很少有职业随着IT安全的变化而变化。从业者每年平均面临5000到7000个新的软件漏洞,这就像你的防御体系每天会引发15次新的泄露。这是每年威胁您IT环境的数以千万计的独特恶意软件程序中最严重的问题。在这种持续不断的威胁中,一个漏洞就可能造成严重的损失。然而这些都是可预防的,以下是每个计算机安全专业人员都应该知道的十二件事:
1. 黑客做了什么:他们的动机和恶意软件
无论黑客是使用计算机漏洞还是恶意软件,他们的动机都是一样的。了解黑客为何以及如何破解是您防御的关键。
2. 了解黑客及其攻击方式
不管威胁种类,它都会以两种方式到达您的计算机:认为或恶意软件。黑客可以使用数十万种已知计算机漏洞和攻击方法中的任何一种来破坏计算机或设备。人们要及时更新补丁,而且许多设备和软件程序也都会自动更新,但即使在补丁可用之后,许多计算机和设备在很长一段时间内仍然容易受到攻击。
恶意软件程序数以亿计,每天创建和发布数万个新的恶意软件程序。三种主要的恶意软件主要分为三种:病毒(自我复制),蠕虫(自行)和特洛伊木马程序(需要最终用户执行操作)。如今的恶意软件通常是通过网页或电子邮件发送的,通常是多个恶意软件的组合。通常,利用系统的第一个恶意软件程序只是一个“存根下载程序”,它获得初始访问权限,然后“phones home”获取更多指令并下载和安装更复杂的恶意软件。
通常,存根程序将下载十几种不同的新恶意软件变体,每种变体都会避免反恶意软件的检测和删除。恶意软件编写者维护他们自己的恶意软件多检测服务,类似于合法的Google VirusTotal,然后将其链接到自动更新服务,该服务修改他们的恶意软件,使当前的反恶意软件引擎无法检测到。正是这种即时更新导致了如此多的“独特”恶意软件程序被创建和传播。
恶意软件编写者或传播者也可能被雇来使用完全不同类型的恶意软件感染人们的设备。这已经形成了一个市场,恶意软件控制者可以出售这些软件以赚取更多的钱。而且,通过这种方式,恶意软件控制者的风险要小得多。
许多黑客(和黑客组织)使用恶意软件来访问公司或更广泛的目标受害者,然后单独选择一些已经受到攻击的目标花费更多精力。有时候,就像大多数勒索软件一样,恶意软件程序就是全部,能够在没有任何恶意领导者互动的情况下进行攻击和敲诈金钱。一旦被释放,黑客所要做的就是收集不义之财。恶意软件创建之后通常会被出售或租给传播和使用它们的人。
3. 为什么攻击?
黑客犯罪的原因分为以下几类:
- 经济动机
- 民族国家赞助/网络战
- 商业间谍
- 黑客行动
- 窃取资源
金融盗窃和民族国家攻击是最容易发生的网络犯罪。几十年前,吃着垃圾食品的孤独青年黑客是一般黑客的代表。他们有兴趣向他人展示他们可以破解某些东西或制造有趣的恶意软件。但他们很少造成实质性的损失。
如今,大多数黑客属于专业团体,这些团体的动机是获得有价值的东西,并经常造成严重损失。他们尽可能隐蔽的使用恶意软件,并在被发现之前尽可能多地获取有价值的东西。
4. 如何攻击?
