网络安全

网络安全

当前位置: 首页 >> 网络安全 >> 正文

不要拿刀对付持枪人 面对黑客你该做?

发布日期:2012-04-13    作者:信息化管理中心     来源:     点击:

随着网络技术的发展,黑客们越来越多的浮出水面。如果说几年前,黑客还是神秘的技术强者,行踪隐蔽且低调,那么现如今黑客则更像是安全界的“明星”,招摇且不可一世。

几乎每个企业或多或少的都遭受过黑客攻击,当今黑客主要以利益为主,窃取各种信息(如信用卡信息,银行帐户,管理员身份信息等),然后在黑客市场上出售。数据就是黑客的财富。在近日举行的RSA大会上,本站记者采访了Imperva公司的高级安全策略师Noa Bar-Yosef女士,就如何应对黑客攻击进行了讨论,并为企业应对黑客攻击提出了建议。

TechTarget中国:近年来黑客攻击愈演愈烈,甚至一些国家的重要安全部门也遭受到攻击,比如CIA。在未来几年,相比于黑客,我们是否只能处于弱势地位?我们有可能同黑客拥有同等的对抗力吗?

Noa Bar-Yosef:重要的是了解随着黑客变得越来越具有侵略性,安全界该如何应对这种威胁格局。比如,在Verizon数据泄漏报告中提到,2010年黑客越来越多的以零售业和酒店业为目标,因为它们是“更容易摘到的果子”(缺少安全意识的企业)。而银行遭受的攻击量就相对较小,因为他们的安全防御更强大。同时,因为黑客行为是有利可图的,黑客们也将继续发展。因此,对黑客的完全控制在未来也是不可能的,就像黑客也无法完全控制我们一样。然而,通过了解发展的的威胁格局(黑客平台,攻击工具,黑客技术和商业模式),我们可以武装自己来对付黑客。但是如何了解威胁格局呢?通过运用黑客情报。比如,在我们的客户中,我们使用黑客情报计划(Hacker Intelligence Initiative,HII)。HII从三个不同的活动来了解威胁情况:

1.进入黑客论坛——获得对不同趋势发展的掌握(看看黑客讨论什么,关注什么)。

2.分析黑客工具包——获得对黑客活动在技术上和商业上的了解。

3.监测攻击流量——关注实际攻击数据而不是仅仅停留在威胁理论。

通过利用这些分析模式,我们首先能扩大对当前的控制,比如了解新的攻击向量。其次,这可以帮助我们引入相应功能从而大大减少受害者所受最多的攻击流量。

当然,为了及时反应,这种情报应用需要不断的进行运行。而且,我认为,为了达到真正有效,我们需要一个可以共享信息的社区,包括政府,ISP(网络服务提供商),厂商和用户,一起讨论各自的经验并进行合作,比如,通过知道一些从事攻击的恶意电脑的信息,其他企业和用户可以快速更新来避免受到攻击。

(从上到下依次是:垃圾邮件,拒绝式服务攻击/分布式拒绝服务攻击,SQL注入攻击,零日攻击,脚本编码攻击,暴力攻击,HTML注入攻击)

TechTarget中国:一些黑客组织非常明目张胆,比如LulzSec,但是尽管这样,却很少在现实生活中抓到他们。之前提到的跟踪黑客的数据,有没有可能同警署联系,而不只是停留在虚拟世界中追踪他们?

Noa Bar-Yosef:说到逮捕黑客,需要整个安全行业的合作。我所说的安全行业包括安全产品和服务的提供商,ISP,还有执法机构,也包括受到袭击的组织。我相信大家联合起来就可以共同打击攻击者。

我们不仅要指明谁是攻击者,同时也要确保机器不受破坏。我们要了解哪些机器是僵尸网络,告诉受害者们这些机器已被感染,都是属于攻击者了。

比如,我们会在黑客论坛上分析攻击工具包,把它下载下来。黑客提供钓鱼这样的工具是为了让其他黑客的工作更方便。在一个钓鱼工具中,前端是用来模拟真实的网站,后端进行处理和存储等等,还有令牌之类的工作。黑客会说把所有的信息告诉你,使得你能够模拟真正的网站,而后端的存储和处理都在云上进行。回到现实中,因为黑客有工具包,所有的令牌都会回到这,他会让所有的数据为他工作。

我们的工作是追踪这个黑客,知道幕后黑手是谁。我们会找到被钓鱼的公司,告诉他们有黑客袭击了这个公司,我们可以明确地指出黑客在哪里,比如我们通过社交网络了解这些信息。受害公司会非常高兴知道这样的消息,然后他们会和执法部门一起合作解决攻击的问题。

TechTarget中国:很多黑客现在使用自动化攻击,企业该如何应对这种自动化攻击?

Noa Bar-Yosef:我们必须要区别并且了解到这些袭击是来自于人的还是自动的。我们有一个很有效的防止攻击的方法,就是将攻击的速度放缓。问题就在于我们如何让它的攻击速度放缓。其中一个方法是使用验证码。比如我们可以通过了解它的响应和响应所需时间来区别是人为的还是自动的。如果需要几秒钟的相应,自动攻击就不会花时间来针对该应用,而会把目标转向其他的应用。还有不同的方法来识别是否是自动的袭击。

我们还可以通过两个方法来辨别,一个是读取率,一个是点击率的测试。如果是人,他可能需要几秒钟的时间点击,如果是自动的话,就不会存在时间的问题。

还有一个就是协议的异常性。很多自动袭击是以异常的方式建立起一种请求。有些袭击是会留下证据的,比如黑客利用工具访问的时候,里面会带有一些特征,会以一些特征码来表明。

此外,还可以在浏览器中会生成一些自动活动,比如在网络应用中有一些隐藏链接,人在使用的时候不会点击这些隐藏的链接,但如果是自动攻击的话,它们就会跟着隐藏链接走。比如说Web浏览器安装了一些非法软件,里面隐藏了一些非法链接,这个链接的背景做成跟正常页面一样。这些Web软件是自动化的,它就会点击这些链接。这相当于给黑客设了一个陷阱。很多方法可以帮助知道它是否是一个僵尸程序。

面对黑客攻击,Noa Bar-Yosef给出了如下建议:

认清三个黑客攻击事实:

•如果你在网上且是脆弱的,你就会受到攻击。

•企业必须假设有一部分受感染的机器在自己的网络里。(这不是技术问题,而是一些人为问题)

•移动设备,垃圾邮件都会藏有黑客攻击。

企业应对黑客攻击的五大有效方法:

一、部署安全解决方案针对自动化攻击(辨别是人还是自动程序,如输入验证码)

二、监测已知漏洞攻击(攻击者总是针对那些缺乏安全保护的企业;常见的攻击方式有目标遍历(Directory Traversal),SQL注入,XSS(跨站脚本攻击),RFI(Remote File Inclusion,远程文件包含);且29%的攻击来自同十个攻击源)

三、获取恶意源情报,并将其用于实际中(进行恶意扫描,利用黑白名单技术,加强针对零日攻击的防范技术等)

四、参与社区,分享信息

五、认真对待网络中受感染的机器(数据源需要更多的控制,识别使用合法特权的滥用访问模式)

知己知彼,百战不殆。要对付黑客,先要了解黑客。如果黑客现在使用的是枪,我们就不能再拿着刀去对付他们,而要拿出相应的工具来应对。“不要拿着刀去对付持枪的人”,我们需要重新思考如何保护自己的安全。