【導讀】數據泄露事件及其所導致的后果已成為老生常談,并且這一威脅沒(méi)有絲毫減緩的跡象。如今我們所面臨的威脅是由深諳技術(shù)之道的犯罪分子利用高級技術(shù)以精準的定位直擊您可能不知道的自己網(wǎng)絡(luò )所存在的漏洞。
Intel Security在2014年黑帽大會(huì )上對與會(huì )者做了一項調查,76%的與會(huì )者將高級惡意軟件視為一個(gè)大問(wèn)題,37%的與會(huì )者每周至少要花10小時(shí)來(lái)應對安全威脅。
Intel Security將從剖析網(wǎng)絡(luò )信息竊賊慣用的五種常見(jiàn)攻擊方法出發(fā),幫您了解犯罪分子偷窺您網(wǎng)絡(luò )的方式、如何利用該信息來(lái)維護您的安全配置,以及最大限度減少遭受數據竊取的方法。
一.瀏覽器攻擊 —— 當您盯著(zhù)瀏覽器的時(shí)候,他們在尋覓可乘之機。
數據竊賊知道您的員工何時(shí)使用網(wǎng)絡(luò )以及違反IT安全規定的行為。這就是他們使用大量網(wǎng)絡(luò )釣魚(yú)電子郵件、社會(huì )工程和隱蔽強迫下載來(lái)引誘不諳技術(shù)的員工泄露數據的原因所在。
瀏覽器攻擊的特點(diǎn):
不諳技術(shù)的用戶(hù)
充分隱蔽的惡意軟件
用戶(hù)對遭受攻擊毫不知情
如何應對?
不要接觸含有不恰當內容的網(wǎng)站
防范隱藏在JavaScript和Adobe Flash內的惡意軟件
借助類(lèi)似emulation的技術(shù)模擬瀏覽器環(huán)境,即時(shí)了解傳入文件意圖
轉變整體安全模式,采用可隨您需求變化而擴展的下一代安全解決方案
二.逃避型攻擊 —— 如果存在漏洞,他們一定會(huì )找到它
無(wú)疑,安全解決方案比以往更加高級和智能。然而攻擊者同樣如此。犯罪分子利用逃避技術(shù)迷惑網(wǎng)絡(luò )設備、繞過(guò)檢測或對其存在加以掩蓋。他們知道抵御安全防御的最佳方法是根本不與其交鋒。
攻擊者如何逃過(guò)您的安全防御?
在網(wǎng)絡(luò )交付過(guò)程中隱藏。利用高級逃避技術(shù) (AET),通過(guò)將含有惡意軟件的文件包分解為難以檢測的模式來(lái)逃避網(wǎng)絡(luò )檢測。
在分析過(guò)程中休眠。惡意軟件知道何時(shí)會(huì )被置于沙箱中,并保持靜默。
回調過(guò)程中保持隱蔽。一旦到達終端,高級惡意軟件會(huì )避免異常行為或使用隨機的回調連接來(lái)逃避安全設備并繼續進(jìn)行惡意活動(dòng)。
如何應對?
發(fā)現隱藏的交付模式。對網(wǎng)絡(luò )會(huì )話(huà)從始至終進(jìn)行不間斷跟蹤和檢測,及時(shí)發(fā)現并攔截復雜的逃避連接方式。
強化分析。檢測惡意軟件中的潛伏代碼使沙箱能夠發(fā)現隱藏的惡意行為,并增強檢測率。
檢測并連接回調。智能連接跟蹤能夠了解并攔截隱藏的回調方式。將網(wǎng)絡(luò )流量與來(lái)源終端流程關(guān)聯(lián)有助于確定欠缺智能的方法一般會(huì )遺漏的惡意連接。
學(xué)習經(jīng)實(shí)踐驗證的專(zhuān)業(yè)知識。當您規劃您的防御時(shí),采用那些在抵御逃避攻擊方面經(jīng)過(guò)實(shí)證有效的技術(shù)和解決方案。
三.隱匿攻擊 —— 充分了解自己
去年,黑客通過(guò)在線(xiàn)犯罪活動(dòng)獲得的收入預計達25億美元。正因為這種巨大的回報,網(wǎng)絡(luò )攻擊的熱情前所未有的高漲。因此,極其復雜、高級的威脅層出不窮。它們知道您的弱點(diǎn),了解您安全狀況的方方面面,并且能巧妙地隱身。防范這些威脅需要您整個(gè)安全網(wǎng)絡(luò )的協(xié)作。
隱匿攻擊的特征
欺詐是慣用伎倆。隱匿攻擊在到達終端目標前會(huì )偽裝其意圖。
它們會(huì )做足功課。長(cháng)達數月的研究使攻擊者能夠透徹了解網(wǎng)絡(luò )和基礎設施。
當心個(gè)人設備。攻擊者會(huì )利用 BYOD來(lái)由內部滲入受保護的網(wǎng)絡(luò )。
青睞信息過(guò)載和孤立的安全保護。超負荷工作的IT員工往往錯過(guò)這些有針對性攻擊的微弱信號,因而使攻擊更快得逞。
如何應對?