无论动机是什么,黑客或他们的恶意软件通常以相同的方式侵入和利用计算机系统,并使用大多数相同类型的漏洞和方法,包括:
- 社会工程
- 未修补的软件和硬件漏洞
- 零日攻击
- 浏览器攻击
- 密码攻击
- 窃听
- 拒接服务
- 物理攻击
此列表不包括内部威胁、意外数据泄漏、错误配置、用户错误以及无法直接与黑客行为联系的大量其他威胁。设备受损的最常见方式是由于未修补的软件和社交工程。在大多数环境中,这些威胁会带来绝大多数风险(超过95%)。解决了这些问题,你就能摆脱大量的风险。
黑客或恶意软件程序利用公众不知道的漏洞,进行的零日攻击在刚发生时造成了极大的影响,因为供应商还没有发布相应的补丁。这种攻击每年只能发现少数几例,通常在发现、分析和修补漏洞之前,他们只攻击一家公司或少数几家公司。可能会发生更多的零日攻击,尤其是在一些民族国家,比我们意识到的还要多。然而由于这类黑客非常谨慎地使用它们,我们才很少发现它们,因而这种攻击手段才能屡禁不止。
绝大多数恶意攻击来自互联网并要求用户执行某些操作——单击链接,下载并执行文件,或提供登录名称和密码——以便开始恶意攻击。浏览器的安全性提高使得不常见的“无声运行”攻击成为可能,当用户访问网页或打开电子邮件时,威胁会在用户没有任何操作的情况下执行。
5. 防范黑客
无论动机如何,打败黑客和恶意软件的关键是,要发现根本的原因。看看上面列出的根本原因,确定哪些是你自身遇到过的,然后创建或改进现有防御以使威胁最小化。这样你就会建立一个无比稳固的安全防御体系。
6. 了解恶意软件
恶意软件主要分为三种:计算机病毒、特洛伊木马和蠕虫。任何恶意软件程序都是这些分类中的一个或多个的混合体。恶意软件—-病毒,蠕虫,特洛伊木马和其他有害计算机程序的全面术语—-自计算机初期就一直伴随着我们。但恶意软件不断在发展,黑客利用它来破坏并获取敏感信息; 打击恶意软件成为信息安全专业人员的大部分日常工作。
7. 恶意软件定义
正如微软所说,“恶意软件是一个全面的术语,指的是任何旨在对单个计算机,服务器或计算机网络造成损害的软件。” 换句话说,软件基于其预期用途被识别为恶意软件,而不是基于构建它的技术。
8. 恶意软件类型
恶意软件与病毒之间存在差异的问题忽略了一点:病毒是一种恶意软件,因此所有病毒都是恶意软件(但并非每一种恶意软件都是病毒)。
可以用许多不同的方法对恶意软件进行分类; 首先是恶意软件的传播方式。您可能已经听说过病毒,木马和蠕虫,但正如赛门铁克(赛门铁克,Symantec是信息安全领域全球领先的解决方案提供商,为企业、个人用户和服务供应商提供广泛的内容和网络安全软件及硬件的解决方案,可以帮助个人和企业确保信息的安全性、可用性和完整性。)所解释的那样,它们描述了三种略有差别的恶意软件感染目标计算机的方式:
- 蠕虫是自包含的程序(或是一套程序),它能传播自身功能的拷贝或自身的某些部分到其他的计算机系统中(通常是经过网络连接)。
- 病毒是编制者在计算机程序中插入的破坏计算机功能或者数据的代码,能影响计算机使用,能自我复制的一组计算机指令或者程序代码。
- 木马是指通过特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是控制端,另一个是被控制端。与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种主机。
恶意软件也可以由攻击者自己“手动”安装在计算机上,方法是获取对计算机的访问权限或使用权限提升来获取远程管理员访问权限。
对恶意软件进行分类的另一种方法是根据它成功感染了受害者的计算机后做什么进行分类。恶意软件使用各种潜在的攻击技术:
间谍软件被Webroot Cybersecurity定义为“用于秘密收集毫无戒心用户数据的恶意软件”。从本质上讲,只要你在使用计算机,它就会监视你的行为,你发送和接受的数据,并且将这些信息发送给第三方。键盘记录是一种特殊的间谍软件,记录用户所有的键盘记录—-主要用来窃取密码。
Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、程序和网络链接等信息,对系统进行操纵、并通过隐秘渠道收集数据的程序。Rootkit的三要素就是:隐藏、操纵、收集数据。Rootkit的初始含义就在于“能维持root权限的一套工具”。
- 广告软件是指以一个附带广告的电脑程序,以广告作为盈利来源的软件。此类软件往往会强制安装并无法卸载;在后台收集用户信息牟利,危及用户隐私;频繁弹出广告,消耗系统资源,使其运行变慢等。
