關(guān)于病毒、蠕蟲和rootkit惡意工具的消息已經(jīng)不算是新聞了。我們可以保護(hù)自己和公司免受遍及網(wǎng)絡(luò)的常見攻擊?，F(xiàn)在，普通的釣魚式攻擊很容易被監(jiān)測(cè)到，用戶在這方面也有了較高的警惕性。不過，我們針對(duì)的重點(diǎn)是針對(duì)企業(yè)的網(wǎng)絡(luò)犯罪。這時(shí)間，由于需要關(guān)注價(jià)值較高的客戶群，攻擊行為變得更方便，采取保護(hù)措施變得更困難。

有針對(duì)目標(biāo)的攻擊行為

所謂有針對(duì)目標(biāo)的攻擊行為指的是針對(duì)特定組織或這些組織內(nèi)單獨(dú)個(gè)人的攻擊。與利用惡意軟件在互聯(lián)網(wǎng)上進(jìn)行掃描，等待關(guān)于隨機(jī)漏洞和被影響系統(tǒng)的報(bào)告不同，有針對(duì)目標(biāo)的攻擊行為利用的是基于社會(huì)化網(wǎng)絡(luò)提供的信息。換句話說，他們采用的方式是說服針對(duì)的用戶，一封電子郵件或者其它電子物品本身是合法的。這樣，由于它們沒有違反過濾規(guī)則，電子郵件過濾解決方案會(huì)容許這些信息通過。

有針對(duì)目標(biāo)的攻擊行為并不一定需要很復(fù)雜。F-Secure公司在YouTube上發(fā)布的一個(gè)視頻就說明了它的簡單性。在這個(gè)例子中，PDF文件被偽裝成為調(diào)查報(bào)告。一旦打開文件，就會(huì)導(dǎo)致惡意軟件的安裝，并開始從用戶機(jī)器上搜集信息。從這個(gè)例子中，我們可以看出;有針對(duì)目標(biāo)的攻擊非常類似木馬，看起來真實(shí)而且有關(guān)聯(lián)。

當(dāng)針對(duì)目標(biāo)是高級(jí)管理人員和其它關(guān)鍵員工時(shí)，關(guān)聯(lián)性是非常重要的。攻擊者可能花費(fèi)數(shù)月時(shí)間來對(duì)公司進(jìn)行調(diào)查以確認(rèn)相關(guān)信息，這其中包括了：

◆目標(biāo)組織中可以獲得相關(guān)信息的個(gè)人；

◆業(yè)務(wù)進(jìn)程中的主要項(xiàng)目；

◆常見業(yè)務(wù)伙伴、供應(yīng)商等；

◆以及定期對(duì)目標(biāo)用戶發(fā)送電子郵件的人的名字和電子郵件地址。

利用這些信息，攻擊者就可以讓欺騙電子郵件看起來象是和業(yè)務(wù)處理、項(xiàng)目管理等工作有關(guān)聯(lián)。他或她將會(huì)偽造來源地址，讓郵件看起來就象是來自與目標(biāo)用戶進(jìn)行定期溝通的企業(yè)或個(gè)人。

攻擊者必須在秘密的情況下進(jìn)行這些工作了。為了盡可能多得搜集目標(biāo)用戶的信息，惡意軟件必須被隱藏起來（舉例來說，位于rootkit中），并且象常規(guī)網(wǎng)絡(luò)流量一樣發(fā)送信息。由于這些要求，加上每一起攻擊在表現(xiàn)上都是截然不同的，因此，對(duì)于安全團(tuán)隊(duì)來說，利用反惡意軟件工具或入侵檢測(cè)系統(tǒng)（IPS）/入侵防御系統(tǒng)（IDS）來確認(rèn)它們是比較困難的。但這并不等于這么做是不可能的。

可以采取的防御措施

我們應(yīng)該知道，對(duì)于安全來說，第一道防線并不是軟件或者網(wǎng)絡(luò)設(shè)備。我們應(yīng)該了解到，對(duì)于網(wǎng)絡(luò)犯罪分子來說，實(shí)際情況正好相反，關(guān)鍵員工的筆記本或者臺(tái)式機(jī)才是有價(jià)值的目標(biāo)?？刂七@些設(shè)備就可以提供搜集目標(biāo)客戶創(chuàng)建和使用的信息的機(jī)會(huì)。因此，組織內(nèi)使用權(quán)限最高的鏈接或者可以訪問最機(jī)密信息的用戶是攻擊者的首選。

因此，這些用戶包括了哪些人?對(duì)于大部分組織來說，最好的選擇就是高級(jí)管理人員。高級(jí)管理人員包括了總部主管和部門領(lǐng)導(dǎo)。不幸的是，這些人使用的系統(tǒng)受到的保護(hù)等級(jí)經(jīng)常是最低的。