發(fā)現未知攻擊。沙箱技術(shù)有助于了解傳入文件的意圖,能夠幫助發(fā)現未知和隱匿惡意軟件。
關(guān)聯(lián)至關(guān)重要。所有外圍網(wǎng)絡(luò )安全設備需要與沙箱技術(shù)通信以彌合安全間隙。
創(chuàng )建整合的防護系統。所有安全設備應當通過(guò)實(shí)時(shí)共享和彼此了解來(lái)打破數據孤島。
破除條塊分割。盡管各個(gè)技術(shù)都能識別攻擊,但只有共享和了解環(huán)境的互聯(lián)方法才有助于攔截威脅和攻擊。
四.SSL攻擊 ——有時(shí),它們隱藏在非常普通的地方
對于阻止攻擊,可視性決定著(zhù)一切。盡管SSL和加密已成為安全通信的基礎,它們還是為攻擊者提供了新的通道。
在數據竊賊看來(lái),使用您網(wǎng)絡(luò )中已經(jīng)可用的現有加密信道是模糊攻擊以逃避檢測的有效方法。因此,攻擊者實(shí)質(zhì)上是將您的防御反制于您??梢宰柚箚??當然可以。不過(guò),您需要實(shí)現檢測能力與網(wǎng)絡(luò )性能間的平衡,這可能比較復雜。
SSL態(tài)勢調查
隨著(zhù)越來(lái)越多的業(yè)務(wù)應用(云、社交媒體)采用加密技術(shù),黑客有了大量隱藏之所。
惡意軟件和有效負載可通過(guò)加密提供,因而能夠繞過(guò)客戶(hù)端檢測。
當通過(guò)不能被檢測的SSL連接時(shí),簡(jiǎn)單、退化的攻擊重獲新生,因而攻擊者變得更加高效。
如何應對?
您需要更好地掌控加密流量。
能夠檢測加密流量不應以犧牲網(wǎng)絡(luò )性能為代價(jià)。不應當損及重要網(wǎng)段的吞吐量。
將SSL檢測與其他安全技術(shù)相集成提供可針對隱藏攻擊的高級檢測。
五.網(wǎng)絡(luò )濫用 ——他們喜歡攻擊您的薄弱之處
企業(yè)很大一部分的日常運營(yíng)要依靠互聯(lián)網(wǎng)來(lái)實(shí)現。如果今天您的網(wǎng)站消失了,會(huì )產(chǎn)生多大的影響?危害極大?答案是肯定的。數據竊賊對此也心知肚明。這就是網(wǎng)絡(luò )和資源濫用成為最常見(jiàn)網(wǎng)絡(luò )攻擊類(lèi)型之一的原因。
濫用的特征
不受歡迎的來(lái)賓。在DDoS攻擊中,服務(wù)器收到大量連接請求或者特制的連接請求。
耗費資源。服務(wù)器資源完全、徹底地失效,使其無(wú)法處理正常流量。
真實(shí)動(dòng)機。DDoS攻擊往往被攻擊者用來(lái)在溜進(jìn)后門(mén)時(shí)分散IT管理員的注意力。
您會(huì )被劫持。DDoS攻擊通常伴隨著(zhù)勒索。
如何應對?
了解您的流量。需要深度檢測客戶(hù)端數據包以全面了解攻擊您Web服務(wù)器的濫用流量。
注意流量中的變化。您需要定性分析來(lái)識別流量方式中小的但通常經(jīng)過(guò)偽裝的變化。
獲得全面的可視性。由于攻擊通常隱藏在加密流量中,因此,您需要SSL可視性。
高效而智能。將濫用流量過(guò)濾與高端檢測技術(shù)的威力相結合,以提供最佳的防護解決方案。
我們共同應對
隨著(zhù)新的威脅事件不斷被公告,安全的現實(shí)狀況是企業(yè)在努力尋求安全問(wèn)題的解決之道。轉變您的觀(guān)點(diǎn),重新構想網(wǎng)絡(luò )安全正當其時(shí)。了解我們所面臨的五大攻擊方法以及如何加以應對是關(guān)鍵所在。添加越來(lái)越多的裝備并不能減少威脅媒介的數量。您最好是在您已有的安全解決方案之間實(shí)現互通和協(xié)調。
由于威脅在不斷變化,您需要一個(gè)能夠隨著(zhù)您的需求變化而擴展的平臺。當您選購這樣的平臺時(shí),要確保選擇投資于技術(shù)并且有著(zhù)可證明的成功業(yè)績(jì)的廠(chǎng)商。
