關(guān)于抵御新一代Stuxnet攻擊和關(guān)鍵基礎(chǔ)設(shè)施，雖然受經(jīng)濟(jì)利益驅(qū)使的互聯(lián)網(wǎng)威脅一直讓我們很不安，然而，Stuxnet讓我們看到更令人擔(dān)憂的事情：新型威脅旨在攻占和控制關(guān)鍵基礎(chǔ)設(shè)施。

Stuxnet是迄今為止最為復(fù)雜的威脅，不僅在于它利用了“有趣的”防病毒規(guī)避技術(shù)以及復(fù)雜的過程注入代碼，而且在病毒設(shè)計方面還利用了最新的漏洞，包括利用四個獨立的零日漏洞以及專門針對可編程控制器系統(tǒng)的有史以來第一個rootkit。

然而，最值得注意的是，它是設(shè)計用語重新變成工業(yè)控制系統(tǒng)(用于管理工業(yè)環(huán)境的計算機(jī)程序系統(tǒng)，如發(fā)電廠、煉油廠和天然氣管道等)。這是第一個已知的專門針對這些系統(tǒng)的惡意軟件，目標(biāo)是影響現(xiàn)實世界設(shè)備和工藝流程。

Stuxnet的終極目標(biāo)是改變變頻器(控制電動機(jī)轉(zhuǎn)速的電源供應(yīng)器)運行的速度，Stuxnet只針對具有以某種頻率運行的驅(qū)動器的系統(tǒng)，改變驅(qū)動器的頻率將有效破壞富集過程，并且有可能破壞離心機(jī)的運行。

Stuxnet構(gòu)成的大部分威脅已經(jīng)被瓦解，但是在威脅領(lǐng)域這種具有劃時代意義的變化還是引起了很多人的不安。運行或者管理關(guān)鍵基礎(chǔ)設(shè)施的企業(yè)可以從Stuxnet中學(xué)到很多知識。

以下是抵御這種新型攻擊的一些建議：

利用基于聲譽的檢測技術(shù)。傳統(tǒng)保護(hù)(例如基于簽名的防病毒程序)是抵御最初威脅階段的最常用方法。不幸的是，在每次新攻擊之前，很多依賴于變異代碼的現(xiàn)代化有針對性的惡意軟件都進(jìn)行了改變，并且對防病毒程序進(jìn)行了測試以確保它能夠規(guī)避檢測。有些惡意軟件甚至還利用自我變異代碼，傳統(tǒng)簽名保護(hù)無法識別這種代碼。另外，基于簽名的檢測在識別新型從未見過的惡意軟件方面基本是無用的。這也是Stuxnet在初期階段成功的原因。利用大規(guī)模數(shù)據(jù)(包含所有現(xiàn)有的好和壞的文件)庫的基于聲譽的檢測系統(tǒng)能夠篩選出未知的疑似惡意軟件的程序。

利用托管安全服務(wù)的優(yōu)勢。很多安全供應(yīng)商都提供托管安全服務(wù)，目標(biāo)在于緩解安全運營的負(fù)擔(dān)。對于Stuxnet，例如，托管安全服務(wù)能夠檢測包含.LNK文件的下載數(shù)據(jù)流量，而該文件可能與某種零日漏洞攻擊有關(guān)。

部署和執(zhí)行設(shè)備控制政策。這是高級端點保護(hù)解決方案的一個功能，設(shè)備控制為管理員提供了監(jiān)控和控制設(shè)備行為的能力，通過創(chuàng)建和執(zhí)行相關(guān)政策。由于出于安全原因，工業(yè)控制系統(tǒng)經(jīng)常與互聯(lián)網(wǎng)和整個企業(yè)忘了斷開連接，USB通常被用于傳輸數(shù)據(jù)到這些系統(tǒng)，以及安裝修復(fù)不定。Stuxnet編寫者知道這個情況，而威脅傳播的速度也依賴于這個事實。事實上，受感染的USB被某些粗心的承包商帶入企業(yè)，就可能是導(dǎo)致這種威脅的傳播。設(shè)備控制政策可以控制哪些設(shè)備和應(yīng)用程序允許運行USB驅(qū)動器，如果設(shè)置正確的話，這樣能夠預(yù)防惡意可執(zhí)行文件在系統(tǒng)上運行。

