[[118381]]

對(duì)于信息安全防御，Mike Hamilton肩負(fù)著艱巨的任務(wù)。

作為美國(guó)西雅圖市的首席信息安全官，Hamilton的責(zé)任延伸到各種其他部門(mén)的網(wǎng)絡(luò)，例如該市的警察和消防部門(mén)。為了保護(hù)這些網(wǎng)絡(luò)，Hamilton不僅需要專(zhuān)注于防御，還需要能給攻擊者制造障礙。

在2007年，Hamilton開(kāi)始與美國(guó)國(guó)土安全局以及華盛頓大學(xué)合作創(chuàng)建了一個(gè)系統(tǒng)來(lái)收集全球威脅數(shù)據(jù)，目的是盡可能快地檢測(cè)出該市的醫(yī)院、緊急服務(wù)和其他重要基礎(chǔ)設(shè)施的網(wǎng)絡(luò)中的攻擊活動(dòng)。通過(guò)讓攻擊者沒(méi)有時(shí)間完全利用這些網(wǎng)絡(luò)中的漏洞，Hamilton試圖提高每次攻擊的失敗率以及讓攻擊活動(dòng)變得更加昂貴。并且，由于該市與州和聯(lián)邦執(zhí)法的關(guān)聯(lián)，他們還可以試圖關(guān)閉攻擊者的基礎(chǔ)設(shè)施。(編者按：去年10月，Hamilton已經(jīng)離任西雅圖市的首席信息安全官職務(wù))。

“如果你攻擊我們，我們就會(huì)追蹤你，”他表示，“而且我相信這會(huì)提高攻擊者攻擊我們的成本。”

與Hamilton一樣，CISO們?cè)谥贫☉?zhàn)略來(lái)保護(hù)其網(wǎng)絡(luò)時(shí)，都開(kāi)始考慮攻擊者的成本。很多CISO認(rèn)識(shí)到，攻擊者已經(jīng)找到方法來(lái)繞過(guò)大多數(shù)企業(yè)部署的普通防御措施，所以他們開(kāi)始專(zhuān)注于讓黑帽攻擊者的整個(gè)攻擊活動(dòng)變得更加昂貴、復(fù)雜和容易失敗。

NSS實(shí)驗(yàn)室安全咨詢(xún)研究副總裁John Pirc表示，在認(rèn)識(shí)到攻擊者可以繞過(guò)防火墻、終端的防病毒軟件以及入侵檢測(cè)系統(tǒng)后，企業(yè)應(yīng)該加強(qiáng)防御，“縱深防御的整個(gè)模式都很好，但是企業(yè)需要離開(kāi)自己的舒適區(qū)，讓攻擊者的工作變得困難。”

事件響應(yīng)公司Mandiant首席安全官Richard Bejtlich表示，攻擊者的成本主要以時(shí)間來(lái)衡量，因此，提高攻擊者完成其任務(wù)時(shí)間的防御戰(zhàn)略可以增加其成本。延遲攻擊者的戰(zhàn)略也可能給企業(yè)更多時(shí)間來(lái)發(fā)現(xiàn)攻擊，并挫敗攻擊者的計(jì)劃。Bejtlich在2009年創(chuàng)造了“黑帽預(yù)算”的術(shù)語(yǔ)，當(dāng)時(shí)他試圖想象攻擊團(tuán)伙用100萬(wàn)能做什么。

“如果你不能超過(guò)攻擊者完成其任務(wù)的速度，那么，他就贏了，”Bejtlich表示，“如果他不能完成他來(lái)這里的目的，那么防御企業(yè)就贏了。”

了解你的網(wǎng)絡(luò)

當(dāng)攻擊者保持隱蔽時(shí)，他們只要花最少的精力和時(shí)間就能實(shí)現(xiàn)攻擊目標(biāo)。出于這個(gè)原因，Bejtlich建議，每個(gè)企業(yè)都應(yīng)該開(kāi)始對(duì)網(wǎng)絡(luò)中正在發(fā)生的情況進(jìn)行檢測(cè)，并獲得相關(guān)可視性。在攻擊者入侵系統(tǒng)時(shí)盡快發(fā)現(xiàn)攻擊者要比當(dāng)他們?cè)L問(wèn)數(shù)據(jù)時(shí)發(fā)現(xiàn)他們更好，他表示：“當(dāng)他們正在竊取你的數(shù)據(jù)時(shí)，你寧愿沒(méi)有抓住他們。”

