技術透視:頂尖數據滲漏技術
現在是凌晨3點,你知道你的數據在哪里嗎?本文我們將探討數據滲漏問題。
數據泄漏事故以驚人的頻率發生,IT部門第一個想知道的事情是哪些數據丟失了,是怎樣丟失的。
“數據滲漏”(是指從公司網絡轉移敏感信息)的概念已經逐漸成為所有數據泄漏調查的重要組成部分。不管是通過物理盜竊還是通過受感染內部機器的數字傳輸,結果都是相同的:敏感數據丟失將為企業帶來災難性的結果。
很多人使用數據丟失防護(DLP)技術來對抗這種威脅,這種技術可以在重要信息離開企業網絡之前幫助識別并阻止重要信息的傳輸。但是不幸的是,攻擊者往往很容易操縱、編碼或者加密信息,讓信息很容易地繞過數據丟失防護功能:看看最近為Metasploit發布的vSploit模塊中的Web_PII模塊。
Security Art的研究員Iftach Ian Amit在拉斯維加斯舉行的BSides大會上說到這樣一種趨勢,即越來越多的公司意識到他們易于遭受數據丟失。
數據滲漏是這種趨勢的核心所在。滲透測試公司現在的任務不僅僅是找出攻擊者可以接觸到企業數據的不同方式:企業還想知道數據從內部網絡轉移出去的所有方式。
Amit描述了一些數據滲漏技術,這些技術雖然用法不同,但是都有相同的目標:獲取重要數據。其中一種方法就是在將數據傳輸到互聯網之前或者期間對數據進行加密,這種方法非常容易實現,只需要簡單地連接到支持SSL的遠程web服務器或者FTP服務器或者使用基于文件的加密方式(例如winzip、PDF等)。
數據被加密和編碼后,攻擊者如何將數據轉移出去呢?不要考慮電子郵箱和FTP。Amit建議使用社交網站發布帖子,然后稍后再獲取。在滲透測試之前,可以創建一個WordPress或者博客網站來發布信息,這樣做非常容易,并且是免費的。
Amit還提出了一個關于Wikipedia和wikis的有趣的問題,人們很少瀏覽的網頁是哪些?觀眾給出了正確答案:討論頁,這是關于wiki的討論頁面。將加密和編碼的數據放在那里,基本上很難被注意到。
在目標環境外面沒有網絡連接的話,攻擊者會怎樣做呢?這在高度安全環境中是很常見的情況,這種環境中,內部網絡是與互聯網隔絕的。Amit提供了三種選擇:第一種是對數據進行編碼,將數據發送到網絡打印機,并期望任何看到它的人會將它當做亂碼和垃圾。當這個垃圾被扔到企業外面時,攻擊者就可以從垃圾箱中取回這張紙,并解碼數據。
第二種方法就是利用VoIP或者電話系統來進行數據滲漏。首席,將數據編碼為音頻數據,然后呼叫到外部的語音信息或者電話會議服務,通過電話播放音頻,并記錄下來。隨后獲取音頻,并解碼。
Amit開發了一個概念證明型工具來處理編碼和解碼,點擊此處下載。
第三種方法是利用電子郵件到傳真接口,內部電子郵件地址收到文件后可以被傳真到任何地方。同樣的,攻擊者可以利用多功能打印機(具有直接掃描到傳真號碼或者電子郵件地址的功能)。
如果數據滲漏為硬拷貝形式,那么就可以直接掃描或傳真并從設備發出,Amit表示。
數據滲漏的方法比比皆是,這意味著根本沒有辦法可以阻止數據滲漏。對于網絡防護者而言,對公司的內部網關實施SSL檢查可以幫助識別可疑數據傳輸。還可以配置Web/電子郵件內容過濾器來阻止加密文件傳輸。Amit建議首先加強防御控制以解決人為因素,然后再加入技術。
除了進行用戶培訓外,企業必須解決數據庫存儲位置和如何存儲的問題。如果用戶被允許在可移動載體上存儲數據,請確保他們具有數據加密工具并知道如何使用。更好的是,使用自動自我加密的閃存驅動器。
同時,加強對傳真機和多功能設備的控制,防止網絡中的任何機器連接到這些設備,并防止個人在沒有密碼的情況下走過去使用它們。
部署好這些控制后,再對公司資產進行監控,弄清楚哪些屬于重要資產以及它們的存儲位置。Amit指出,沒有理由羞于監控自己的資產,然后,“測試,進行更多的測試。”執行定期測試,讓內部員工和外部滲透測試者參與進來,可以幫助IT部門確定哪些控制沒有正確執行,以及哪些地方需要額外的培訓。
只有你了解企業的數據流和網絡中的資產,才可能抵御數據滲漏。
【編輯推薦】
