Roger目前是微軟公司的首席安全架構(gòu)師。擁有40多種計(jì)算機(jī)認(rèn)證,并撰寫了8本關(guān)于計(jì)算機(jī)安全的書籍。自1987年以來,一直在對(duì)付惡意軟件和惡意黑客,從分解早期的DOS病毒開始。目前他運(yùn)行了八個(gè)蜜罐來跟蹤黑客和惡意軟件行為,并向財(cái)富100強(qiáng)企業(yè)和小企業(yè)提供咨詢。
|
以下內(nèi)容根據(jù)Roger文章編譯整理:
作為一個(gè)咨詢師,我認(rèn)為最大的安全問題之一就是:感知。企業(yè)自認(rèn)為他們面臨的威脅往往與那些會(huì)導(dǎo)致巨大風(fēng)險(xiǎn)的威脅截然不同。例如,當(dāng)企業(yè)真正需要打補(bǔ)丁的時(shí)候,他們往往會(huì)讓我部署最先進(jìn)的公鑰基礎(chǔ)設(shè)施(PKI)或者企業(yè)級(jí)入侵檢測(cè)系統(tǒng)。
事實(shí)是,大多數(shù)公司都面臨同樣的威脅——并且企業(yè)應(yīng)該盡最大努力來應(yīng)對(duì)這些風(fēng)險(xiǎn)。以下是五種最常見的網(wǎng)絡(luò)攻擊類型。
社交工程惡意軟件最近經(jīng)常由數(shù)據(jù)加密勒索軟件引發(fā),它提供了第一種攻擊方法(不是緩沖區(qū)溢出,配置錯(cuò)誤或高級(jí)漏洞利用)。一個(gè)終端用戶被欺騙運(yùn)行了一個(gè)特洛伊木馬程序,而這個(gè)木馬程序通常來自他們信任和經(jīng)常訪問的網(wǎng)站。一般情況下,無關(guān)的網(wǎng)站會(huì)分發(fā)惡意軟件,而不是正常的網(wǎng)站編碼。
為了讓用戶訪問網(wǎng)站,安裝假的防病毒軟件,惡意網(wǎng)站會(huì)告訴用戶安裝一些新的軟件或運(yùn)行一些不必要和惡意的“關(guān)鍵”軟件。用戶常常會(huì)被引導(dǎo)點(diǎn)擊跳過因?yàn)樵L問惡意網(wǎng)站瀏覽器或操作系統(tǒng)發(fā)出的安全警告,并禁用可能妨礙惡意軟件安裝的防御工具的使用。
有時(shí)候木馬程序會(huì)假裝做某些合法的事情,有時(shí)它會(huì)在用戶無感知的情況下進(jìn)行流氓行為。社交工程惡意軟件程序每年都由成千上萬的黑客負(fù)責(zé)。與這些數(shù)字相比,其他的所有黑客類型都只是九牛一毛。
對(duì)策:應(yīng)對(duì)社交工程惡意軟件程序的最好辦法是通過用戶信息安全教育(例如可信網(wǎng)站提示用戶運(yùn)行“驚喜”軟件)來處理。企業(yè)可以通過禁用憑證瀏覽網(wǎng)頁或回復(fù)電子郵件來進(jìn)一步保護(hù)自己。一個(gè)最新的反惡意軟件程序也許是無法避免的,但終端用戶安全教育效果更好。
緊隨其后的是密碼網(wǎng)絡(luò)釣魚攻擊。大約60%到70%的電子郵件是垃圾郵件,其中大部分是網(wǎng)絡(luò)釣魚攻擊,旨在竊取用戶登錄憑據(jù)。幸運(yùn)的是,反垃圾郵件供應(yīng)商和服務(wù)取得了長(zhǎng)足的進(jìn)步,因此我們大多數(shù)人都擁有相當(dāng)干凈的收件箱。盡管如此,我每天都會(huì)收到幾封垃圾郵件,而且每周至少會(huì)有一些垃圾郵件盜用合法電子郵件的釣魚復(fù)制品。
我認(rèn)為有效的網(wǎng)絡(luò)釣魚電子郵件是一件損壞的藝術(shù)作品:一切看起來都很棒; 它甚至警告讀者不要聽信詐騙電子郵件。唯一能夠區(qū)分的就是網(wǎng)絡(luò)釣魚電子郵件隱含非法鏈接,要求提供機(jī)密信息。
對(duì)策:應(yīng)對(duì)密碼網(wǎng)絡(luò)釣魚攻擊的主要對(duì)策是雙因素認(rèn)證。也就是雙因素身份驗(yàn)證(2FA),如:智能卡,生物識(shí)別和其他種類的(例如電話或SMS消息)身份驗(yàn)證方法等。如果您啟用了除簡(jiǎn)單登錄名/密碼組合之外的其他功能,并且是更強(qiáng)壯的方法,那么您已經(jīng)擊敗了密碼釣魚游戲。
如果您堅(jiān)持使用一個(gè)或多個(gè)系統(tǒng)的簡(jiǎn)單登錄名/密碼組合,請(qǐng)確保使用準(zhǔn)確的反釣魚產(chǎn)品或服務(wù),并通過更好的終端用戶培訓(xùn)降低風(fēng)險(xiǎn)。我個(gè)人喜歡能在URL字符串中采用特別標(biāo)記來著重突出顯示主機(jī)的真正域名的瀏覽器。例如,windowsupdate.microsoft.com.malware.com。
緊跟在社交工程惡意軟件和網(wǎng)絡(luò)釣魚之后的是具有(可用但未修復(fù))漏洞的軟件。最常見的未經(jīng)修補(bǔ)和利用的程序是Adobe Reader等瀏覽器附加程序以及人們經(jīng)常用來網(wǎng)上沖浪的其他程序。多年來一直如此,但奇怪的是,我審計(jì)過的公司沒有一家有完美的補(bǔ)丁軟件。
