RSA亞瑟·科維洛:解析全球最活躍三類攻擊者
2011年11月2日由EMC信息安全事業部RSA主辦、中國電子學會聯合承辦的RSAConference2011信息安全國際論壇在北京中國大飯店舉行。EMC公司執行副總裁兼RSA,EMC信息安全事業部執行主席亞瑟W科維洛解析全球最活躍的三類攻擊者。
中國互聯網發展情況統計報告顯示,中國互聯網用戶中有2.17億人曾是木馬和病毒受害者,另外1.2億人有密碼被盜的經歷,中國用戶中每十個人就有一個人曾是網絡欺詐受害者,這種情況是不可接受的。當然也有好消息,信息安全產業已經開始發展,領先的安全團隊已經做好部署,他們的技術和能力必須像攻擊者一樣快速、敏捷,同時要比攻擊者更聰明才能應對他們的狡猾。變得更聰明的要素就是了解你的對手,了解他們的動作和方法。要了解風險在何處你必須意識到誰可能發出攻擊,為什么攻擊,如何攻擊。而且你必須超越自己的領域,根據計算機網絡應急技術小組發布的中國互聯網安全報告,網絡安全事件的跨國特點變得越來越突出。
去年計算機網絡應急技術小組發現,對中國進行木馬和網絡釣魚攻擊等非法行為利用的惡意域名有一半注冊在海外,遠在美國、印度、土耳其,還有比較近的是緊臨中國大陸的臺灣地區。而且手段最高潮的攻擊者往往利用第三國業已被攻擊的域名來掩蓋他們的蹤跡。換句話說,這種跨國攻擊非常的復雜,讓我們來看一看今天活動在世界各地的三類攻擊者。
首先是受意識形態引導的追求曝光率的黑客,他們想要向公司或者政府傳達非常響亮的信息,他們希望看到他們的信息通過全球媒體網點即刻向全世界廣播,不管是網站的漏洞還是缺乏一般的信息安全控制還是防火墻失效,這些團體努力尋找任何外圍防御體系的漏洞,他們經常與內部人士合作。
第二類是網絡罪犯,他們建立松散的聯系還是嚴密組織起來其目的都是竊取信息資產然后迅速出售變現。比較典型的做法是將基于平臺的犯罪軟件和零日漏洞拍賣給出價最高的買方,一個犯罪集團可以買下僵尸網絡工具包,地下服務供應商購買防彈托管和無法追蹤的注冊域名等等。對網絡犯罪而言,一切無外乎金錢和速度,他們會找到您最薄弱的環節加以利用。
第三類同時是最可怕的攻擊者是正規的組織。如今正規組織制造出了最高級的威脅,但是隨著威脅環境的不斷變化,其他類型的攻擊者很可能也會具備同樣的能力。這些高級的攻擊無外乎其隱秘性、復雜性。通過社交工程,攻擊者搜集各種情報,時候要經過數月的的準備才會發動攻擊。他們會先了解公司和政府機構的哪些最終用戶擁有他們想要的資產,他們的活動很難察覺。因為他們往往會利用一個受到侵害的組織來攻擊另外的組織。網絡攻擊開始可能會使用基本的惡意軟件和各種工具與其他類型的攻擊者沒什么不同。如果必要的話他們會以真正的零日漏洞發起攻擊,其可怕之處在于攻擊背后集中的大量資源以及他們發起攻擊的效率。一旦進入組織內部他們就會蜇伏起來,隨著目標的推移他們會開發目標網絡和安全架構的影射和庫存。經驗會告訴他們想要的信息駐留在何處,不管在數據庫還是文件共享中。與網絡罪犯不同,他們想留在你的網絡內部,監控事件響應的情況,以便評估你的防御反映,相應的調整自己的行為,直到他們得到自己想要的東西。
所有這些攻擊者帶來風險的隱含意義是IT組織始終面臨著持久、動態和智能的威脅。我們必須克服這些威脅以便各組織有信心利用信息來驅動創新、進行合作、獲得市場認可并且實現經濟增長。不幸的是面對這一新的威脅局面,過去的信息安全技術是不夠的。許多信息安全技術已經不再新鮮,他們的價值大大降低,所以我們作為信息安全的專業人員,需要改變我們的思維方式,信息安全必須從現有的、常規、不協調的靜態單點產品向更為高級的安全系統發展。我們需要采用已經開發和正在開發的安全創新,跟上信息技術的創新和威脅升級的步伐。
【2011 RSA中國大會相關推薦】
