【51CTO.com 8月2日外电头条】让我们正视现实吧:你根本没有办法阻止得了下定决心的黑客,哪怕你是家安全公司,照样阻止不了。今年一波又一波的攻击清楚无误地表明了这一点,发动攻击的有Anonymous、从Anonymous分立出去的另一黑客组织LulzSec以及"反安全"浪潮的其他不属于任何组织的黑客,他们以暴露安全漏洞,抛售暴露的数据、电子邮件文件夹及其他敏感信息为乐事。
Lumension安全公司的取证调查和安全分析师Paul Henry说:"在我看来,美国安全公司HBGary遭黑客攻击是个转折点。这起事件绝对引起了我的注意:这表明,与互联网相连接的任何人都有可能成为受害者。"
Karim Hijazi是Unveillance这家安全新兴公司的首席执行官兼总裁,该公司在今年5月底曾遭到现已解散的LulzSec的攻击;他表示,其实没有办法避免被这些类型的攻击所盯上。Unveillance公司使用污水口服务器(sinkhole servers),伪装成僵尸网络服务器,获取孤立的僵尸机器发来的公告信息。他说:"考虑到攻击的猖獗程度,很遗憾,我无法确信谁的系统是这伙人严格上来说攻破不入的。我是说,这天中央情报局(CIA)面向公众的网站遭到分布式拒绝服务(DDoS)攻击;第二天换成游戏公司遭到了攻击,攻击根本毫无模式可言。"
他说:"话虽如此,某人不想让自己被这伙人盯上还是相当难。我们无疑在反其道而行之;我会竭力劝别人不要嘲笑这伙人。" 他是指他公司拒绝把僵尸网络的信息、控制权和所得利益交给攻击者。于是LulzSec采取了报复,把他的电子邮件文件夹及其他信息公布在了网上。
LulzSec的成员也被认为在幕后攻击了HBGary Federal安全公司,随后窃取了HBGary本身的电子邮件文件夹,而这些黑客当时隶属规模更为庞大的Anonymous这家黑客组织。HBGary Federal前首席执行官Aaron Barr发表了身份揭露的组织成员的研究报告后,就遭到了报复性攻击。
最近,LulzSec的成员之间外泄的聊天会话日志让外界或多或少了解了这家组织采用的一些攻击类型。比如说,Imperva安全公司分析日志后得出了结论:采用的三种攻击手段包括远程文件添加、SQL注入和跨站脚本(XSS)--它们都是常见的Web安全漏洞。据Stach & Liu安全咨询公司的研究人员声称,谷歌黑客攻击(Google-hacking)是LulzSec成员采用的另一个工具。
那么,你怎样才能帮助自己抵御像Anonymous及其追随者这些下定决心、野心勃勃的黑客呢?下面是Unveillance公司的Hijazi及其他安全专家传授的一些技巧,次序不分先后。
1、自己采用谷歌黑客攻击手段。
结果证明,LulzSec攻击者最早使用的工具之一是谷歌黑客攻击,也就是上网查找安全漏洞,比如网页上的SQL注入和远程文件添加等漏洞。Stach &Liu公司的执行合伙人Francis Brown研究了LulzSec使用谷歌黑客攻击的手法,表示上网查找其他网站的安全漏洞是该组织侦察活动的第一步。
大多数企业甚至懒得采取这个很简单,却常常能发现问题的措施。Brown说:"我们建议你自己也采用谷歌黑客攻击手段。一旦你做了这一步、找到了安全漏洞,比如某个思科VPN配置文件,将来就有了重点关注的对象。"
Stach & Liu公司的研究人员提供了免费的谷歌黑客攻击工具;Brown表示,他和另一名研究人员Rob Ragan打算在下个月即将于拉斯维加斯举行的黑帽美国(Black Hat USA)大会上发布更多的谷歌黑客攻击工具,不过这些工具用于防范目的。Brown说:"最大的《财富》100强公司中有一家公司使用了这类工具,并使用谷歌快讯服务和必应(Bing)RSS新闻源;如果谷歌检索到的内容与这些安全漏洞匹配,这些工具就会向你实时发送最新信息。这就好比是入侵检测系统(IDS)。"
他们将发布的新工具包括面向Android和iPhone的版本。他表示,所以,要是其中一款所谓的"Diggity Hacking"工具看到谷歌上检索出了含有贵企业30万个密码的某个SQL文件,它就会提醒你。
他说:"你可能存在一大堆的传统安全漏洞。你不希望别人通过谷歌轻而易举就能找到这些漏洞,因为谷歌太友好了,会为你检索出你的所有安全漏洞。"
2、使用和执行强密码和多因子验证机制。
密码很麻烦,但它们仍是大多数企业每天所要面对的安全机制。不止一个用户帐户使用同一个密码给了黑客可趁之机,也给了揭露贵公司电子邮件或其他信息的另一条途径。
