“隐身式”高级攻击?利用无加密区来解决!

日期:2014-12-8作者:Eric Cole

【TechTarget中国原创】

纵观近期的数据泄露事故,我们惊讶地发现,企业在受到攻击后的很长一段时间内都没有发现数据泄露事故的发生。

根据Verizon数据泄露报告和Mandiant M趋势报告显示,企业在受到攻击的14个多月后才发现数据泄露事故的发生。我们只能得出这样的结论,企业缺乏适当的入侵防御功能,或者检测技术和流程未能防范攻击。

身处这样一个行业我们必须接受的事实是,攻击迟早会发生;这并不是软弱的表现,只是基于现在的高级攻击性质得出的结论。同样重要的是,企业必须更好地进行检测。受到攻击几个小时或者甚至几天都是可以接受的,但当攻击延续更长时间,特别是超过12个月,这就属于疏忽了。

我们不应该因此而感到沮丧,而应该提出基本问题:“为什么?”为什么企业无法检测受攻击系统?原因之一在于攻击者越来越多地依赖于一种混淆方法,这种方法利用了信息安全的最佳战略防御之一:加密。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Eric Cole
Eric Cole

Eric Cole是SANS研究所高级研究员,安全专家。

身份窃取/数据泄露>更多

相关推荐

  • 是否应对勒索软件攻击进行通告?

    网络安全专家建议不要支付勒索软件攻击赎金。但实际上,考虑到资产的关键性,企业往往不得不进行支付。那么当企业决定支付勒索软件攻击赎金时,是否应该告知公众?

  • 【特别策划】2016安全大事件“七宗最”

    在本期特别策划中,总结了2016年安全行业发生的各种有趣好玩的大事件典型代表,都来看看有哪些上榜了吧。

  • 数据混淆技术能有效地防止数据泄漏吗?

    数据混淆技术提供了不同的方式来确保数据不会落入错误的人手中,并且,只有少数个人可访问敏感信息,同时还可确保满足业务需求。

  • 如何防止应用程序泄密?

    为避免有可能泄露机密的应用程序和以应用程序为中心的其它威胁,企业应当依靠策略、技术、教育等综合手段,不但保护雇员,更要从整体上保护企业。

技术手册>更多

  • VPN应用指南

    虚拟专用网络 VPN(Virtual Private Network )能通过公用网络Internet建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。VPN是对企业内部网的扩展,它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。许多公司使用VPN向公司外部的员工提供企业网络接入。本手册将围绕VPN进行全方位的讲解。

  • PCI DSS法规指南

    PCI DSS的所有要求的说明都相当明确,不像萨班斯法案(SOX)的规定。SOX没有提供如何保护信息资产的任何详细指导,而且可以由企业和法规审计单位自由做出不同的解释。然而,企业仍然觉得遵守PCI DSS很难。

  • Nessus指南手册

    假如你正在寻找一个漏洞扫描器,你可能已经遇到了大量的非常昂贵的商业解决方案,这些方案都有一长串的性能和优点。不幸的是,如果你和我们之中大部分人的情况一样的话,你一般根本没有运行这些奇特的系统的预算。你可能已经退而求其次,转向考虑使用像SATAN或Saint的免费工具。然而,你可能觉得使用这些工具是一种折衷的办法,因为它们的性能设置不能与商业解决方案相比。这时候你就应该学会使用Nessus! 2005年12月Nessus背后的公司Tenable Network Security Inc.发布了Nessus 3,引进了对该产品的全面检查。在写这篇文章时候的最近版本,Nessus 3.2是在2008年3月发布的。Nessus现在可以在多种平台上使用,包括Windows、各种版本的Linux、FreeBSD、Solaris和Mac OS X。以下是这次Nessus3中的重大变化: 下面将介绍如何使用Nessus工具以及Nessus工具的更新。

  • 构建安全无线架构

    在本专题中,通过无线网络的转移、如何分割WlAN信息流、VPN的作用、接入点的布置等内容,你可以学到如何构建安全的无线架构,理解Wi-Fi产品的功能,以及如何把传统的有线网络设备和配置应用到无线局域网中。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算
【TechTarget中国原创】

