确认的情况下,绝不会进行汇款。首席执行官永远不会向会计主管发送电子邮件,要求向国外的神秘供应商汇款。即使他们这样做了,标准程序还是要拨打CEO的手机并验证指令。

如果网络钓鱼攻击是一种部署恶意软件的方法,那么您至少可以依靠上一节中提到的恶意软件防御。

骑士网络基础设施安全防御

照片:Flickr上的madmrmox

3.拒绝服务

拒绝服务 (DoS)攻击可以由非熟练的攻击者轻松发起,而无需访问您的内部基础结构即可进行攻击。

最简单的DoS攻击试图通过发送大量流量来淹没您的Internet链接,从而阻止合法的业务流量。更复杂的DoS攻击涉及的流量更少,而不会占用其他网络资源。

有时会进行DoS攻击以破坏业务,有时会提取赎金以阻止攻击。

拒绝服务辩护

大多数DoS攻击的问题在于,一旦受到攻击,它们就已经耗尽了您的Internet资源。如果恶意数据包太多以至于链接已满,则丢弃这些数据包无济于事。

您确实无法抵御大多数DoS攻击。最好的方法是使用CloudFlare或Arbor Networks等保护服务提供商来中断基础设施上游的攻击。

保护服务通常通过在流量到达您之前将其引导通过其基础结构来工作。他们要么自动检测攻击,要么让您指定自己受到攻击。然后,他们仅将恶意数据包重定向到垃圾箱,然后仅将合法流量转发给您。

缓解DoS攻击的另一种很好且流行的方法是将面向公众的基础架构置于具有充足资源的云服务提供商上。这样,如果你’受到攻击后,对您的实际基础架构没有影响,仅对具有强大DoS缓解系统的网络托管提供商没有影响。

更复杂的DoS攻击试图破坏Web基础结构,而不必使用大量流量作为攻击机制。相反,这些机制使用Web托管系统中的软件漏洞使系统脱机,或者它们耗尽了这些系统上的所有资源以防止它们接受新的连接。

由于更复杂的攻击通常基于软件漏洞,因此很难建立针对这些漏洞的永久防御措施。但是,定期修补面向Internet的基础结构对于最大限度地降低风险大有帮助。

4.高级持续威胁

先进的持续威胁 (APT)是每个人都担心的攻击。在APT中,攻击者设法在您的基础架构中建立后门,然后仔细提取您最有价值的数据。这种攻击的有效性取决于攻击者的技能以及您检测并阻止它们的能力。

APT攻击通常始于恶意软件或网络钓鱼攻击。攻击者必须以某种方式在基础架构中立足。然后,通常,攻击者会指示初始的Dropper软件下载一个 远程访问木马,就像允许他们进行交互式访问的VPN一样。

我之所以这样说,通常是因为在某些情况下APT攻击完全是在没有外部反馈的情况下发生的,但这是攻击网络的一种极其荒谬的方法,并且如果他们选择了交互式访问,那么没人会这样做。

防范APT

防御APT攻击的措施包括我们所说的有关恶意软件攻击的所有内容。监视Internet链接以了解类似RAT流量模式的典型特征也很有用。但是,如果您的攻击者很熟练,那么当APT攻击在您的网络中横向移动以寻找有价值的数据时,可能会在相当长的时间内检测不到APT攻击。

因此,在进行APT攻击时,除了具有预防和检测功能外,还具有良好的法证能力非常有用。特别是,维护对基础结构上对每个文件和系统的每次访问的详尽日志非常有用,这样您就可以重构哪些用户ID从哪些系统访问了哪些资源。使用Active Directory或LDAP服务器日志最容易做到这一点。

另一个有用的取证功能是某种类型的数据包捕获或流量监视工具。 基于NetFlow的系统 可以跟踪发生的每个会话,包括源和目标地址,协议以及传输的数据量。通常,这还可以通过详细的数据包捕获数据进行补充,这些数据可以准确显示传输的内容。

接下来是什么?

在我的 下一篇博客文章,我将详细介绍有助于保护网络基础架构免受攻击的策略。我将特别关注网络架构,因为好的架构是安全基础架构的关键要素。