“隐身式”高级攻击?利用无加密区来解决!

日期:2014-12-8作者:Eric Cole

【TechTarget中国原创】

纵观近期的数据泄露事故,我们惊讶地发现,企业在受到攻击后的很长一段时间内都没有发现数据泄露事故的发生。

根据Verizon数据泄露报告和Mandiant M趋势报告显示,企业在受到攻击的14个多月后才发现数据泄露事故的发生。我们只能得出这样的结论,企业缺乏适当的入侵防御功能,或者检测技术和流程未能防范攻击。

身处这样一个行业我们必须接受的事实是,攻击迟早会发生;这并不是软弱的表现,只是基于现在的高级攻击性质得出的结论。同样重要的是,企业必须更好地进行检测。受到攻击几个小时或者甚至几天都是可以接受的,但当攻击延续更长时间,特别是超过12个月,这就属于疏忽了。

我们不应该因此而感到沮丧,而应该提出基本问题:“为什么?”为什么企业无法检测受攻击系统?原因之一在于攻击者越来越多地依赖于一种混淆方法,这种方法利用了信息安全的最佳战略防御之一:加密。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Eric Cole
Eric Cole

Eric Cole是SANS研究所高级研究员,安全专家。

身份窃取/数据泄露>更多

相关推荐

技术手册>更多

  • 恶意软件检测与防御

    一般来说,恶意软件只是进入系统的切入点,通过下载和安装其他应用来获取管理权限,完成攻击。然而,随着网络安全战的持续胶着,威胁环境日益复杂,恶意软件也在连番升级……

  • 企业风险安全管理

    企业风险安全管理的需求正在推动身份识别管理和内容监视等技术的发展。但是,有太多的企业正在依靠技术而不是政策来处理风险管理问题。风险管理是种关键推动因素,你需要搞清楚需要做什么,而且应该把钱花在什么地方……</P

  • Vista BitLocker磁盘加密向导

      BitLocker是微软Vista企业版和旗舰版(Vista Enterprise and Ultimate)中的一个功能,可以加密系统磁盘。这一点在Windows之前的版本中,如果没有第三方产品是不可能实现的。为了使用BitLocker,需要有可信平台模块(Trusted Platform Module,TPM)硬件的系统,1.2版本或者更好的。现在有些PC厂商已经开始支持了,虽然需要额外付费。  但是如果想要在没有TPM的系统上使用BitLocker应该怎么办呢?  本技术指南将介绍如何启动BitLocker,并在没有TPM的电脑上运行的方法,以及没有它的时候需要什么,应该怎么做以及可以获得的结果等。

  • “刷脸”时代的企业身份认证

    再没有什么事情比“刷脸支付“更酷的了,毕竟这曾是科幻大片里才有的情节……身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法,作为防护网络资产的第一道关口,身份认证有着举足轻重的作用。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算
【TechTarget中国原创】

纵观近期的数据泄露事故,我们惊讶地发现,企业在受到攻击后的很长一段时间内都没有发现数据泄露事故的发生。

根据Verizon数据泄露报告和Mandiant M趋势报告显示,企业在受到攻击的14个多月后才发现数据泄露事故的发生。我们只能得出这样的结论,企业缺乏适当的入侵防御功能,或者检测技术和流程未能防范攻击。

身处这样一个行业我们必须接受的事实是,攻击迟早会发生;这并不是软弱的表现,只是基于现在的高级攻击性质得出的结论。同样重要的是,企业必须更好地进行检测。受到攻击几个小时或者甚至几天都是可以接受的,但当攻击延续更长时间,特别是超过12个月,这就属于疏忽了。

我们不应该因此而感到沮丧,而应该提出基本问题:“为什么?”为什么企业无法检测受攻击系统?原因之一在于攻击者越来越多地依赖于一种混淆方法,这种方法利用了信息安全的最佳战略防御之一:加密。

了解加密的命令控制通道

人们常说,加密可以阻止攻击者读取企业的信息;这是部分正确的。加密通常可以阻止任何人读取任何人的信息,包括阻止企业读取攻击者的信息。

当系统受到攻击,攻击者将会建立加密的出站命令控制(C2)通道,这几乎可以绕过企业的所有网络安全防御。原因很简单:大多数网络安全设备无法读取加密流量本身,因此,加密的C2流量让攻击者有效地躲过网络检测。

虽然出站代理最初是解密和审查加密C2流量的有效方法,但攻击者已经找到方法来对付这种保护机制。我们仍然建议企业使用出站网络代理服务器,因为它们可以有效过滤流量,并将阻止一些攻击。然而,有些企业有太多出口点,而无法有效代理所有流量,并且,它无法阻止高端攻击者找到办法绕过这些代理。因此,我们需要另一种解决方案,这个解决方案就是无加密区。

了解无加密区

在介绍无加密区的概念之前,重要的是要明白:1)猛烈攻击时代需要严厉的措施;2)并非所有解决方案在所有环境中正常工作;3)当得到战略性部署时,解决方案方可正常工作,并且不能集中于所有方面;4)在你批评之前进行尝试。

笔者已经为多个客户成功部署的无加密区系统,这个系统包括创建最后一英里未加密通道。这个想法是创建一个高度交换的LAN,其中不仅具有加密检测,还不允许任何加密通信。并且,这对当前网络设计并没有什么影响。本质上,企业只需要部署或利用DLP或其他类似技术,即可以检测和阻止加密通信的技术。

在采用这个概念后,我们惊奇地看到在追赶攻击者方面发生的变化:

? 在使用无加密区之前:用户收到APT电子邮件,打开附件,系统会开启一个出站加密C2连接,绕过所有网络安全设备,然后系统被攻击长达14个月。

? 在使用无加密区之后:用户收到APT电子邮件,打开附件,系统尝试建立出站加密C2连接,加密通道被检测并被阻止,系统现在仅被攻击持续14秒,而不是14个月。

通过创建这个无代理区,我们基本上抑制了攻击者的最大优势(C2加密),并将其变成最大的劣势。这种变化创建了一个环境,让我们可以容易地捕捉和控制高级攻击。

正如上文所说,这个技术并不适合于所有情况。例如,在默认情况下,用户不应该被允许使用个人身份信息(PII)进行个人网上冲浪,或者传输支付数据,因为这些信息不会被加密,但这个问题可以得到解决,例如为用户提供单独的仅供个人使用的计算机。同样重要的是要注意,加密网关(例如SSL)可以设置在到网络的网关处。只有最后一英里(或本地LAN)未被加密,但任何离开网络的数据都会被加密和受到保护。

再次,笔者并不建议在整个企业部署无加密区,而是建议将它们设置作为选择性机制。如果用户表明他或她不能保护系统和数据,并且他们可能做出错误判断而点击邮件附件并受到感染,那么政策应该将这个用户加入到这个机制,并将他或她进入无加密区。这已被证明非常有效,因为如果没有特殊控制,因错误决定而受到攻击的用户很有可能会再次这样出错。

通过创造性思考,创造性的解决方案可用于增加攻击者的难度和降低企业防御难度。大家通常认为加密会提高安全性,但正如本文所讨论的,不使用加密可以创建一个环境来实际提高安全性。