纵观近期的数据泄露事故,我们惊讶地发现,企业在受到攻击后的很长一段时间内都没有发现数据泄露事故的发生。

根据Verizon数据泄露报告和Mandiant M趋势报告显示,企业在受到攻击的14个多月后才发现数据泄露事故的发生。我们只能得出这样的结论,企业缺乏适当的入侵防御功能,或者检测技术和流程未能防范攻击。

身处这样一个行业我们必须接受的事实是,攻击迟早会发生;这并不是软弱的表现,只是基于现在的高级攻击性质得出的结论。同样重要的是,企业必须更好地进行检测。受到攻击几个小时或者甚至几天都是可以接受的,但当攻击延续更长时间,特别是超过12个月,这就属于疏忽了。

我们不应该因此而感到沮丧,而应该提出基本问题:“为什么?”为什么企业无法检测受攻击系统?原因之一在于攻击者越来越多地依赖于一种混淆方法,这种方法利用了信息安全的最佳战略防御之一:加密。

了解加密的命令控制通道

人们常说,加密可以阻止攻击者读取企业的信息;这是部分正确的。加密通常可以阻止任何人读取任何人的信息,包括阻止企业读取攻击者的信息。

当系统受到攻击,攻击者将会建立加密的出站命令控制(C2)通道,这几乎可以绕过企业的所有网络安全防御。原因很简单:大多数网络安全设备无法读取加密流量本身,因此,加密的C2流量让攻击者有效地躲过网络检测。

虽然出站代理最初是解密和审查加密C2流量的有效方法,但攻击者已经找到方法来对付这种保护机制。我们仍然建议企业使用出站网络代理服务器,因为它们可以有效过滤流量,并将阻止一些攻击。然而,有些企业有太多出口点,而无法有效代理所有流量,并且,它无法阻止高端攻击者找到办法绕过这些代理。因此,我们需要另一种解决方案,这个解决方案就是无加密区。

了解无加密区

在介绍无加密区的概念之前,重要的是要明白:1)猛烈攻击时代需要严厉的措施;2)并非所有解决方案在所有环境中正常工作;3)当得到战略性部署时,解决方案方可正常工作,并且不能集中于所有方面;4)在你批评之前进行尝试。

笔者已经为多个客户成功部署的无加密区系统,这个系统包括创建最后一英里未加密通道。这个想法是创建一个高度交换的LAN,其中不仅具有加密检测,还不允许任何加密通信。并且,这对当前网络设计并没有什么影响。本质上,企业只需要部署或利用DLP或其他类似技术,即可以检测和阻止加密通信的技术。

在采用这个概念后,我们惊奇地看到在追赶攻击者方面发生的变化:

? 在使用无加密区之前:用户收到APT电子邮件,打开附件,系统会开启一个出站加密C2连接,绕过所有网络安全设备,然后系统被攻击长达14个月。

? 在使用无加密区之后:用户收到APT电子邮件,打开附件,系统尝试建立出站加密C2连接,加密通道被检测并被阻止,系统现在仅被攻击持续14秒,而不是14个月。

通过创建这个无代理区,我们基本上抑制了攻击者的最大优势(C2加密),并将其变成最大的劣势。这种变化创建了一个环境,让我们可以容易地捕捉和控制高级攻击。

正如上文所说,这个技术并不适合于所有情况。例如,在默认情况下,用户不应该被允许使用个人身份信息(PII)进行个人网上冲浪,或者传输支付数据,因为这些信息不会被加密,但这个问题可以得到解决,例如为用户提供单独的仅供个人使用的计算机。同样重要的是要注意,加密网关(例如SSL)可以设置在到网络的网关处。只有最后一英里(或本地LAN)未被加密,但任何离开网络的数据都会被加密和受到保护。

再次,笔者并不建议在整个企业部署无加密区,而是建议将它们设置作为选择性机制。如果用户表明他或她不能保护系统和数据,并且他们可能做出错误判断而点击邮件附件并受到感染,那么政策应该将这个用户加入到这个机制,并将他或她进入无加密区。这已被证明非常有效,因为如果没有特殊控制,因错误决定而受到攻击的用户很有可能会再次这样出错。

通过创造性思考,创造性的解决方案可用于增加攻击者的难度和降低企业防御难度。大家通常认为加密会提高安全性,但正如本文所讨论的,不使用加密可以创建一个环境来实际提高安全性。