如果你的網(wǎng)絡(luò)中潛伏著高級(jí)持續(xù)性攻擊威脅，你的安全團(tuán)隊(duì)會(huì)知道嗎?在RSA大會(huì)上，HBGary的Greg Hoglund與我們分享了四種抵御有害攻擊的方法。

大部分針對(duì)企業(yè)的攻擊都是投機(jī)詐騙和網(wǎng)絡(luò)犯罪，但是對(duì)于想要保護(hù)客戶信息和企業(yè)知識(shí)產(chǎn)權(quán)信息的企業(yè)而言，還需要關(guān)注更為持久的攻擊者。

雖然“高級(jí)持續(xù)性威脅”(APT)現(xiàn)在已經(jīng)成為一個(gè)營(yíng)銷口號(hào)，但持續(xù)攻擊者的確對(duì)企業(yè)構(gòu)成威脅，HBGary公司首席技術(shù)官Greg Hoglund表示。隨著攻擊者逐漸意識(shí)到悄悄在企業(yè)網(wǎng)絡(luò)內(nèi)搶灘的好處，企業(yè)IT安全團(tuán)隊(duì)需要假設(shè)攻擊者已經(jīng)越過(guò)了他們的防線，并且積極追捕已經(jīng)在其網(wǎng)絡(luò)中的入侵者。

他表示：“你不能完全依賴于外部供應(yīng)商為你提供一個(gè)神奇的黑名單，就能解決所有安全問(wèn)題。”

HBGary發(fā)現(xiàn)高級(jí)持續(xù)性攻擊并不需要使用先進(jìn)的技術(shù)來(lái)獲取企業(yè)的關(guān)鍵信息。一年前，自稱是Anonymous運(yùn)動(dòng)成員的攻擊者獲取了該公司子公司HBGaryFederal電子郵件賬戶的訪問(wèn)權(quán)限，并且泄露了敏感信息，即使攻擊者沒(méi)有獲取對(duì)該公司網(wǎng)絡(luò)的訪問(wèn)權(quán)限。

Hoglund表示，對(duì)付專門(mén)針對(duì)你公司的攻擊者是一個(gè)很棘手且成本很高的問(wèn)題。

“這是一個(gè)反間諜問(wèn)題，”Hoglund表示，“你必須愿意接受將其作為反間諜問(wèn)題的成本，如果你想要更好的安全性的話。”

以下是Hoglund的建議，以幫助企業(yè)更好地發(fā)現(xiàn)網(wǎng)絡(luò)中的高級(jí)持續(xù)性攻擊。

1.請(qǐng)注意可疑行為

高級(jí)持續(xù)性攻擊者會(huì)使用社會(huì)工程學(xué)和其他方法(例如破壞第三方服務(wù)器)來(lái)獲取訪問(wèn)企業(yè)網(wǎng)絡(luò)的有效憑證信息。在這一點(diǎn)上，我們幾乎不可能根據(jù)檢測(cè)惡意代碼來(lái)檢測(cè)攻擊者。相反的，防御者需要將重點(diǎn)放在檢查可疑活動(dòng)上。

“一旦他們開(kāi)始進(jìn)行持續(xù)攻擊，他們可能不會(huì)再使用漏洞利用，”他表示，“他們只會(huì)使用用戶登錄信息來(lái)登錄，這是一個(gè)完全不同的問(wèn)題。查找惡意軟件并無(wú)濟(jì)于事。”

檢測(cè)網(wǎng)絡(luò)中怪異的員工行為變得非常重要，特別是在登錄信息被泄露時(shí)。例如，有這樣一個(gè)案例，在從目標(biāo)滲出數(shù)據(jù)前，攻擊者通常會(huì)習(xí)慣性地等待三天。對(duì)異常行為比較敏感的企業(yè)就能夠檢測(cè)到這種活動(dòng)。

他表示，“如果在著三天中，我們知道他們會(huì)滲出數(shù)據(jù)，那么我們就可以做好準(zhǔn)備。”

2.檢測(cè)流量

每個(gè)公司都想要防止攻擊者進(jìn)入，但是企業(yè)應(yīng)該假設(shè)，攻擊者已經(jīng)滲透入他們的網(wǎng)絡(luò)。當(dāng)事情真的發(fā)生時(shí)，攻擊者最初滲入的系統(tǒng)從來(lái)都不是攻擊者真正感興趣的系統(tǒng)。

攻擊者會(huì)侵入任何內(nèi)部系統(tǒng)，然后使用那個(gè)系統(tǒng)在網(wǎng)絡(luò)內(nèi)橫向移動(dòng)。雖然企業(yè)應(yīng)該注意到攻擊者在網(wǎng)絡(luò)中，但是攻擊者會(huì)制造很多異常網(wǎng)絡(luò)流量，這些流量可能會(huì)暴露他們的活動(dòng)。查看流量是關(guān)鍵。

Hoglund表示：“如果你可以檢測(cè)到網(wǎng)絡(luò)內(nèi)的橫向移動(dòng)，你就能夠檢查出高級(jí)持續(xù)攻擊。”

3.當(dāng)發(fā)現(xiàn)一個(gè)被感染系統(tǒng)，不要停下腳步

很多公司只會(huì)清除被感染的服務(wù)器，然后重新安裝系統(tǒng)。然后企業(yè)會(huì)發(fā)現(xiàn)追蹤其他感染系統(tǒng)變得難上加難。

IT安全團(tuán)隊(duì)?wèi)?yīng)該利用這個(gè)被感染系統(tǒng)找出其他已經(jīng)被感染的系統(tǒng)。

高級(jí)攻擊者會(huì)使用一種鞏固戰(zhàn)略，當(dāng)他們?cè)诃h(huán)境中部署了遠(yuǎn)程訪問(wèn)工具后，他們不可能只部署一個(gè)這樣的工具。

例如，在另一個(gè)案例中，HBGary追蹤了攻擊者三個(gè)月，并且清除了他們的訪問(wèn)權(quán)限。他們不停地尋找，最終發(fā)現(xiàn)了與已經(jīng)檢測(cè)到的遠(yuǎn)程訪問(wèn)工具相同的工具，不過(guò)使用的是微軟的Windows Messenger的副本作為緊急后門(mén)，以防萬(wàn)一有人會(huì)清除他們的訪問(wèn)權(quán)限。

他表示：“他們部署了多層次戰(zhàn)略，也就是說(shuō)，如果你找到他們的東西，你需要找出所有東西才行。”

4.尋找滲出點(diǎn)

當(dāng)攻擊者發(fā)現(xiàn)有價(jià)值的信息，他就會(huì)準(zhǔn)備滲出數(shù)據(jù)。這也是防御者可以檢測(cè)到攻擊者存在的一點(diǎn)，找尋服務(wù)器中大型壓縮文件是一個(gè)不錯(cuò)的開(kāi)始。

“我們看到攻擊者利用RAR作為滲出數(shù)據(jù)的格式，還有CAB文件，”Hoglund表示，RAR是WinRAR的專有歸檔格式，而CAB文件是微軟用于壓縮軟件組件以便于安裝者使用的格式。

通過(guò)搜索網(wǎng)絡(luò)中的RAR和CAB文件，企業(yè)可能能夠找出潛在的滲出點(diǎn)。

Hoglund表示：“你知道嗎?如果你發(fā)現(xiàn)某臺(tái)機(jī)器堆滿這些格式的文件，你可能就找到了一個(gè)滲出點(diǎn)。”