抵御 APT 攻擊需要更強(qiáng)的“深度”
前段時(shí)間發(fā)生在RSA網(wǎng)絡(luò)上的問題僅僅屬于個(gè)例的安全專家認(rèn)為,保護(hù)好電子郵件,并選擇多層次防御模式就可以應(yīng)對魚叉式網(wǎng)絡(luò)釣魚以及高級持續(xù)威脅導(dǎo)致的風(fēng)險(xiǎn)。
安全專家指出,RSA網(wǎng)絡(luò)遭受的破壞僅僅屬于很難被發(fā)現(xiàn)的“偶發(fā)事件”,并再次向公司發(fā)出呼吁,希望他們選擇安全級別更高的電子郵件保護(hù)措施,并部署多層次“縱深防御”安全系統(tǒng)。
本星期的早些時(shí)候,安全廠商在一篇日志文章中對魚叉式網(wǎng)絡(luò)釣魚進(jìn)行了說明,它屬于有針對性的釣魚式攻擊,被攻擊者用來進(jìn)行第一步的網(wǎng)絡(luò)入侵。在攻擊中,網(wǎng)絡(luò)犯罪分子成功地獲得了上個(gè)月剛剛發(fā)布的SecurID身份驗(yàn)證令牌的相關(guān)信息。
來自RSA的說法聲稱,網(wǎng)絡(luò)犯罪分子采用了在兩天之內(nèi)分別向兩個(gè)不知情的員工群體發(fā)送了兩封標(biāo)題為“2011年招聘計(jì)劃”包含Excel附件內(nèi)容不同電子郵件的方式。在日志文章中,RSA公司負(fù)責(zé)消費(fèi)者認(rèn)證保護(hù)新技術(shù)的主管烏里·瑞納就事件的發(fā)生原因進(jìn)行了解釋;由于奧多比Flash文件中存在漏洞,導(dǎo)致木馬被容許安裝到系統(tǒng)中,進(jìn)一步導(dǎo)致攻擊者可以通過遠(yuǎn)程方式接管計(jì)算機(jī)的控制權(quán)。
易安信信息安全事業(yè)部將其定義為類似超級工廠病毒和極光攻擊的高級持續(xù)威脅(APT)。
對于公司和個(gè)人來說,都應(yīng)該提高警惕
針對RSA網(wǎng)絡(luò)中出現(xiàn)的問題,守護(hù)使亞太區(qū)首席技術(shù)官保羅·達(dá)克林強(qiáng)調(diào)說,用戶要提高對電子郵件安全性的關(guān)注度。
他進(jìn)一步指出,不假思索地信任網(wǎng)絡(luò)連接和電子郵件中的內(nèi)容,就如同邀請陌生人到自己家里。“只要打開門,不認(rèn)識或者沒有被獲得同意的陌生人就會(huì)進(jìn)來。盡管并沒有發(fā)出邀請,但他們還是會(huì)要求使用你家里的計(jì)算機(jī),網(wǎng)絡(luò)上的魚叉式網(wǎng)絡(luò)釣魚所做的事情與此完全相同。
在接受ZDNet的電子郵件采訪時(shí),他向用戶提出了這樣的問題,僅僅因?yàn)樗麄兇┲皿w、文質(zhì)彬彬,并聲稱已經(jīng)了解你的情況,你就準(zhǔn)備按照他們給出的指示去做么?