對(duì)策:立即停止你正在做的事情,并確保你的補(bǔ)丁是完美的。如果不能,那么請(qǐng)確保最可能被利用的產(chǎn)品是安全的,無論它們?cè)谔囟ǖ臅r(shí)間段內(nèi)發(fā)生了什么。大家都知道,打補(bǔ)丁是降低風(fēng)險(xiǎn)的好方法。只有少數(shù)幾個(gè)組織實(shí)際做到了這一點(diǎn)。最好的辦法是確保你百分之百地修補(bǔ)了最有可能被利用的程序,而不是在所有軟件程序上完全打補(bǔ)丁。
我們的網(wǎng)絡(luò)世界是由Facebook,Twitter,LinkedIn或其他國(guó)家流行的同行軟件構(gòu)成的社交世界。 社交媒體威脅通常以偽裝成極具欺騙性的朋友或應(yīng)用程序安裝請(qǐng)求的形式出現(xiàn)。如果您不幸接受請(qǐng)求,您通常會(huì)失去對(duì)您的社交媒體帳戶的訪問權(quán)限。企業(yè)黑客喜歡利用企業(yè)社交媒體賬戶來獲取可能在社交媒體網(wǎng)站和企業(yè)網(wǎng)絡(luò)之間共享的密碼。許多今天最蹩腳的黑客攻擊都是起源于簡(jiǎn)單的社交媒體攻擊。不要低估這些潛在的威脅。
對(duì)策:有關(guān)社交媒體威脅的終端用戶教育是必須的。另外請(qǐng)確保您的用戶知道不要與任何其他外國(guó)網(wǎng)站分享他們的公司密碼。使用更復(fù)雜的雙因素認(rèn)證登錄也可以提供有效的幫助。最后,確保所有社交媒體用戶都知道如何以他們自己的名義或其他人的名義報(bào)告被劫持的社交媒體帳戶。有時(shí)候,他們的朋友首先會(huì)注意到有什么不對(duì)勁。
我知道的只有一家大公司遭受高級(jí)持續(xù)性威脅(APT)竊取知識(shí)產(chǎn)權(quán)后沒有做出重大妥協(xié)。 APT攻擊者通常使用社交工程木馬或網(wǎng)絡(luò)釣魚攻擊作為突破口。
APT攻擊常見的做法是向多個(gè)員工的電子郵件地址發(fā)送特定的網(wǎng)絡(luò)釣魚活動(dòng) - 稱為魚叉捕魚。釣魚郵件包含一個(gè)含木馬的附件,一旦有一名員工被欺騙運(yùn)行了木馬程序,在控制了第一臺(tái)計(jì)算機(jī)后,APT攻擊者可以在幾小時(shí)內(nèi)侵入整個(gè)企業(yè)。入侵很容易完成,但清除起來卻十分痛苦。
對(duì)策:檢測(cè)和預(yù)防APT可能很困難,特別是在有決心的對(duì)手面前。以前的所有建議都適用,但您還必須學(xué)會(huì)理解網(wǎng)絡(luò)中的正常網(wǎng)絡(luò)流量模式,并對(duì)可疑流量發(fā)出告警。APT不知道哪臺(tái)計(jì)算機(jī)通常與其他計(jì)算機(jī)通信,但是用戶是知道的?,F(xiàn)在花時(shí)間開始監(jiān)控您的網(wǎng)絡(luò)流量,并好好整理從哪里到哪里會(huì)產(chǎn)生流量。APT會(huì)嘗試將大量數(shù)據(jù)從服務(wù)器復(fù)制到其他通常不通信的計(jì)算機(jī)上。當(dāng)他們這樣做時(shí),你可以抓住他們。
其他流行的攻擊類型,如SQL注入,跨站點(diǎn)腳本,通過散列和密碼碰撞等攻擊行為的危害遠(yuǎn)比不上上面列出的五種威脅行為。保護(hù)自己免受前五種威脅的侵害,可以讓企業(yè)在安全的道路上走的很遠(yuǎn)。
更重要的是,我強(qiáng)烈鼓勵(lì)每個(gè)企業(yè)確保其防御和緩解措施與主要的威脅保持一致。不要成為那些一味在高價(jià)值,高知名度項(xiàng)目上花錢的公司,因?yàn)閴娜藭?huì)持續(xù)地藏匿在可能很容易被阻止的路線。
最后,利用專門檢測(cè)APT式攻擊的產(chǎn)品或服務(wù)。這些產(chǎn)品或服務(wù)可以在所有計(jì)算機(jī)上運(yùn)行,例如基于主機(jī)的入侵檢測(cè)服務(wù),也可以整理事件日志以查找惡意的跡象。曾經(jīng)也許你很難檢測(cè)到APT,但現(xiàn)在無數(shù)的供應(yīng)商已經(jīng)填補(bǔ)了先前的空白,并等待向你提供保護(hù)。
總的來說,弄清楚你的企業(yè)最可能的威脅是什么,并為其做充足的準(zhǔn)備。太多公司浪費(fèi)資源,專注于錯(cuò)誤的、不太可能的情況。結(jié)合當(dāng)前網(wǎng)絡(luò)環(huán)境與漏洞,使用威脅情報(bào),并確定您該做什么準(zhǔn)備才是最重要的。(本文圖片來源于網(wǎng)絡(luò))
了解更多行業(yè)資訊請(qǐng)關(guān)注聯(lián)軟科技官方微信