- 勒索软件是一种加密硬盘驱动器的文件并进行勒索的软件,它要求受害者用比特币付款,以换取解密密钥。过去几年中一些备受瞩目的恶意软件爆发,如Petya就是勒索软件。如果没有解密密钥,受害者就无法重新获得对其文件的访问权限。所谓的恐吓软件是勒索软件的一种影子版本,它声称控制了你的计算机并要求赎金,但实际上只是使用浏览器重定向循环这样的技巧使它看起来好像它造成了比实际更多的破坏,并且不像勒索软件可以相对容易地被禁用。
- Cryptojacking 是攻击者可以强迫向他们支付比特币的另一种方式—-只是它可以在你不知道的情况下运行。劫持用户的设备例如个人笔记本的 CPU 或其他处理器进行挖矿。或者更准确点说是在受害者不知情的前提下,使用受害者的计算设备来挖取数字货币。挖掘软件可以在操作系统的后台运行,也可以在浏览器窗口中作为JavaScript运行。
任何特定的恶意软件都有感染手段和行为类别。例如,WannaCry是一种勒索软件蠕虫。并且一个特定的恶意软件可能具有不同的形式,具有不同的攻击向量:例如,Emotet银行恶意软件既是木马也是蠕虫。
到目前为止,最常见的感染媒介是垃圾邮件,它诱使用户激活特洛伊类型的恶意软件。WannaCry和Emotet是最流行的恶意软件,但包括NanoCore和Gh0st在内的许多其他恶意软件都被称为远程访问特洛伊木马(RAT)。
9. 如何防止恶意软件
垃圾邮件和网络钓鱼电子邮件是恶意软件感染计算机的主要媒介,防止恶意软件的最佳方法是严密锁定您的电子邮件系统,并且知道如何发现危险。我们建议仔细检查附加文档并限制潜在危险的用户行为—-以及让用户熟悉常见的网络钓鱼诈骗。
在涉及更多技术预防措施时,您可以采取许多步骤,包括更新所有系统的补丁,保留硬件清单,以便了解需要保护的内容,并对基础架构执行持续的漏洞评估。特别是在勒索软件攻击方面,一种方法是始终对文件进行备份,确保在硬盘被加密时,您永远不需要支付赎金来取回它们。
10. 恶意软件防护
防病毒软件是最广为人知的恶意软件防护产品; 尽管名称中存在“病毒”,但大多数产品都采用各种形式的恶意软件。虽然高端安全专业人士认为它已经过时,但它仍然是基本反恶意软件防御的支柱。根据AV-TEST最近的测试,如今最好的防病毒软件来自卡巴斯基实验室,赛门铁克和趋势科技供应商。
当涉及到更先进的企业网络时,端点安全产品可以提供针对恶意软件的深度防御。它们不仅提供您希望从防病毒中获得的基于签名的恶意软件检测,还提供反间谍软件,个人防火墙,应用程序控制和其他类型的主机入侵防护。Gartner 提供了该领域的首选名单,其中包括Cylance,CrowdStrike和Carbon Black的产品。
11. 如何检测恶意软件
尽管你付出了最大的努力,但在某些时候你的系统将被恶意软件感染是完全可能的。你怎么能肯定地说你的系统不会被感染?
当您达到企业IT级别时,还可以使用更高级的可见性工具来查看网络中发生的情况并检测恶意软件感染。大多数形式的恶意软件使用网络将信息传播或发送回其控制器,因此网络流量包含您可能会错过的恶意软件感染信号 ; 那里有各种各样的网络监控工具,价格从几美元到几千美元不等。还有SIEM工具,它们是从日志管理程序演变而来的; 这些工具分析来自基础架构中各种计算机和设备的日志,以查找问题迹象,包括恶意软件感染。SIEM供应商从像IBM和HP Enterprise这样的行业巨头到Splunk和Alien Vault等小型专家。
12. 恶意软件示例
我们已经讨论了当前一些迫在眉睫的恶意软件威胁。但是,恶意软件的历史漫长而传奇,可追溯到20世纪80年代由Apple II爱好者交换的受感染软盘和1988年在Unix机器上传播的Morris蠕虫。其他一些高调的恶意软件攻击包括:
- ILOVEYOU,一种蠕虫,在2000年像野火一样蔓延,造成的损失超过150亿美元。
- SQL Slammer,它在2003年第一次快速传播的几分钟内就使互联网流量停滞不前。
- Conficker,一种利用Windows中未修补的漏洞并利用各种攻击媒介的蠕虫—-从注入恶意代码到网络钓鱼电子邮件—-最终破解密码并将Windows设备劫持到僵尸网络中。
- Zeus,00年代后期一种针对银行信息的键盘记录木马。
- CryptoLocker,第一次广泛传播的勒索软件,其代码不断在类似的恶意软件项目中重新利用。
- Stuxnet是一种非常复杂的蠕虫病毒,它感染了全球范围内的计算机但只在一个地方造成了真正的破坏:伊朗在纳坦兹的核设施,在那里它摧毁了富铀离心机,它是由美国和以色列情报机构建造的。
结论
了解这些基本类别的恶意软件非常重要,这样当您找到恶意软件程序时,您就可以它最有可能攻击您系统的方式。这有助于您了解在何处查找恶意软件程序的起源,并了解它可能会进一步传播的位置。