盡管RSA沒有透露遭受破壞的具體部分,但業(yè)內(nèi)盛傳黑客已經(jīng)連接上負(fù)責(zé)為所有SecureID令牌生成一次性密碼的數(shù)據(jù)庫。這些通行碼是通過利用一個(gè)“秘密種子”和當(dāng)時(shí)的時(shí)間生成的,會(huì)被用于雙因子認(rèn)證。在全球范圍內(nèi),已經(jīng)有約40萬臺硬件令牌獲得部署了,大約2億5千萬份軟件正在使用中。
達(dá)克林相信這些代碼都被竊取了僅僅屬于猜測。
畢馬威新加坡會(huì)計(jì)師事務(wù)所負(fù)責(zé)業(yè)績和技術(shù)的合伙人龔君文在電子郵件中指出,只有出現(xiàn)RSA令牌生成碼屬于唯一驗(yàn)證手段的情況時(shí),用戶才需要擔(dān)心。
“令牌代碼被盜的威脅不應(yīng)該被低估”,他指出。“但是,盡管攻擊者可能從RSA竊取到信息,但依然還要克服多層障礙,才能獲得成功。他們還需要知道以前的令牌代碼編號或者令牌設(shè)備的硬件序列號”。
不過,按照一位業(yè)內(nèi)專家告訴ZDNet姊妹網(wǎng)站CNET的說法,負(fù)責(zé)產(chǎn)生種子令牌序列號的映象算法已經(jīng)被盜。應(yīng)用安全公司Veracode的首席技術(shù)官克里斯·威斯波爾宣稱:“某公司使用的序列號沒有受到很好的保護(hù)”。
在電子郵件專訪中,市場調(diào)研公司Ovum的首席分析師格雷厄姆·提特林頓認(rèn)為:“我相信,RSA已經(jīng)采取行動(dòng),更換過受到影響的種子,因此,這一威脅存在的時(shí)間應(yīng)該是很短的”。
分層模式更安全
畢馬威的龔君文還指出,在這種攻擊中,通常只有在真正的損失出現(xiàn)之后,企業(yè)才會(huì)發(fā)現(xiàn)。
他進(jìn)一步解釋到:“對于APT來說,這通常都是最大的問題。大多數(shù)受害者不知道攻擊是什么時(shí)間發(fā)生的,直到財(cái)務(wù)或者機(jī)密信息的泄露帶來實(shí)際損失時(shí),才會(huì)意識到攻擊的存在”。
來自O(shè)vum的提特林頓也支持這種觀點(diǎn),并且進(jìn)一步補(bǔ)充說,企業(yè)應(yīng)該選擇安全信息和事件管理(SIEM)工具作為警報(bào)系統(tǒng)。他也指出,利用數(shù)據(jù)泄露防護(hù)工具可以阻止或者發(fā)現(xiàn)數(shù)據(jù)的非法移動(dòng)情況,但這樣做也不是很簡單的事情。
他建議,在種子泄露后,RSA的客戶如果懷疑自己的數(shù)據(jù)可能遭遇攻擊時(shí),就應(yīng)該選擇對系統(tǒng)訪問日志進(jìn)行檢查,確認(rèn)當(dāng)中不存在異常的訪問行為。
當(dāng)被問到是怎么看待附加防火墻和虛擬專用網(wǎng)絡(luò)(VPN)令牌解決方案之類的替代安全措施時(shí),提特林頓斥之為“關(guān)注重點(diǎn)存在錯(cuò)誤”。
他宣稱:“令牌可能丟失或者被破壞,并且,我們已經(jīng)建立了太多的防火墻。對于威脅防御來說,我們需要一種更靈活的方法”。
守護(hù)使的達(dá)克林就倡導(dǎo)“縱深防御”模式的安全策略,用來應(yīng)對魚叉式網(wǎng)絡(luò)釣魚和APT。“對于外部攻擊者來說,如果公司選擇多層次安全和保護(hù)模式的話,就很難在不觸發(fā)某些位置安裝的報(bào)警點(diǎn)的情況進(jìn)行攻擊”。
他進(jìn)一步解釋說:“在安全方面,受到良好保護(hù)的公司可以選擇很多種有效做法。良好的電子郵件安全網(wǎng)關(guān)以及切合實(shí)際的電子郵件管理策略,都可以在第一時(shí)間防止異常附件帶來的威脅”。
畢馬威的龔君文還指出,安全廠商也應(yīng)該關(guān)注APT的發(fā)展情況。
他說:“如果RSA被APT成功攻擊的話,對于其它安全軟件公司來說,就意味著有很高的幾率遭遇類似的情況。”
【編輯推薦】
