2009年12月，谷歌和其他著名公司受到了未知惡意程序的攻擊。這一事件被稱為極光行動（Operation Aurora），此次零日攻擊是針對當時未發布補丁的IE瀏覽器漏洞。

極光行動中最嚴峻的情況是：即使配置了較完善安全資源的組織仍然可能是受害者。如果一些最先進并獲得雄厚資金支持的IT安全組織都可以被黑客攻擊，那么對那些擁有較少安全資源的小型組織而言，為了保護自身不受這樣的攻擊，他們的日子將會更加艱難。然而，從極光行動中我們也可以吸取很多重要的教訓，在本文中我們將討論關于該攻擊，企業需要了解的信息，以及在今后發生類似的攻擊時企業應該采取的預防措施。

極光行動：背景

讓我們回顧一下已經報道出來的關于極光攻擊以及各個組織應該如何阻止該攻擊的一些技術細節。谷歌報告說，它以及至少20家大公司，在2009年12月成為極光行動的攻擊目標。谷歌認為這次攻擊侵犯了知識產權，其目標針對的是中國人權活躍分子的Gmail賬戶。

根據極光行動攻擊后發布的報告，黑客將IE瀏覽器零日漏洞及其利用程序與未知的惡意軟件綁定在一起發起攻擊。某些攻擊被黑客認為是成功的，因為被攻擊的對象是重要的公司，媒體緊接著就進行了廣泛的報道。而高端的黑客技術和比較普通的零日攻擊和未知惡意軟件結合在一起使用，這一點也被認為是成功的。他們通過在網絡通信中使用多層加密，成功地讓攻擊躲避了安全檢測。

極光行動的攻擊媒介

雖然IE瀏覽器零日漏洞及其利用程序本身并不是最高端的攻擊，但它可以使攻擊者完全控制受害者的電腦系統，這一點已在極光行動中被證明是成功的。然而，如果攻擊者想成功做到這一步，還需要提高其登陸帳戶的訪問權限，或者由攻擊者憑借漏洞利用程序去獲得較高的訪問權限。當已登陸的用戶只具有普通用戶訪問的權限時，一些惡意軟件將感染系統，但卻不容易接管系統。很多組織不必允許所有用戶都具有管理員級別的權限，因為該類權限可以進行應用程序安裝、更改配置以及其他一些沒有限制的操作。然而，當攻擊者找到了可以提高系統權限的途徑，那么就沒有辦法去阻止黑客濫用這些權限了。而通過只為用戶提供必要的訪問權限，可以使漏洞更難被成功利用。

過去從未出現過的惡意軟件是相當常見的攻擊媒介，經常被普通的網絡罪犯用來做一些可以馬上得利的事情。在這次極光行動攻擊中，黑客獲得了一些知名度很高的賬戶。雖然發起極光行動的直接動機尚不清楚，但從長遠來看，敏感數據是具有價值的，最起碼可以作為一個監視的戰術。

預防類似極光行動的攻擊

盡管這些攻擊方法很令人煩惱，但也有很多方法可以防御它們，以確保類似的攻擊不會成功。剛開始的時候，你可以選擇使用非IE的網頁瀏覽器或者其他操作系統，從而避免IE瀏覽器零日攻擊，這依賴于你的環境可承受的危險等級，部署的深度防御安全控制有多少，以及對攻擊者的價值。然而，使用非微軟的軟件可能會讓管理更復雜、更耗時（最終產生的費用也相當昂貴），因為它們往往需要依賴于你的環境、應用程序補丁以及基礎設施結構，這是一個明顯的缺點。

另一種可以抵御攻擊的方法是通過確保DEP生效，從而使得IE運行在被削減的權限之下，盡管這種措施據稱也已經被漏洞利用程序繞過了。DEP是用于阻止來自非可執行存儲位置上的可執行代碼的攻擊，這在理論上會使攻擊者更難使用類似極光行動中的攻擊來控制系統。另外，IE8也提供了額外的保護措施去對抗這種類型的攻擊。

多層加密或者代理服務器可以用來隱藏被控制電腦的網絡通信，并使通信的源頭不被檢測到。為了能發覺和終止這樣的通信，網絡連接需要被監控，特別是那些從公司網絡向外的連接。但這種監控可能會因為外部連接的多樣性而變得沒有效率，但是監控從系統流出的特定非正常的大型數據也是可以辨別電腦是否被控制的一種途徑。一個經驗豐富的組織或許也會想到用防火墻來劃分它的網絡，從而限制攻擊者從一個部分跳到另一個部分。