在很多組織中，在實(shí)施安全控制策略方面存在雙重標(biāo)準(zhǔn)。很多管理人員認(rèn)為自己足夠明智和負(fù)責(zé)任，可以避免惡意軟件的感染。即使他們不相信這一點(diǎn)，也不希望自己和普通員工一樣受到限制。這種雙重標(biāo)準(zhǔn)的存在，讓攻擊者可以利用有針對(duì)性的方法進(jìn)行重點(diǎn)攻擊。

在這里，他們不僅僅是高級(jí)管理人員，也是被針對(duì)的目標(biāo)。在一家公司中，很多負(fù)責(zé)處理最高級(jí)機(jī)密信息的用戶都有鏈接到本地工作站安裝數(shù)據(jù)搜集類惡意軟件的權(quán)限。

為了滿足防御有針對(duì)目標(biāo)的攻擊帶來的挑戰(zhàn)，我建議采取如下的措施：

1、在部署安全控制措施時(shí)，消除所有使用方面的雙重標(biāo)準(zhǔn)。高級(jí)管理人員應(yīng)該明白，在攻擊者對(duì)內(nèi)部系統(tǒng)進(jìn)行全面搜索試圖找到漏洞時(shí)，他們面臨的風(fēng)險(xiǎn)更大。

2、在任何情況下，用戶也不能在本地計(jì)算機(jī)上利用系統(tǒng)管理員權(quán)限對(duì)公司機(jī)密信息進(jìn)行處理。即使用戶打開了被感染的附件，這樣的設(shè)置也可以讓它不能安裝。對(duì)于目標(biāo)和攻擊者來說，這是一種建立隔離墻最好的方式。

3、貫徹最小權(quán)限原則。對(duì)信息數(shù)量進(jìn)行限制，以防止攻擊的發(fā)生。對(duì)于信息技術(shù)團(tuán)隊(duì)來說，這一原則同樣適用。對(duì)于攻擊者來說，破解網(wǎng)絡(luò)或服務(wù)器管理員的系統(tǒng)等于獲得了大獎(jiǎng)。信息技術(shù)人員只有在必須執(zhí)行具體任務(wù)時(shí)，才使用管理員賬戶。此外，僅僅因?yàn)橐幻芾韱T擁有創(chuàng)建業(yè)務(wù)用戶賬戶的權(quán)限，并不等于他或她應(yīng)該獲得鏈接路由器和交換機(jī)進(jìn)行配置的權(quán)限。

4、確保包括應(yīng)用程序在內(nèi)的所有系統(tǒng)補(bǔ)丁都已安裝。

5、關(guān)注入侵防御，對(duì)入侵防御系統(tǒng)設(shè)備進(jìn)行配置，來防止或監(jiān)測(cè)內(nèi)部系統(tǒng)和外部意料之外或不尋常的輸出鏈接。對(duì)于有針對(duì)性的攻擊的防御來說，擠出檢測(cè)/預(yù)防模式屬于非常重要的組成部分。

6、用戶必須對(duì)面臨的威脅有足夠的認(rèn)識(shí)。這就需要開展培訓(xùn)，讓用戶對(duì)有針對(duì)性的攻擊有基本的了解，并且知道在面臨可能的威脅時(shí)，應(yīng)該怎么辦。培訓(xùn)內(nèi)容還應(yīng)該包括利用現(xiàn)有的安全措施關(guān)注威脅帶來的風(fēng)險(xiǎn)。

7、最后，常規(guī)控制措施必須部署到位。這些措施包括了反惡意軟件工具、主機(jī)和網(wǎng)絡(luò)端的入侵檢測(cè)/預(yù)防解決方案、郵件過濾器等。

結(jié)論

本文中講述的所有方法都沒有超過常識(shí)的范圍。不過，當(dāng)我們?cè)诠纠锏牡匚辉礁撸驮絻A向于選擇限制度越低的控制措施。在防御有針對(duì)性的攻擊時(shí)，這樣做是錯(cuò)誤的。同樣，這樣的錯(cuò)誤也出現(xiàn)在強(qiáng)制所有的系統(tǒng)部署基本安全控制措施，而沒有意識(shí)到有個(gè)別的用戶系統(tǒng)應(yīng)該被重點(diǎn)關(guān)注的情況中。對(duì)于安全來說，是沒有確定答案的，這樣的做法從來就不是簡單的。但是，這樣做越來越有必要。

【編輯推薦】

1. 企業(yè)不應(yīng)忽視移動(dòng)電話的MitMo攻擊
2. 詳述八類Web應(yīng)用攻擊
3. 解析新時(shí)代的網(wǎng)絡(luò)攻擊技術(shù) 黑客在此出手
4. 黑客中級(jí)技術(shù) 緩沖區(qū)溢出攻擊的介紹
5. DDOS拒絕服務(wù)攻擊終極防御導(dǎo)航器