縱觀近期的數(shù)據(jù)泄露事故，我們驚訝地發(fā)現(xiàn)，企業(yè)在受到攻擊后的很長一段時(shí)間內(nèi)都沒有發(fā)現(xiàn)數(shù)據(jù)泄露事故的發(fā)生。

[[123849]]

根據(jù)Verizon數(shù)據(jù)泄露報(bào)告和Mandiant M趨勢報(bào)告顯示，企業(yè)在受到攻擊的14個(gè)多月后才發(fā)現(xiàn)數(shù)據(jù)泄露事故的發(fā)生。我們只能得出這樣的結(jié)論，企業(yè)缺乏適當(dāng)?shù)娜肭址烙δ埽蛘邫z測技術(shù)和流程未能防范攻擊。

身處這樣一個(gè)行業(yè)我們必須接受的事實(shí)是，攻擊遲早會(huì)發(fā)生;這并不是軟弱的表現(xiàn)，只是基于現(xiàn)在的高級(jí)攻擊性質(zhì)得出的結(jié)論。同樣重要的是，企業(yè)必須更好地進(jìn)行檢測。受到攻擊幾個(gè)小時(shí)或者甚至幾天都是可以接受的，但當(dāng)攻擊延續(xù)更長時(shí)間，特別是超過12個(gè)月，這就屬于疏忽了。

我們不應(yīng)該因此而感到沮喪，而應(yīng)該提出基本問題：“為什么?”為什么企業(yè)無法檢測受攻擊系統(tǒng)?原因之一在于攻擊者越來越多地依賴于一種混淆方法，這種方法利用了信息安全的最佳戰(zhàn)略防御之一：加密。

了解加密的命令控制通道

人們常說，加密可以阻止攻擊者讀取企業(yè)的信息;這是部分正確的。加密通?？梢宰柚谷魏稳俗x取任何人的信息，包括阻止企業(yè)讀取攻擊者的信息。

當(dāng)系統(tǒng)受到攻擊，攻擊者將會(huì)建立加密的出站命令控制(C2)通道，這幾乎可以繞過企業(yè)的所有網(wǎng)絡(luò)安全防御。原因很簡單：大多數(shù)網(wǎng)絡(luò)安全設(shè)備無法讀取加密流量本身，因此，加密的C2流量讓攻擊者有效地躲過網(wǎng)絡(luò)檢測。

雖然出站代理最初是解密和審查加密C2流量的有效方法，但攻擊者已經(jīng)找到方法來對(duì)付這種保護(hù)機(jī)制。我們?nèi)匀唤ㄗh企業(yè)使用出站網(wǎng)絡(luò)代理服務(wù)器，因?yàn)樗鼈兛梢杂行н^濾流量，并將阻止一些攻擊。然而，有些企業(yè)有太多出口點(diǎn)，而無法有效代理所有流量，并且，它無法阻止高端攻擊者找到辦法繞過這些代理。因此，我們需要另一種解決方案，這個(gè)解決方案就是無加密區(qū)。

了解無加密區(qū)

在介紹無加密區(qū)的概念之前，重要的是要明白：

1)猛烈攻擊時(shí)代需要嚴(yán)厲的措施;

2)并非所有解決方案在所有環(huán)境中正常工作;

3)當(dāng)?shù)玫綉?zhàn)略性部署時(shí)，解決方案方可正常工作，并且不能集中于所有方面;

4)在你批評(píng)之前進(jìn)行嘗試。

筆者已經(jīng)為多個(gè)客戶成功部署的無加密區(qū)系統(tǒng)，這個(gè)系統(tǒng)包括創(chuàng)建最后一英里未加密通道。這個(gè)想法是創(chuàng)建一個(gè)高度交換的LAN，其中不僅具有加密檢測，還不允許任何加密通信。并且，這對(duì)當(dāng)前網(wǎng)絡(luò)設(shè)計(jì)并沒有什么影響。本質(zhì)上，企業(yè)只需要部署或利用DLP或其他類似技術(shù)，即可以檢測和阻止加密通信的技術(shù)。

在采用這個(gè)概念后，我們驚奇地看到在追趕攻擊者方面發(fā)生的變化：

• 在使用無加密區(qū)之前：用戶收到APT電子郵件，打開附件，系統(tǒng)會(huì)開啟一個(gè)出站加密C2連接，繞過所有網(wǎng)絡(luò)安全設(shè)備，然后系統(tǒng)被攻擊長達(dá)14個(gè)月。

• 在使用無加密區(qū)之后：用戶收到APT電子郵件，打開附件，系統(tǒng)嘗試建立出站加密C2連接，加密通道被檢測并被阻止，系統(tǒng)現(xiàn)在僅被攻擊持續(xù)14秒，而不是14個(gè)月。

通過創(chuàng)建這個(gè)無代理區(qū)，我們基本上抑制了攻擊者的最大優(yōu)勢(C2加密)，并將其變成最大的劣勢。這種變化創(chuàng)建了一個(gè)環(huán)境，讓我們可以容易地捕捉和控制高級(jí)攻擊。

正如上文所說，這個(gè)技術(shù)并不適合于所有情況。例如，在默認(rèn)情況下，用戶不應(yīng)該被允許使用個(gè)人身份信息(PII)進(jìn)行個(gè)人網(wǎng)上沖浪，或者傳輸支付數(shù)據(jù)，因?yàn)檫@些信息不會(huì)被加密，但這個(gè)問題可以得到解決，例如為用戶提供單獨(dú)的僅供個(gè)人使用的計(jì)算機(jī)。同樣重要的是要注意，加密網(wǎng)關(guān)(例如SSL)可以設(shè)置在到網(wǎng)絡(luò)的網(wǎng)關(guān)處。只有最后一英里(或本地LAN)未被加密，但任何離開網(wǎng)絡(luò)的數(shù)據(jù)都會(huì)被加密和受到保護(hù)。

再次，筆者并不建議在整個(gè)企業(yè)部署無加密區(qū)，而是建議將它們?cè)O(shè)置作為選擇性機(jī)制。如果用戶表明他或她不能保護(hù)系統(tǒng)和數(shù)據(jù)，并且他們可能做出錯(cuò)誤判斷而點(diǎn)擊郵件附件并受到感染，那么政策應(yīng)該將這個(gè)用戶加入到這個(gè)機(jī)制，并將他或她進(jìn)入無加密區(qū)。這已被證明非常有效，因?yàn)槿绻麤]有特殊控制，因錯(cuò)誤決定而受到攻擊的用戶很有可能會(huì)再次這樣出錯(cuò)。

通過創(chuàng)造性思考，創(chuàng)造性的解決方案可用于增加攻擊者的難度和降低企業(yè)防御難度。大家通常認(rèn)為加密會(huì)提高安全性，但正如本文所討論的，不使用加密可以創(chuàng)建一個(gè)環(huán)境來實(shí)際提高安全性。