為了確保類似于極光行動的攻擊不再發生，組織應采取一些基礎的信息安全措施。公司需要評估他們的網絡并確定最高風險在哪，然后運用合適的防御措施去應付這些風險。比如說，在谷歌最初的聲明中，該公司推薦企業使用知名的反惡意軟件工具，勤打補丁以及定期升級瀏覽器。

對所有組織而言，本文所談到的方法并不都是適用的。每個組織在防御攻擊之前都需要進行基礎的部署。通過深度防御策略，將類似攻擊的影響降到最小，從而更好的避免零日攻擊完全控制目標電腦，并防止其通過隱藏而免于被檢測。

零日攻擊：誰容易受到攻擊？

鑒于Stuxnet如此受人關注，似乎許多系統都被該病毒感染。雖然10萬個系統不算少，但是與被Renos惡意軟件感染的百萬個系統相比還是小數目。然而，受到感染的系統雖然比較少，但是容易受到利用多個零日漏洞的惡意軟件攻擊的系統數量卻極其巨大（前提是零日攻擊的目標為電腦中的多個軟件）。

有趣的是，最應該關心多個零日攻擊的企業通常是那些已經阻止了其他常見攻擊的企業。如果傳統攻擊技術無效的話，攻擊者更可能利用零日技術進行攻擊。沒有阻止過常見攻擊的企業也會受到多個零日技術的攻擊，但是他們可能已經被普通的惡意軟件入侵過了。

為了確定你的企業是否容易受到此類攻擊，請仔細評估現存的安全保護系統，并確定所有的這些保護是否會被最近的零日攻擊繞過。企業必須自己進行這些具體的評估，因為它們取決于你系統上的各種保護措施。

注重安全的企業在評估系統和網絡時需要了解利用多個零日漏洞的惡意軟件，并且要把它們考慮進去。如果系統保護措施相互重疊嚴重，并且會以同樣的方式失敗，那么即使安裝多層保護也可能無法提供重要的額外安全，反而會增加系統的攻擊面，讓管理更加困難。

企業對多個零日攻擊的防御策略

為了防御多個零日攻擊或者有針對性的攻擊，企業不僅需要使用殺毒軟件、更新補丁、采用基于主機的防火墻等標準措施，還應該考慮部署外圍防火墻、基于網絡的殺毒監測和阻斷、以及入侵監測等，從而防御各種類型的攻擊。雖然額外的多層安全在某層失敗后可以提供協助保護，但是多層保護并不能真正提供足夠的深層次防御。

比如，如果你的企業在臺式機、服務器、電子郵件系統以及網絡設備中使用相同的殺毒軟件引擎，單靠這些殺毒軟件監測提供的保護范圍可能并不會比只在臺式機中安裝這種殺毒引擎提供的保護范圍大多少。如果不是所有的臺式機都安裝了殺毒軟件，或者不是所有機器中的殺毒引擎都進行了合適的操作，那么使用相同監測引擎的額外層才可能會提供額外的安全保護覆蓋面。在服務器、電子郵件系統以及基于網絡的殺毒設備中運行不同的或者額外的殺毒引擎，可以增加額外的零日保護或者惡意軟件的監測覆蓋面。

如果你的企業擔心這類攻擊，你可以采取額外的步驟（保護USB連接的安全）以防護或者限制攻擊。如果不需要USB連接，請禁用它們，確保USB設備是在安全的配置中使用，確保USB設備的自動運行不能攻擊系統。禁用USB設備之后，請鎖定其他的物理安全設置，比如說系統BIOS。還有，只允許用有效的證書進行軟件簽名，并與應用程序白名單一起使用，從而防止惡意代碼在系統中執行。微軟的增強的減災體驗工具包 （EMET）可以為微軟軟件提供額外的惡意軟件保護，防止軟件被攻擊者進行漏洞利用。只要有可能，企業還應該考慮不要把任務優先的系統連接到通用網絡或者互聯網上。

總結

Stuxnet只是使用高級功能和利用多個零日漏洞的惡意軟件之一。歷史的經驗告訴我們，惡意軟件和攻擊者只需做最少工作的就可以入侵系統，而隨著防護水平的提高，攻擊者的水平也會相應提高。Stuxnet以及將來可能利用多個零日漏洞的惡意軟件，表明了企業需要仔細評估自己的安全保護措施，并且弄清這些保護是否能夠阻斷以及如何阻斷這種攻擊。利用多個零日漏洞的攻擊將會更加常見，因為在惡意軟件中可以綁定攻擊的平臺不斷涌現，而且在惡意軟件中包含新型攻擊變得越來越簡單了。

作者：Nick Lewis