“隐身式”高级攻击?利用无加密区来解决!

日期:2014-12-8作者:Eric Cole

【TechTarget中国原创】

纵观近期的数据泄露事故,我们惊讶地发现,企业在受到攻击后的很长一段时间内都没有发现数据泄露事故的发生。

根据Verizon数据泄露报告和Mandiant M趋势报告显示,企业在受到攻击的14个多月后才发现数据泄露事故的发生。我们只能得出这样的结论,企业缺乏适当的入侵防御功能,或者检测技术和流程未能防范攻击。

身处这样一个行业我们必须接受的事实是,攻击迟早会发生;这并不是软弱的表现,只是基于现在的高级攻击性质得出的结论。同样重要的是,企业必须更好地进行检测。受到攻击几个小时或者甚至几天都是可以接受的,但当攻击延续更长时间,特别是超过12个月,这就属于疏忽了。

我们不应该因此而感到沮丧,而应该提出基本问题:“为什么?”为什么企业无法检测受攻击系统?原因之一在于攻击者越来越多地依赖于一种混淆方法,这种方法利用了信息安全的最佳战略防御之一:加密。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Eric Cole
Eric Cole

Eric Cole是SANS研究所高级研究员,安全专家。

身份窃取/数据泄露>更多

相关推荐

  • 是否应对勒索软件攻击进行通告?

    网络安全专家建议不要支付勒索软件攻击赎金。但实际上,考虑到资产的关键性,企业往往不得不进行支付。那么当企业决定支付勒索软件攻击赎金时,是否应该告知公众?

  • 【特别策划】2016安全大事件“七宗最”

    在本期特别策划中,总结了2016年安全行业发生的各种有趣好玩的大事件典型代表,都来看看有哪些上榜了吧。

  • 数据混淆技术能有效地防止数据泄漏吗?

    数据混淆技术提供了不同的方式来确保数据不会落入错误的人手中,并且,只有少数个人可访问敏感信息,同时还可确保满足业务需求。

  • 如何防止应用程序泄密?

    为避免有可能泄露机密的应用程序和以应用程序为中心的其它威胁,企业应当依靠策略、技术、教育等综合手段,不但保护雇员,更要从整体上保护企业。

技术手册>更多

  • 构建DMZ 保护网络安全

    DMZ(Demilitarized Zone)即俗称的隔离区或非军事区,与军事区和信任区相对应,作用是把WEB,e-mail,等允许外部访问的服务器单独接在该区端口,使整个需要保护的内部网络接在信任区端口后,不允许任何访问,实现内外网分离,达到用户需求。DMZ可以理解为一个不同于外网或内网的特殊网络区域,DMZ内通常放置一些不含机密信息的公用服务器,比如Web、Mail、FTP等。

  • Linux服务器安全技巧及工具总结

    Linux的安全性是企业构筑安全应用的重中之重,本技术手册介绍了Linux服务器安全的技巧和工具。

  • 服务器虚拟化安全

    从现在起,五年以后,几乎没有一家企业会使用“真正的”计算机。虚拟软件将会截取并模拟数据库、网络应用程序或者文件共享所能进行的一切工作,允许一个机架安装服务器起到10台服务器的作用。虚拟化是必然的;自IP网络以来,它是IT业最重要的新势力。对这一趋势带来的影响,安全专家如果有一种挥之不去的恐惧感,他们应该得到原谅。在内部网络中,虚拟化正重新绘制分布图;硬件以及网络过滤曾经将服务器和应用程序分离,虚拟化可以把它们集中到同一个刀片服务器上。影响深远的变化的到来不会没有安全挑战。

  • 虚拟化安全手册

    未来企业在IT基础架构建设中,将侧重于建设领先的虚拟化IT环境。但虚拟化环境面临着不同于物理环境的安全问题,本技术手册将为你详细介绍虚拟化安全挑战,并提供解决策略和方法。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算
【TechTarget中国原创】

纵观近期的数据泄露事故,我们惊讶地发现,企业在受到攻击后的很长一段时间内都没有发现数据泄露事故的发生。

根据Verizon数据泄露报告和Mandiant M趋势报告显示,企业在受到攻击的14个多月后才发现数据泄露事故的发生。我们只能得出这样的结论,企业缺乏适当的入侵防御功能,或者检测技术和流程未能防范攻击。