安裝基于主機(jī)的入侵防御系統(tǒng)。直接在工業(yè)控制系統(tǒng)上安裝入侵防御軟件市預(yù)防Stuxnet攻擊的另一個有效途徑。這種基于主機(jī)的入侵防御系統(tǒng)能夠檢測工業(yè)控制系統(tǒng)的可疑行為，并且在必要的時候鎖定系統(tǒng)，防止新的惡意軟件被感染。很多工業(yè)控制系統(tǒng)開發(fā)人員都不愿意加載第三方軟件，他們需要驗證和提供支持，但是面對Stuxnet，開發(fā)人員們必須建立更好的合作共同抵御攻擊。

確保及時的軟件證書撤銷更新。為了進(jìn)一步規(guī)避檢測和更深入目標(biāo)系統(tǒng)，Stuxnet利用兩個盜來的數(shù)字證書，一個來自Jmicron，另一個來自Realtek，來設(shè)法使自己看起來像合法程序。這些證書都已經(jīng)被吊銷了，但是如果系統(tǒng)沒有及時更新證書撤銷信息，Stuxnet使用的證書仍然會作為有效的證書。未來威脅可能還會利用被感染的證書。

使用端點管理軟件來確保及時的安全修復(fù)。如前所述，Stuxnet(與很多有針對性和非針對性的攻擊一樣)通常是使用之前的未知的軟件漏洞來獲取對可疑系統(tǒng)的訪問權(quán)。安全更新能夠解決被Stuxnet利用的漏洞，但是只有當(dāng)真正安裝修復(fù)補(bǔ)丁后，系統(tǒng)才能避免這種威脅。端點管理軟件可以幫助管理安全修復(fù)，并確保進(jìn)行了正確的部署。特別是對于那些過時的漏洞，因為這些常常被大家忽視，成為攻擊者的有利工具。

利用有效的數(shù)據(jù)丟失防御解決方案。數(shù)據(jù)丟失防御技術(shù)專門用于發(fā)現(xiàn)和預(yù)防內(nèi)部數(shù)據(jù)泄漏事故。很多數(shù)據(jù)泄漏事故都是因為內(nèi)部人員無意識泄漏造成的結(jié)果。如果不使用數(shù)據(jù)丟失防御技術(shù)來檢測這些泄漏事件、清除它們和加密信息，會讓攻擊者的工作輕松很多。對于Stuxnet，為了攻擊特定企業(yè)，攻擊者就需要描述目標(biāo)企業(yè)運行的系統(tǒng)以及配置的重要數(shù)據(jù)。通過防止攻擊者獲取這些數(shù)據(jù)，我們就可以抵御類似攻擊的發(fā)生。

如果可能的話，部署自動化合規(guī)監(jiān)測來杜絕默認(rèn)密碼的使用。一些工業(yè)控制系統(tǒng)生產(chǎn)商堅持在它們的系統(tǒng)中使用默認(rèn)密碼設(shè)置。這可能是出于正當(dāng)理由，但是Stuxnet就恰恰利用了這個明顯的弱點。因為Stuxnet針對的是特定工業(yè)控制系統(tǒng)，而這些默認(rèn)密碼通常是大家知道的，這很容易被攻擊者獲取。在沒有使用默認(rèn)密碼的環(huán)境(希望這種情況能夠增加)，自動合規(guī)監(jiān)測可以控制默認(rèn)密碼設(shè)置，確保沒有使用默認(rèn)密碼，而且還能夠發(fā)現(xiàn)嘗試猜測密碼的情況。

Stuxnet非常復(fù)雜，需要大量資源來開發(fā)，很少有攻擊者能夠制造出類似的攻擊，因此，我們應(yīng)該不會看到類似復(fù)雜的攻擊突然出現(xiàn)。然而，Stuxnet這樣的攻擊對現(xiàn)實世界造成的威脅是顯而易見的。

這個威脅表明針對關(guān)鍵基礎(chǔ)設(shè)施的攻擊不再只是“紙上談兵”，而是完全可能發(fā)生的，并且會越來越多。 

【編輯推薦】

1. 網(wǎng)絡(luò)攻擊針對重要基礎(chǔ)設(shè)施企業(yè)呈上升趨勢
2. Web安全網(wǎng)關(guān)保護(hù)大型企業(yè)基礎(chǔ)設(shè)施安全
3. 網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施融合：你的策略是什么？
4. 趨勢科技CEO：黑客正在攻擊殺毒基礎(chǔ)設(shè)施
5. SONICWALL推出管理設(shè)備，簡化 IT 基礎(chǔ)設(shè)施管理