四步追蹤 找出網(wǎng)絡(luò)中的高級持續(xù)性威脅
如果你的網(wǎng)絡(luò)中潛伏著高級持續(xù)性攻擊威脅,你的安全團(tuán)隊會知道嗎?在RSA大會上,HBGary的Greg Hoglund與我們分享了四種抵御有害攻擊的方法。
大部分針對企業(yè)的攻擊都是投機詐騙和網(wǎng)絡(luò)犯罪,但是對于想要保護(hù)客戶信息和企業(yè)知識產(chǎn)權(quán)信息的企業(yè)而言,還需要關(guān)注更為持久的攻擊者。
雖然“高級持續(xù)性威脅”(APT)現(xiàn)在已經(jīng)成為一個營銷口號,但持續(xù)攻擊者的確對企業(yè)構(gòu)成威脅,HBGary公司首席技術(shù)官Greg Hoglund表示。隨著攻擊者逐漸意識到悄悄在企業(yè)網(wǎng)絡(luò)內(nèi)搶灘的好處,企業(yè)IT安全團(tuán)隊需要假設(shè)攻擊者已經(jīng)越過了他們的防線,并且積極追捕已經(jīng)在其網(wǎng)絡(luò)中的入侵者。
他表示:“你不能完全依賴于外部供應(yīng)商為你提供一個神奇的黑名單,就能解決所有安全問題。”
HBGary發(fā)現(xiàn)高級持續(xù)性攻擊并不需要使用先進(jìn)的技術(shù)來獲取企業(yè)的關(guān)鍵信息。一年前,自稱是Anonymous運動成員的攻擊者獲取了該公司子公司HBGaryFederal電子郵件賬戶的訪問權(quán)限,并且泄露了敏感信息,即使攻擊者沒有獲取對該公司網(wǎng)絡(luò)的訪問權(quán)限。
Hoglund表示,對付專門針對你公司的攻擊者是一個很棘手且成本很高的問題。
“這是一個反間諜問題,”Hoglund表示,“你必須愿意接受將其作為反間諜問題的成本,如果你想要更好的安全性的話。”
以下是Hoglund的建議,以幫助企業(yè)更好地發(fā)現(xiàn)網(wǎng)絡(luò)中的高級持續(xù)性攻擊。
1.請注意可疑行為
高級持續(xù)性攻擊者會使用社會工程學(xué)和其他方法(例如破壞第三方服務(wù)器)來獲取訪問企業(yè)網(wǎng)絡(luò)的有效憑證信息。在這一點上,我們幾乎不可能根據(jù)檢測惡意代碼來檢測攻擊者。相反的,防御者需要將重點放在檢查可疑活動上。
“一旦他們開始進(jìn)行持續(xù)攻擊,他們可能不會再使用漏洞利用,”他表示,“他們只會使用用戶登錄信息來登錄,這是一個完全不同的問題。查找惡意軟件并無濟(jì)于事。”
檢測網(wǎng)絡(luò)中怪異的員工行為變得非常重要,特別是在登錄信息被泄露時。例如,有這樣一個案例,在從目標(biāo)滲出數(shù)據(jù)前,攻擊者通常會習(xí)慣性地等待三天。對異常行為比較敏感的企業(yè)就能夠檢測到這種活動。
他表示,“如果在著三天中,我們知道他們會滲出數(shù)據(jù),那么我們就可以做好準(zhǔn)備。”
2.檢測流量
每個公司都想要防止攻擊者進(jìn)入,但是企業(yè)應(yīng)該假設(shè),攻擊者已經(jīng)滲透入他們的網(wǎng)絡(luò)。當(dāng)事情真的發(fā)生時,攻擊者最初滲入的系統(tǒng)從來都不是攻擊者真正感興趣的系統(tǒng)。
攻擊者會侵入任何內(nèi)部系統(tǒng),然后使用那個系統(tǒng)在網(wǎng)絡(luò)內(nèi)橫向移動。雖然企業(yè)應(yīng)該注意到攻擊者在網(wǎng)絡(luò)中,但是攻擊者會制造很多異常網(wǎng)絡(luò)流量,這些流量可能會暴露他們的活動。查看流量是關(guān)鍵。
Hoglund表示:“如果你可以檢測到網(wǎng)絡(luò)內(nèi)的橫向移動,你就能夠檢查出高級持續(xù)攻擊。”
3.當(dāng)發(fā)現(xiàn)一個被感染系統(tǒng),不要停下腳步
很多公司只會清除被感染的服務(wù)器,然后重新安裝系統(tǒng)。然后企業(yè)會發(fā)現(xiàn)追蹤其他感染系統(tǒng)變得難上加難。
IT安全團(tuán)隊?wèi)?yīng)該利用這個被感染系統(tǒng)找出其他已經(jīng)被感染的系統(tǒng)。
高級攻擊者會使用一種鞏固戰(zhàn)略,當(dāng)他們在環(huán)境中部署了遠(yuǎn)程訪問工具后,他們不可能只部署一個這樣的工具。
例如,在另一個案例中,HBGary追蹤了攻擊者三個月,并且清除了他們的訪問權(quán)限。他們不停地尋找,最終發(fā)現(xiàn)了與已經(jīng)檢測到的遠(yuǎn)程訪問工具相同的工具,不過使用的是微軟的Windows Messenger的副本作為緊急后門,以防萬一有人會清除他們的訪問權(quán)限。
他表示:“他們部署了多層次戰(zhàn)略,也就是說,如果你找到他們的東西,你需要找出所有東西才行。”
4.尋找滲出點
當(dāng)攻擊者發(fā)現(xiàn)有價值的信息,他就會準(zhǔn)備滲出數(shù)據(jù)。這也是防御者可以檢測到攻擊者存在的一點,找尋服務(wù)器中大型壓縮文件是一個不錯的開始。
“我們看到攻擊者利用RAR作為滲出數(shù)據(jù)的格式,還有CAB文件,”Hoglund表示,RAR是WinRAR的專有歸檔格式,而CAB文件是微軟用于壓縮軟件組件以便于安裝者使用的格式。
通過搜索網(wǎng)絡(luò)中的RAR和CAB文件,企業(yè)可能能夠找出潛在的滲出點。
Hoglund表示:“你知道嗎?如果你發(fā)現(xiàn)某臺機器堆滿這些格式的文件,你可能就找到了一個滲出點。”
