“隱身式”高級攻擊?利用無加密區(qū)來解決!
縱觀近期的數(shù)據(jù)泄露事故,我們驚訝地發(fā)現(xiàn),企業(yè)在受到攻擊后的很長一段時間內(nèi)都沒有發(fā)現(xiàn)數(shù)據(jù)泄露事故的發(fā)生。
根據(jù)Verizon數(shù)據(jù)泄露報告和Mandiant M趨勢報告顯示,企業(yè)在受到攻擊的14個多月后才發(fā)現(xiàn)數(shù)據(jù)泄露事故的發(fā)生。我們只能得出這樣的結(jié)論,企業(yè)缺乏適當(dāng)?shù)娜肭址烙δ埽蛘邫z測技術(shù)和流程未能防范攻擊。
身處這樣一個行業(yè)我們必須接受的事實是,攻擊遲早會發(fā)生;這并不是軟弱的表現(xiàn),只是基于現(xiàn)在的高級攻擊性質(zhì)得出的結(jié)論。同樣重要的是,企業(yè)必須更好地進(jìn)行檢測。受到攻擊幾個小時或者甚至幾天都是可以接受的,但當(dāng)攻擊延續(xù)更長時間,特別是超過12個月,這就屬于疏忽了。
我們不應(yīng)該因此而感到沮喪,而應(yīng)該提出基本問題:“為什么?”為什么企業(yè)無法檢測受攻擊系統(tǒng)?原因之一在于攻擊者越來越多地依賴于一種混淆方法,這種方法利用了信息安全的最佳戰(zhàn)略防御之一:加密。
了解加密的命令控制通道
人們常說,加密可以阻止攻擊者讀取企業(yè)的信息;這是部分正確的。加密通常可以阻止任何人讀取任何人的信息,包括阻止企業(yè)讀取攻擊者的信息。
當(dāng)系統(tǒng)受到攻擊,攻擊者將會建立加密的出站命令控制(C2)通道,這幾乎可以繞過企業(yè)的所有網(wǎng)絡(luò)安全防御。原因很簡單:大多數(shù)網(wǎng)絡(luò)安全設(shè)備無法讀取加密流量本身,因此,加密的C2流量讓攻擊者有效地躲過網(wǎng)絡(luò)檢測。
雖然出站代理最初是解密和審查加密C2流量的有效方法,但攻擊者已經(jīng)找到方法來對付這種保護(hù)機(jī)制。我們?nèi)匀唤ㄗh企業(yè)使用出站網(wǎng)絡(luò)代理服務(wù)器,因為它們可以有效過濾流量,并將阻止一些攻擊。然而,有些企業(yè)有太多出口點,而無法有效代理所有流量,并且,它無法阻止高端攻擊者找到辦法繞過這些代理。因此,我們需要另一種解決方案,這個解決方案就是無加密區(qū)。
了解無加密區(qū)
在介紹無加密區(qū)的概念之前,重要的是要明白:
1)猛烈攻擊時代需要嚴(yán)厲的措施;
2)并非所有解決方案在所有環(huán)境中正常工作;
3)當(dāng)?shù)玫綉?zhàn)略性部署時,解決方案方可正常工作,并且不能集中于所有方面;
4)在你批評之前進(jìn)行嘗試。
筆者已經(jīng)為多個客戶成功部署的無加密區(qū)系統(tǒng),這個系統(tǒng)包括創(chuàng)建最后一英里未加密通道。這個想法是創(chuàng)建一個高度交換的LAN,其中不僅具有加密檢測,還不允許任何加密通信。并且,這對當(dāng)前網(wǎng)絡(luò)設(shè)計并沒有什么影響。本質(zhì)上,企業(yè)只需要部署或利用DLP或其他類似技術(shù),即可以檢測和阻止加密通信的技術(shù)。
在采用這個概念后,我們驚奇地看到在追趕攻擊者方面發(fā)生的變化:
• 在使用無加密區(qū)之前:用戶收到APT電子郵件,打開附件,系統(tǒng)會開啟一個出站加密C2連接,繞過所有網(wǎng)絡(luò)安全設(shè)備,然后系統(tǒng)被攻擊長達(dá)14個月。
• 在使用無加密區(qū)之后:用戶收到APT電子郵件,打開附件,系統(tǒng)嘗試建立出站加密C2連接,加密通道被檢測并被阻止,系統(tǒng)現(xiàn)在僅被攻擊持續(xù)14秒,而不是14個月。
通過創(chuàng)建這個無代理區(qū),我們基本上抑制了攻擊者的最大優(yōu)勢(C2加密),并將其變成最大的劣勢。這種變化創(chuàng)建了一個環(huán)境,讓我們可以容易地捕捉和控制高級攻擊。
正如上文所說,這個技術(shù)并不適合于所有情況。例如,在默認(rèn)情況下,用戶不應(yīng)該被允許使用個人身份信息(PII)進(jìn)行個人網(wǎng)上沖浪,或者傳輸支付數(shù)據(jù),因為這些信息不會被加密,但這個問題可以得到解決,例如為用戶提供單獨的僅供個人使用的計算機(jī)。同樣重要的是要注意,加密網(wǎng)關(guān)(例如SSL)可以設(shè)置在到網(wǎng)絡(luò)的網(wǎng)關(guān)處。只有最后一英里(或本地LAN)未被加密,但任何離開網(wǎng)絡(luò)的數(shù)據(jù)都會被加密和受到保護(hù)。
再次,筆者并不建議在整個企業(yè)部署無加密區(qū),而是建議將它們設(shè)置作為選擇性機(jī)制。如果用戶表明他或她不能保護(hù)系統(tǒng)和數(shù)據(jù),并且他們可能做出錯誤判斷而點擊郵件附件并受到感染,那么政策應(yīng)該將這個用戶加入到這個機(jī)制,并將他或她進(jìn)入無加密區(qū)。這已被證明非常有效,因為如果沒有特殊控制,因錯誤決定而受到攻擊的用戶很有可能會再次這樣出錯。
通過創(chuàng)造性思考,創(chuàng)造性的解決方案可用于增加攻擊者的難度和降低企業(yè)防御難度。大家通常認(rèn)為加密會提高安全性,但正如本文所討論的,不使用加密可以創(chuàng)建一個環(huán)境來實際提高安全性。
