企業如何防范攻擊者利用多個零日攻擊?
誰容易受到攻擊?
鑒于Stuxnet如此受人關注,似乎許多系統都被該病毒感染。雖然10萬個系統不算少,但是與被Renos惡意軟件感染的百萬個系統相比還是小數目。然而,受到感染的系統雖然比較少,但是容易受到利用多個零日漏洞的惡意軟件攻擊的系統數量卻極其巨大(前提是零日攻擊的目標為電腦中的多個軟件)。
有趣的是,最應該關心多個零日攻擊的企業通常是那些已經阻止了其他常見攻擊的企業。如果傳統攻擊技術無效的話,攻擊者更可能利用零日技術進行攻擊。沒有阻止過常見攻擊的企業也會受到多個零日技術的攻擊,但是他們可能已經被普通的惡意軟件入侵過了。
為了確定你的企業是否容易受到此類攻擊,請仔細評估現存的安全保護系統,并確定所有的這些保護是否會被最近的零日攻擊繞過。企業必須自己進行這些具體的評估,因為它們取決于你系統上的各種保護措施。
注重安全的企業在評估系統和網絡時需要了解利用多個零日漏洞的惡意軟件,并且要把它們考慮進去。如果系統保護措施相互重疊嚴重,并且會以同樣的方式失敗,那么即使安裝多層保護也可能無法提供重要的額外安全,反而會增加系統的攻擊面,讓管理更加困難。
企業對多個零日攻擊的防御策略
為了防御多個零日攻擊或者有針對性的攻擊,企業不僅需要使用殺毒軟件、更新補丁、采用基于主機的防火墻等標準措施,還應該考慮部署外圍防火墻、基于網絡的殺毒監測和阻斷、以及入侵監測等,從而防御各種類型的攻擊。雖然額外的多層安全在某層失敗后可以提供協助保護,但是多層保護并不能真正提供足夠的深層次防御。
比如,如果你的企業在臺式機、服務器、電子郵件系統以及網絡設備中使用相同的殺毒軟件引擎,單靠這些殺毒軟件監測提供的保護范圍可能并不會比只在臺式機中安裝這種殺毒引擎提供的保護范圍大多少。如果不是所有的臺式機都安裝了殺毒軟件,或者不是所有機器中的殺毒引擎都進行了合適的操作,那么使用相同監測引擎的額外層才可能會提供額外的安全保護覆蓋面。在服務器、電子郵件系統以及基于網絡的殺毒設備中運行不同的或者額外的殺毒引擎,可以增加額外的零日保護或者惡意軟件的監測覆蓋面。
如果你的企業擔心這類攻擊,你可以采取額外的步驟(保護USB連接的安全)以防護或者限制攻擊。如果不需要USB連接,請禁用它們,確保USB設備是在安全的配置中使用,確保USB設備的自動運行不能攻擊系統。禁用USB設備之后,請鎖定其他的物理安全設置,比如說系統BIOS。還有,只允許用有效的證書進行軟件簽名,并與應用程序白名單一起使用,從而防止惡意代碼在系統中執行。微軟的增強的減災體驗工具包 (EMET)可以為微軟軟件提供額外的惡意軟件保護,防止軟件被攻擊者進行漏洞利用。只要有可能,企業還應該考慮不要把任務優先的系統連接到通用網絡或者互聯網上。
Stuxnet只是使用高級功能和利用多個零日漏洞的惡意軟件之一。歷史的經驗告訴我們,惡意軟件和攻擊者只需做最少工作的就可以入侵系統,而隨著防護水平的提高,攻擊者的水平也會相應提高。Stuxnet以及將來可能利用多個零日漏洞的惡意軟件,表明了企業需要仔細評估自己的安全保護措施,并且弄清這些保護是否能夠阻斷以及如何阻斷這種攻擊。利用多個零日漏洞的攻擊將會更加常見,因為在惡意軟件中可以綁定攻擊的平臺不斷涌現,而且在惡意軟件中包含新型攻擊變得越來越簡單了。
Stuxnet蠕蟲病毒已經引起了媒體的廣泛關注,因為這種病毒能夠感染多種不同類型的系統。Symantec公司發布了一篇詳細介紹Stuxnet的技術文章,并且指出,該病毒已經感染了近10萬個系統。
Stuxnet類似于2009年12月的Operation Aurora(極光行動)攻擊和Zeus僵尸病毒,因為它表現出了惡意軟件的尖端技術。然而,Stuxnet更加復雜,主要是因為它能夠同時利用多個零日漏洞。雖然通常很難預測未來的惡意軟件,但是可以確定的是,Stuxnet不是最后一種同時利用多個零日漏洞的攻擊。在本文中,我們將討論Stuxnet的具體攻擊方法,以及企業應該如何防御這種類似的漏洞利用程序。
當前Stuxnet的狀態
Stuxnet是目前世界上最先進的惡意軟件之一,因為它含有多種不同的惡意功能。它可以利用四種零日漏洞,其中包括Windows打印機后臺處理中的一個遠程漏洞,以及另外一個具有本地升級權限的漏洞。攻擊一個零日漏洞比較普遍,而試圖利用多個零日漏洞媒介可以讓攻擊者更加成功地入侵系統。雖然這是真的,但是對于每個零日漏洞來說可能都存在保護措施,或者系統并不會運行該軟件容易受攻擊的版本(比如,惡意軟件試圖攻擊32位系統,但是最終攻擊的卻是64位Windows系統,或者目標系統使用的是另外一種PDF閱讀器,而不是Adobe Reader),然而如果惡意軟件包括多個零日漏洞攻擊,只要其中一個攻擊媒介沒有受到充分的保護,就為攻擊者提供了可乘之機。
攻擊零日漏洞的惡意軟件并不常見,普通的惡意軟件一般針對的是比較老的、沒打補丁的常見漏洞以及安全性差的系統,而能同時攻擊多個零日漏洞的惡意軟件則少之又少。
雖然利用多個零日漏洞可以增加攻擊者成功的機會,但是攻擊者所帶來的破壞跟零日漏洞的數量沒有關系。破壞的大小取決于攻擊者利用漏洞所獲得的訪問權限,以及是否能夠完全控制整個系統。如果惡意軟件能夠控制系統,不管它同時利用幾個零日漏洞都沒關系,因為它只利用一個漏洞入侵系統。一旦攻擊者控制了系統,就可以截獲數據,使用該系統去攻擊其他系統,或者進行該系統可以完成的任何事情。
攻擊多個零日漏洞的惡意軟件利用了多個攻擊媒介,這會增加它被監測到的機會,具體的取決于惡意軟件的工作方式。如果多個失敗的利用被記錄下來,就會引起更多的關注,因為這可能是一個不尋常的事件。所以,攻擊者需要進行權衡,因為他們越是使用多個零日攻擊入侵系統,就越有可能被監測到。
【編輯推薦】