例如，攻擊團(tuán)伙在入侵《紐約時(shí)報(bào)》后的一個(gè)月后才滲出數(shù)據(jù)，Bejtlich的公司負(fù)責(zé)調(diào)查其中部分攻擊。如果該出版公司在攻擊者完成其任務(wù)前檢測(cè)到攻擊活動(dòng)，他們可能有時(shí)間安裝成功的防御技術(shù)。

在檢測(cè)到攻擊后，企業(yè)需要部署額外的防御措施，或者更改現(xiàn)有防御，迫使攻擊者來(lái)改變。通過(guò)改變防御來(lái)對(duì)付現(xiàn)有攻擊，以及關(guān)閉已知攻擊途徑，企業(yè)可以迫使攻擊者改變其攻擊方法，而這會(huì)提高他們的攻擊成本。

“培訓(xùn)攻擊人員是很難的，”專(zhuān)注于攻擊者情報(bào)的安全咨詢(xún)和服務(wù)公司CrowdStrike聯(lián)合創(chuàng)始人兼首席技術(shù)官Dmitri Alperovitch表示，“如果每次他們攻擊你的時(shí)候，你都迫使他們做出一些改變，這必然會(huì)提高他們的成本。”

停止使用不可行的方法

度量是發(fā)現(xiàn)影響黑帽攻擊者底線(xiàn)的可行做法的最佳途徑。攻擊者入侵企業(yè)的主要方式之一是有針對(duì)性釣魚(yú)攻擊。安全教育公司ThreatSim收集的數(shù)據(jù)顯示，攻擊活動(dòng)中的每個(gè)額外的電子郵件通常會(huì)誘騙四分之一的員工，讓他們打開(kāi)附件或者點(diǎn)擊鏈接。通過(guò)調(diào)整攻擊活動(dòng)的規(guī)模，攻擊者可以快速提高其攻擊成功率，根據(jù)Verizon 2013年數(shù)據(jù)泄露調(diào)查報(bào)告顯示，4封電子郵件可以帶來(lái)三分之二的攻擊機(jī)會(huì)，而6封郵件則可以帶來(lái)超過(guò)80%的成功機(jī)會(huì)。

利用攻擊數(shù)據(jù)來(lái)制定防御策略的安全咨詢(xún)公司Trail of Bits首席技術(shù)官Dan Guido表示，教育可以迫使攻擊者調(diào)整其攻擊活動(dòng)，但它并不會(huì)真正增加其他成本。

Guido表示：“如果你想要失敗的黑帽預(yù)算策略，那么培訓(xùn)員工是你應(yīng)該選擇的做法。”事實(shí)上，企業(yè)應(yīng)該專(zhuān)注于提高其反釣魚(yú)技術(shù)，并進(jìn)行定制化，以讓攻擊者無(wú)法預(yù)見(jiàn)。他表示：“最好定制化一臺(tái)設(shè)備，而不是培訓(xùn)你的全體員工。”

有些公司仍然依賴(lài)于舊版本的桌面軟件，這些軟件通常有著過(guò)時(shí)的防病毒保護(hù)，這意味著這些企業(yè)將無(wú)法抵御攻擊者。在微軟的最新安全情報(bào)報(bào)告(第14卷：2012年7月到2012年12月)，微軟發(fā)現(xiàn)運(yùn)行其Windows XP和Windows 7 RTM(發(fā)布到制造)操作系統(tǒng)且具有過(guò)時(shí)防病毒保護(hù)的計(jì)算機(jī)受感染的幾率為15.6%和20.4%(圖1)。而運(yùn)行最新版本W(wǎng)indows 7(SP1)和更新的防病毒軟件的計(jì)算機(jī)只有不到1.5%的受感染率。受保護(hù)的Windows 8系統(tǒng)只有0.2%的幾率。

“人們必須了解漏洞利用開(kāi)發(fā)生命周期的情況，”Guido表示，“當(dāng)新平臺(tái)推出時(shí)，攻擊者需要巨大的成本來(lái)發(fā)動(dòng)攻擊，因?yàn)樗麄冃枰〞r(shí)間來(lái)學(xué)習(xí)如何利用其漏洞。”

