2011年11月2日由EMC信息安全事業(yè)部RSA主辦、中國電子學(xué)會聯(lián)合承辦的RSAConference2011信息安全國際論壇在北京中國大飯店舉行。EMC公司執(zhí)行副總裁兼RSA,EMC信息安全事業(yè)部執(zhí)行主席亞瑟W科維洛解析全球最活躍的三類攻擊者。

中國互聯(lián)網(wǎng)發(fā)展情況統(tǒng)計報告顯示，中國互聯(lián)網(wǎng)用戶中有2.17億人曾是木馬和病毒受害者，另外1.2億人有密碼被盜的經(jīng)歷，中國用戶中每十個人就有一個人曾是網(wǎng)絡(luò)欺詐受害者，這種情況是不可接受的。當然也有好消息，信息安全產(chǎn)業(yè)已經(jīng)開始發(fā)展，領(lǐng)先的安全團隊已經(jīng)做好部署，他們的技術(shù)和能力必須像攻擊者一樣快速、敏捷，同時要比攻擊者更聰明才能應(yīng)對他們的狡猾。變得更聰明的要素就是了解你的對手，了解他們的動作和方法。要了解風(fēng)險在何處你必須意識到誰可能發(fā)出攻擊，為什么攻擊，如何攻擊。而且你必須超越自己的領(lǐng)域，根據(jù)計算機網(wǎng)絡(luò)應(yīng)急技術(shù)小組發(fā)布的中國互聯(lián)網(wǎng)安全報告，網(wǎng)絡(luò)安全事件的跨國特點變得越來越突出。

去年計算機網(wǎng)絡(luò)應(yīng)急技術(shù)小組發(fā)現(xiàn)，對中國進行木馬和網(wǎng)絡(luò)釣魚攻擊等非法行為利用的惡意域名有一半注冊在海外，遠在美國、印度、土耳其，還有比較近的是緊臨中國大陸的臺灣地區(qū)。而且手段最高潮的攻擊者往往利用第三國業(yè)已被攻擊的域名來掩蓋他們的蹤跡。換句話說，這種跨國攻擊非常的復(fù)雜，讓我們來看一看今天活動在世界各地的三類攻擊者。

首先是受意識形態(tài)引導(dǎo)的追求曝光率的黑客，他們想要向公司或者政府傳達非常響亮的信息，他們希望看到他們的信息通過全球媒體網(wǎng)點即刻向全世界廣播，不管是網(wǎng)站的漏洞還是缺乏一般的信息安全控制還是防火墻失效，這些團體努力尋找任何外圍防御體系的漏洞，他們經(jīng)常與內(nèi)部人士合作。

第二類是網(wǎng)絡(luò)罪犯，他們建立松散的聯(lián)系還是嚴密組織起來其目的都是竊取信息資產(chǎn)然后迅速出售變現(xiàn)。比較典型的做法是將基于平臺的犯罪軟件和零日漏洞拍賣給出價最高的買方，一個犯罪集團可以買下僵尸網(wǎng)絡(luò)工具包，地下服務(wù)供應(yīng)商購買防彈托管和無法追蹤的注冊域名等等。對網(wǎng)絡(luò)犯罪而言，一切無外乎金錢和速度，他們會找到您最薄弱的環(huán)節(jié)加以利用。

第三類同時是最可怕的攻擊者是正規(guī)的組織。如今正規(guī)組織制造出了最高級的威脅，但是隨著威脅環(huán)境的不斷變化，其他類型的攻擊者很可能也會具備同樣的能力。這些高級的攻擊無外乎其隱秘性、復(fù)雜性。通過社交工程，攻擊者搜集各種情報，時候要經(jīng)過數(shù)月的的準備才會發(fā)動攻擊。他們會先了解公司和政府機構(gòu)的哪些最終用戶擁有他們想要的資產(chǎn)，他們的活動很難察覺。因為他們往往會利用一個受到侵害的組織來攻擊另外的組織。網(wǎng)絡(luò)攻擊開始可能會使用基本的惡意軟件和各種工具與其他類型的攻擊者沒什么不同。如果必要的話他們會以真正的零日漏洞發(fā)起攻擊，其可怕之處在于攻擊背后集中的大量資源以及他們發(fā)起攻擊的效率。一旦進入組織內(nèi)部他們就會蜇伏起來，隨著目標的推移他們會開發(fā)目標網(wǎng)絡(luò)和安全架構(gòu)的影射和庫存。經(jīng)驗會告訴他們想要的信息駐留在何處，不管在數(shù)據(jù)庫還是文件共享中。與網(wǎng)絡(luò)罪犯不同，他們想留在你的網(wǎng)絡(luò)內(nèi)部，監(jiān)控事件響應(yīng)的情況，以便評估你的防御反映，相應(yīng)的調(diào)整自己的行為，直到他們得到自己想要的東西。

所有這些攻擊者帶來風(fēng)險的隱含意義是IT組織始終面臨著持久、動態(tài)和智能的威脅。我們必須克服這些威脅以便各組織有信心利用信息來驅(qū)動創(chuàng)新、進行合作、獲得市場認可并且實現(xiàn)經(jīng)濟增長。不幸的是面對這一新的威脅局面，過去的信息安全技術(shù)是不夠的。許多信息安全技術(shù)已經(jīng)不再新鮮，他們的價值大大降低，所以我們作為信息安全的專業(yè)人員，需要改變我們的思維方式，信息安全必須從現(xiàn)有的、常規(guī)、不協(xié)調(diào)的靜態(tài)單點產(chǎn)品向更為高級的安全系統(tǒng)發(fā)展。我們需要采用已經(jīng)開發(fā)和正在開發(fā)的安全創(chuàng)新，跟上信息技術(shù)的創(chuàng)新和威脅升級的步伐。

【2011 RSA中國大會相關(guān)推薦】

1. RSA2011中國大會首日圖文播報：Alice和Bob冒險繼續(xù)
2. 電子學(xué)會何華康:RSA成為交流分享合作的平臺
3. 2011RSA 英特爾網(wǎng)安規(guī)劃總監(jiān)Tom Quillin發(fā)言
4. 2011RSA信息安全國際論壇日程