西北太平洋國家實驗室在今年7月檢測到針對其技術(shù)基礎設施發(fā)動的網(wǎng)絡攻擊（實際上有兩起攻擊）后，這家實驗室迅速采取了行動，查明了漏洞根源，并確保了網(wǎng)絡安全。該實驗室隨后做出了很少有其他網(wǎng)絡攻擊受害者愿意做出的舉動：它決定公開談論發(fā)生的情況。

 

西北太平洋國家實驗室的CIO Jerry Johnson在上周詳細敘述了遭到的網(wǎng)絡攻擊。Johnson在加利福尼亞州戴納波恩特市舉行的《信息周刊》500強大會上作了發(fā)言，敘述了入侵者如何利用該實驗室其中一臺面向公眾的Web服務器存在的安全漏洞，從而把“路過式”安全漏洞植入到網(wǎng)站訪客（其中就有實驗室員工）的PC上。在之后的幾星期，黑客通過中招的工作站，偷偷摸摸地偵察該實驗室的網(wǎng)絡。 

 

與此同時，一起魚叉式網(wǎng)絡釣魚攻擊襲擊了該實驗室的其中一個主要的業(yè)務合作伙伴，該實驗室與業(yè)務合作伙伴共享網(wǎng)絡資源。這第二伙黑客設法獲得了一個特權(quán)帳戶，闖入了該實驗室與合作伙伴共享的root域控制器。入侵者試圖重新創(chuàng)建并提升帳戶權(quán)限時，這一行動觸發(fā)了警報，結(jié)果實驗室的網(wǎng)絡安全小組引起了注意。

 

實驗室在短短幾小時內(nèi)立馬決定斷開網(wǎng)絡，目的是為了切斷黑客的通信路徑，遏制任何進一步的破壞。在7月4日的周末，就在其他人享受假期的同時，西北太平洋國家實驗室的安全小組忙得不可開交：進行網(wǎng)絡取證分析，重新構(gòu)建域控制器，重新制作系統(tǒng)映像，還恢復了之前停運的網(wǎng)絡服務。

 

誰策動了這些攻擊？這是CIO Johnson不會討論的一個問題。但值得一提的是，隸屬美國能源部的諸機構(gòu)據(jù)說是名為遠端操控隱蔽行動（Operation Shady RAT）的一連串網(wǎng)絡攻擊的目標。這起行動已持續(xù)了好幾年，目標針對70多家公司、國防承包商和政府機構(gòu)。從現(xiàn)有的證據(jù)來看，一些專家猜測那些攻擊起源于中國。

 

在《信息周刊》500強大會上一場名為《剖析零日攻擊》的分會上，Johnson坦率地談論了該實驗室針對入侵事件采取了怎樣的對策。他還分享了從這起事件中學到的幾個經(jīng)驗。

 

零日攻擊經(jīng)驗1. 多層安全環(huán)境存在危險。雖然西北太平洋國家實驗室的IT安全邊界得到了妥善保護，但還是被攻擊突破了防線。作為“深層防御”機制的擁護者，Johnson現(xiàn)在更加重視對數(shù)據(jù)本身的保護。

 

零日攻擊經(jīng)驗2. 清除遺留的少數(shù)技術(shù)。第一起攻擊中的那臺Web服務器基于該實驗室中很少使用的技術(shù)：Adobe ColdFusion。這種眼不見心不煩的技術(shù)本身就很容易遭到攻擊，因為它們無法得到與組織機構(gòu)的主要平臺一樣大的關(guān)注力度。 

 

零日攻擊經(jīng)驗3. 全天候不間斷地監(jiān)控網(wǎng)絡安全事件。高級持續(xù)性威脅（如攻擊西北太平洋國家實驗室的威脅）其特點就在于具有持續(xù)性，因而需要不斷保持警惕。各政府部門正致力于“持續(xù)監(jiān)控”工作，目的在于近乎實時地了解計算機系統(tǒng)安全的狀況。

 

零日攻擊經(jīng)驗4. 確保擁有基本的取證分析能力。如果你的網(wǎng)絡果真遭到了黑客的攻擊，安全小組就必須能夠重現(xiàn)事件、評估危害。你所汲取的經(jīng)驗教訓有助于防止重蹈覆轍。 

 

零日攻擊經(jīng)驗5. 響應小組里面要有高級項目經(jīng)理。針對安全泄密事件采取對策，不但需要注意細節(jié)、認真協(xié)調(diào)，還要能夠在很短的時間內(nèi)讓高層管理班子行動起來；必要的話，交由更高層的管理人員作出決策。 

 

零日攻擊經(jīng)驗6. 要準備好尋求幫助，而不是坐以待斃。你可能需要請來安全專家、業(yè)務合作伙伴、執(zhí)法人員或者其他外面的人。在西北太平洋國家實驗室，Johnson通知了公共事務辦公室，目的是為了準備應對媒體勢必會提出來的問題。 

 

零日攻擊經(jīng)驗7. 訂有確保通信連續(xù)性的應急計劃。西北太平洋國家實驗室斷開網(wǎng)絡后，黑客們無法造成進一步的危害。遺憾的是，這一決定也意味著，實驗室的員工失去了網(wǎng)絡服務，包括電子郵件和語音郵件。應當為可能出現(xiàn)的這種結(jié)果作好準備，所以事先要共享手機號碼和替代的電子郵件地址。

 

正如遠端操控隱蔽行動以及針對谷歌和其他公司的類似網(wǎng)絡攻擊表明的那樣，風險很復雜，而且越來越大。Johnson覺得公開談論可以幫助其他機構(gòu)加強防御。因此，他理應受到莫大的贊揚。遭到網(wǎng)絡攻擊后，不聲不響是習慣做法，但是公開談論有助于加強防備能力。

 

原文鏈接：http://informationweek.com/news/security/attacks/231601692