网络间谍组织数不胜数,但根据威胁追踪人员的调查,这帮家伙的真正水平往往远低于其显赫的恶名。
卡巴斯基实验室全球研究主管Costin Raiu做出估算,称单在中国就存在约一百到两百个黑客团队。
尽管关于零日攻击的炒作永不停歇,但大部分成功的攻击所依赖的其实仍然是基础手段,例如利用用户疏于更新补丁的坏习惯或者其它常见安全失误,Raiu在本届RSA欧洲大会的一次小组讨论中表示。
“大部分攻击虽然能够得手,但却并没有涉及什么先进技术,”Raiu指出。“攻击者们往往会从最常见的起点入手,顺势达成自己的邪恶目的。”
“除非别无选择,否则他们在攻击过程中绝不会优先考虑使用零日漏洞,”他补充道。
AlienVault实验室主任Jaime Blasco也表示,与其跟高级持续性威胁攻击等行业术语纠缠不清,不如从最有效、最基本的层面出发更有意义。
Blasco指出:“不同的黑客组织拥有不同的技能水平和不同的攻击意图,”他同时补充称,臭名昭著的APT1小组虽然大获成功,但其“技能水平并不高”。
欧洲刑警组织(一个国际警察机构)网络犯罪部门组长Jaap van Oss也表示,犯罪领域中的各类专业技能水平与由国家赞助的黑客组织并无多大差别。
Websense公司信息安全与战略官Neil Thacker指出,高级持续性威胁“帮助我们获得项目预算”。Thacker的工作性质与角色定位类似于外部企业当中的CISO一职。
这四位安全从业人员在本周二RSA欧洲大会上题为《冲破炒作迷雾,揭露高级持续性威胁的真面目》的小组讨论上发表了上述意见。
Thacker补充道,尽管每个人都希望APT攻击的具体来源,但归属地分析的难度实在很高。“每个人都希望弄清楚是谁在发动攻击,但归属信息可没那么容易得到,”Thacker表示。
Raiu还提到,很多并非来自中国的恶意团伙会通过注册并租用中国域名的方式伪装自身来源,从而引导追踪人士误入歧途。“他们会在没有接入互联网的虚拟机上打开被盗的文件,从而避免暴露自己的行迹,”他补充道。
对攻击者进行“反黑(主动防御)”也是应对网络间谍活动的一种可行方案。举例来说,这可能涉及到破坏系统与特定攻击之间的链接。不过主讲人们对这样的思维表示担忧。“要想获得更理想的安全保护,我们确实需要强悍的防御机制,但法律不允许我们这样做,”Thacker表示。
所有与会者都同意,安全事故永远不可能被彻底消灭,因此最好的解决办法在于快速检测恶意软件攻击并在造成严格损害之前对被突破的系统进行隔离。我们无法击败攻击者,但却“可以分析他们、了解他们所使用的技术与工具,从而在安全事故出现之前就打造出理想的响应机制,”Blasco这样表述自己的意见。
绝大多数(90%到95%)攻击活动都会涉及一部分社会工程内容,例如钓鱼攻击——欺骗用户在虚假网站上输入自己的密码。
在很多安全事故当中我们都会发现共通的状况,其中包括未安装杀毒软件的Win XP设备、每一位用户都以管理员权限使用着未及时更新补丁的操作系统等。