如果你的网络中潜伏着高级持续性攻击威胁,你的安全团队会知道吗?在RSA大会上,HBGary的Greg Hoglund与我们分享了四种抵御有害攻击的方法。
大部分针对企业的攻击都是投机诈骗和网络犯罪,但是对于想要保护客户信息和企业知识产权信息的企业而言,还需要关注更为持久的攻击者。
虽然“高级持续性威胁”(APT)现在已经成为一个营销口号,但持续攻击者的确对企业构成威胁,HBGary公司首席技术官Greg Hoglund表示。随着攻击者逐渐意识到悄悄在企业网络内抢滩的好处,企业IT安全团队需要假设攻击者已经越过了他们的防线,并且积极追捕已经在其网络中的入侵者。
他表示:“你不能完全依赖于外部供应商为你提供一个神奇的黑名单,就能解决所有安全问题。”
HBGary发现高级持续性攻击并不需要使用先进的技术来获取企业的关键信息。一年前,自称是Anonymous运动成员的攻击者获取了该公司子公司HBGaryFederal电子邮件账户的访问权限,并且泄露了敏感信息,即使攻击者没有获取对该公司网络的访问权限。
Hoglund表示,对付专门针对你公司的攻击者是一个很棘手且成本很高的问题。
“这是一个反间谍问题,”Hoglund表示,“你必须愿意接受将其作为反间谍问题的成本,如果你想要更好的安全性的话。”
以下是Hoglund的建议,以帮助企业更好地发现网络中的高级持续性攻击。
1.请注意可疑行为
高级持续性攻击者会使用社会工程学和其他方法(例如破坏第三方服务器)来获取访问企业网络的有效凭证信息。在这一点上,我们几乎不可能根据检测恶意代码来检测攻击者。相反的,防御者需要将重点放在检查可疑活动上。
“一旦他们开始进行持续攻击,他们可能不会再使用漏洞利用,”他表示,“他们只会使用用户登录信息来登录,这是一个完全不同的问题。查找恶意软件并无济于事。”
检测网络中怪异的员工行为变得非常重要,特别是在登录信息被泄露时。例如,有这样一个案例,在从目标渗出数据前,攻击者通常会习惯性地等待三天。对异常行为比较敏感的企业就能够检测到这种活动。
他表示,“如果在着三天中,我们知道他们会渗出数据,那么我们就可以做好准备。”
2.检测流量
每个公司都想要防止攻击者进入,但是企业应该假设,攻击者已经渗透入他们的网络。当事情真的发生时,攻击者最初渗入的系统从来都不是攻击者真正感兴趣的系统。
攻击者会侵入任何内部系统,然后使用那个系统在网络内横向移动。虽然企业应该注意到攻击者在网络中,但是攻击者会制造很多异常网络流量,这些流量可能会暴露他们的活动。查看流量是关键。
Hoglund表示:“如果你可以检测到网络内的横向移动,你就能够检查出高级持续攻击。”
3.当发现一个被感染系统,不要停下脚步
很多公司只会清除被感染的服务器,然后重新安装系统。然后企业会发现追踪其他感染系统变得难上加难。
IT安全团队应该利用这个被感染系统找出其他已经被感染的系统。
高级攻击者会使用一种巩固战略,当他们在环境中部署了远程访问工具后,他们不可能只部署一个这样的工具。
例如,在另一个案例中,HBGary追踪了攻击者三个月,并且清除了他们的访问权限。他们不停地寻找,最终发现了与已经检测到的远程访问工具相同的工具,不过使用的是微软的Windows Messenger的副本作为紧急后门,以防万一有人会清除他们的访问权限。
他表示:“他们部署了多层次战略,也就是说,如果你找到他们的东西,你需要找出所有东西才行。”
4.寻找渗出点
当攻击者发现有价值的信息,他就会准备渗出数据。这也是防御者可以检测到攻击者存在的一点,找寻服务器中大型压缩文件是一个不错的开始。
“我们看到攻击者利用RAR作为渗出数据的格式,还有CAB文件,”Hoglund表示,RAR是WinRAR的专有归档格式,而CAB文件是微软用于压缩软件组件以便于安装者使用的格式。
通过搜索网络中的RAR和CAB文件,企业可能能够找出潜在的渗出点。
Hoglund表示:“你知道吗?如果你发现某台机器堆满这些格式的文件,你可能就找到了一个渗出点。”