企業(yè)應(yīng)該相對(duì)快速地采用新的平臺(tái)，而事實(shí)上，企業(yè)通常會(huì)更新次要修復(fù)程序，而不急于更新主要平臺(tái)補(bǔ)丁。

曝光攻擊活動(dòng)可緩解攻擊

雖然提高攻擊者的成本是一個(gè)很好的策略，但一些攻擊者(例如國(guó)家支持的攻擊者)并不會(huì)被嚇到。很多網(wǎng)絡(luò)間諜攻擊者都有機(jī)會(huì)收集數(shù)據(jù)，而其他攻擊者(例如Hidden Lynx組織相關(guān)的攻擊以及美國(guó)和以色列執(zhí)行的Stuxnet攻擊)甚至根本不在乎成本問(wèn)題。

CrowdStrike的Alperovitch說(shuō)：“如果你面對(duì)的是國(guó)家政府機(jī)構(gòu)，攻擊者的預(yù)算并不會(huì)帶來(lái)太大的影響。”

而對(duì)于這些國(guó)家政府支持的攻擊，其他因素可能會(huì)有影響。曝光秘密活動(dòng)可以阻止國(guó)家政府繼續(xù)攻擊。前政府雇員斯諾登泄露的關(guān)于美國(guó)安全局活動(dòng)的機(jī)密文件讓該機(jī)構(gòu)處于聚光燈之下，這可能會(huì)限制其在未來(lái)的部分?jǐn)?shù)據(jù)收集。

Mandiant的報(bào)告詳細(xì)介紹了其對(duì)被稱(chēng)為“APT-1”的某國(guó)情報(bào)組織的活動(dòng)，但這個(gè)研究并沒(méi)有從長(zhǎng)期削弱該組織的活動(dòng)，只有短期的影響。不過(guò)，這給該國(guó)增加了政治壓力。

“每個(gè)對(duì)手都有一定程度的風(fēng)險(xiǎn)，他們都不會(huì)忽視，”Alperovitch表示，“對(duì)于一些人來(lái)說(shuō)，他們可能需要升級(jí)到軍事行動(dòng)，這可能會(huì)造成人員傷亡。”

看似很難做到

在認(rèn)識(shí)到對(duì)抗攻擊者的持續(xù)問(wèn)題后，作為最后一搏，研究人員已經(jīng)開(kāi)始尋找不同的方法來(lái)在攻擊者滲出數(shù)據(jù)時(shí)迷惑攻擊者，或者識(shí)別攻擊者。一種方法會(huì)創(chuàng)建大量的誘餌文件，使得無(wú)法訪(fǎng)問(wèn)正確索引的攻擊者面對(duì)更大的阻礙去尋找有價(jià)值的數(shù)據(jù)。

其他方法會(huì)將誘餌文件(相當(dāng)于煤礦里的金絲雀)放在吸引攻擊者的地方。由于這些文件是不合法的，任何試圖訪(fǎng)問(wèn)這些文件的行為都會(huì)拉響警報(bào)。其他誘餌文件會(huì)在攻擊者打開(kāi)后試圖進(jìn)行撥號(hào)呼叫。

Trail of Bits公司的Guido表示，雖然這種技術(shù)有優(yōu)勢(shì)，但企業(yè)應(yīng)該小心不要污染了他們的環(huán)境。

Guido表示：“這些文件可能是有價(jià)值的，但只有在真正特殊的情況下。”企業(yè)不能只是使用誘騙數(shù)據(jù)來(lái)填充數(shù)據(jù)庫(kù)，他們需要?jiǎng)?chuàng)建一個(gè)系統(tǒng)來(lái)監(jiān)控這些誘餌文件并分析事件。

最終，黑帽預(yù)算意味著專(zhuān)注于攻擊者的成本，并部署防御措施以在網(wǎng)絡(luò)殺敵鏈的每個(gè)點(diǎn)提高這個(gè)成本，而不是專(zhuān)注于阻止攻擊者進(jìn)入網(wǎng)絡(luò)，如果CISO讓攻擊者的每個(gè)步驟都變得更加困難，他們更有可能會(huì)獲勝。