身处这样一个行业我们必须接受的事实是,攻击迟早会发生;这并不是软弱的表现,只是基于现在的高级攻击性质得出的结论。同样重要的是,企业必须更好地进行检测。受到攻击几个小时或者甚至几天都是可以接受的,但当攻击延续更长时间,特别是超过12个月,这就属于疏忽了。

我们不应该因此而感到沮丧,而应该提出基本问题:“为什么?”为什么企业无法检测受攻击系统?原因之一在于攻击者越来越多地依赖于一种混淆方法,这种方法利用了信息安全的最佳战略防御之一:加密。

了解加密的命令控制通道

人们常说,加密可以阻止攻击者读取企业的信息;这是部分正确的。加密通常可以阻止任何人读取任何人的信息,包括阻止企业读取攻击者的信息。

当系统受到攻击,攻击者将会建立加密的出站命令控制(C2)通道,这几乎可以绕过企业的所有网络安全防御。原因很简单:大多数网络安全设备无法读取加密流量本身,因此,加密的C2流量让攻击者有效地躲过网络检测。

虽然出站代理最初是解密和审查加密C2流量的有效方法,但攻击者已经找到方法来对付这种保护机制。我们仍然建议企业使用出站网络代理服务器,因为它们可以有效过滤流量,并将阻止一些攻击。然而,有些企业有太多出口点,而无法有效代理所有流量,并且,它无法阻止高端攻击者找到办法绕过这些代理。因此,我们需要另一种解决方案,这个解决方案就是无加密区。

了解无加密区

在介绍无加密区的概念之前,重要的是要明白:1)猛烈攻击时代需要严厉的措施;2)并非所有解决方案在所有环境中正常工作;3)当得到战略性部署时,解决方案方可正常工作,并且不能集中于所有方面;4)在你批评之前进行尝试。

笔者已经为多个客户成功部署的无加密区系统,这个系统包括创建最后一英里未加密通道。这个想法是创建一个高度交换的LAN,其中不仅具有加密检测,还不允许任何加密通信。并且,这对当前网络设计并没有什么影响。本质上,企业只需要部署或利用DLP或其他类似技术,即可以检测和阻止加密通信的技术。

在采用这个概念后,我们惊奇地看到在追赶攻击者方面发生的变化:

? 在使用无加密区之前:用户收到APT电子邮件,打开附件,系统会开启一个出站加密C2连接,绕过所有网络安全设备,然后系统被攻击长达14个月。

? 在使用无加密区之后:用户收到APT电子邮件,打开附件,系统尝试建立出站加密C2连接,加密通道被检测并被阻止,系统现在仅被攻击持续14秒,而不是14个月。

通过创建这个无代理区,我们基本上抑制了攻击者的最大优势(C2加密),并将其变成最大的劣势。这种变化创建了一个环境,让我们可以容易地捕捉和控制高级攻击。

正如上文所说,这个技术并不适合于所有情况。例如,在默认情况下,用户不应该被允许使用个人身份信息(PII)进行个人网上冲浪,或者传输支付数据,因为这些信息不会被加密,但这个问题可以得到解决,例如为用户提供单独的仅供个人使用的计算机。同样重要的是要注意,加密网关(例如SSL)可以设置在到网络的网关处。只有最后一英里(或本地LAN)未被加密,但任何离开网络的数据都会被加密和受到保护。

再次,笔者并不建议在整个企业部署无加密区,而是建议将它们设置作为选择性机制。如果用户表明他或她不能保护系统和数据,并且他们可能做出错误判断而点击邮件附件并受到感染,那么政策应该将这个用户加入到这个机制,并将他或她进入无加密区。这已被证明非常有效,因为如果没有特殊控制,因错误决定而受到攻击的用户很有可能会再次这样出错。

通过创造性思考,创造性的解决方案可用于增加攻击者的难度和降低企业防御难度。大家通常认为加密会提高安全性,但正如本文所讨论的,不使用加密可以创建一个环境来实际提高安全性。