自从HBGary黑客事件之后,Lumension公司的Henry采用了一项极端的密码安全策略。他说:"我的做法如下,我仔细审查了自己拥有的每一个在线帐户,并更改了每个帐户的密码,采用大小写字母、数字和符号组成的密码。平均长度是12至16个字符。"他还每隔30天就更新密码。
Henry说:"我知道这个做法很极端,但我只能这么做。"
当然,选用复杂而独特的密码存在的缺点是,要记住这些密码就算并非不可能,至少也很困难。他说:"于是,我将它们按只有我知道的顺序记下来,并制成一张塑封卡放在钱包里。"
他还使用那些秘密问题的虚假答案,以便在网上验证用户身份。"我对于主要帐户的秘密问题有不同的答案。我的生日不对,我母亲的娘家姓也不对",旨在进一步保护其在线帐户的安全。
优利系统公司的全球安全解决方案副总裁Steve Vinsik也提议,为每一个帐户采用复杂的密码;并且每隔30天就更新密码。他还建议采用多因子验证机制,而不仅仅是标准的用户名和密码:有权访问敏感数据的管理员及其他帐户应使用生物特征等第二个安全因子。
Unveillance公司的Hijazi表示,多因子验证正渐渐成为大多数企业的一种比较实际的选择。Hijazi说:"多因子验证正成为确保安全运营的一个日益明显的层面,不管贵公司的规模有多小。"#p#
3、消除SQL注入、XSS及其他常见的网站漏洞。
除了采用谷歌黑客攻击手段查找自己的安全漏洞外,对网站和应用程序执行漏洞扫描和评估工作也非常有助于将一些黑客拒之门外。像SQL注入和XSS这些常见的、很容易被利用的漏洞是LulzSec及其他攻击者最先寻找的一些对象,以便偷偷潜入攻击目标的系统。
优利系统公司的Vinsik建议,还要在自己的网络上执行渗透测试,以便找出漏洞,一定要补救这些漏洞。
Unveillance公司的Hijazi说:"如果贵企业是一家在网上颇有知名度的企业,就有必要证实你的Web应用程序已经过了全面深入的检查,找出安全漏洞--以LulzSec为例,这个漏洞具体就是指SQL注入。在许多情况下,开发期间一项到位的软件开发生命周期(SDLC)计划能够找出大多数软件缺陷,但是确保补丁版本最新或者更新LAMP堆栈或Windows服务器环境从来是有益无害。"
4、让第三方机构托管你的网站。
实际上没有办法预防大规模的分布式拒绝服务攻击(DDoS),不过有一些方法可以缓解这种攻击的风险,比如缓送技术(tarpitting),或者迫使DDoS僵尸机器发送比较少的流量以及阻止不良的IP地址。但是大多数企业根本就缺少防范DDoS所需的设备和资源。
Unveillance公司的Hijazi说:"不管你作了多么充分的准备,要对付拒绝服务攻击尤其困难。面向公众的网站很容易受到这类攻击的危害,可能总是会这样,原因在于这些网站谁都可以访问。拒绝服务攻击是一种很低级的攻击,但是对门外汉来说,它还是会造成相当大的影响。我知道,许多人觉得针对参议院网站和CIA网站的攻击让人很窘迫,这反映了这些网站的安全没有做到家,或者表明毫无准备。"
他说:"我不能说,对于期望防范这类威胁的企业,我有好多的忠告--只要看看到目前为此的这些受害者的地位和能力。对于大多数企业来说,最多只能采取'经受风暴袭击'的做法。"
另一个办法就是将你面向公众的网站外包给第三方机构。Lumension公司的Henry就采取了这一做法。他把其个人博客托管在自己的服务器上好几年之后,最近请第三方主机托管提供商来运行其个人博客。Henry说:"如果有人攻击了我的博客,他们攻击的只是提供托管的第三方,而不是我的内部网络。"他使用了报警系统,只要内容出现任何变化,就会第一时间通知他;他表示,他还对博客上更新的任何文件内容进行了"加密"处理。
第三方主机托管提供商可能比中小型企业、甚至大企业更有能力帮助防范DDoS攻击。
5、离线归档比较旧的电子邮件。
如今,Henry把时间在30天以上的电子邮件统统迁移到离线归档系统。这个方法可能适用于一些企业。
Unveillance公司的Hijazi说:"如果你一旦完成了电子邮件读取或者迁移到离线系统,就可以一删了之,这将是保护自身安全的另一种方法。"
Henry表示,自己平时从存储归档系统的机器搜索旧的电子邮件。他说:"我不会把时间至少在一年以上的数据放到在线系统。"
比如说,对于像律师事务所这些需要保留30天以上的电子邮件来办理案子的机构来说,他建议电子邮件只保留90天。Lumension公司为一家律师事务所客户就是采取了这一做法。他说:"过去可以从网上访问到这家律师事务所的其中一个负责人四年多以来的电子邮件。现在,它们对电子邮件进行了归档,每隔90天就把邮件从服务器上删掉。这些邮件保存在无法从网上访问的地方,只能通过内联网来访问。"
【51CTO.com独家译稿,非经授权谢绝转载!合作媒体转载请注明原文出处及出处!】
【编辑推荐】