“隐身式”高级攻击?利用无加密区来解决!

日期:2014-12-8作者:Eric Cole

【TechTarget中国原创】

纵观近期的数据泄露事故,我们惊讶地发现,企业在受到攻击后的很长一段时间内都没有发现数据泄露事故的发生。

根据Verizon数据泄露报告和Mandiant M趋势报告显示,企业在受到攻击的14个多月后才发现数据泄露事故的发生。我们只能得出这样的结论,企业缺乏适当的入侵防御功能,或者检测技术和流程未能防范攻击。

身处这样一个行业我们必须接受的事实是,攻击迟早会发生;这并不是软弱的表现,只是基于现在的高级攻击性质得出的结论。同样重要的是,企业必须更好地进行检测。受到攻击几个小时或者甚至几天都是可以接受的,但当攻击延续更长时间,特别是超过12个月,这就属于疏忽了。

我们不应该因此而感到沮丧,而应该提出基本问题:“为什么?”为什么企业无法检测受攻击系统?原因之一在于攻击者越来越多地依赖于一种混淆方法,这种方法利用了信息安全的最佳战略防御之一:加密。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Eric Cole
Eric Cole

Eric Cole是SANS研究所高级研究员,安全专家。

身份窃取/数据泄露>更多

相关推荐

技术手册>更多

  • 创建网络访问隔离控制

    NAQC(Network Access Quarantine Control,网络访问隔离控制)可以阻止从远程地址不受阻碍、自由地访问网络,直到目标计算机已经证明远程计算机的配置可以满足脚本中列出的特定要求和标准。

  • 开源加密工具TrueCrypt(附软件下载)

    本专题将介绍一款免费的、开源的、可移动的适用于笔记本电脑的加密软件TrueCrypt。TrueCrypt适用于个人或者小型企业和团队,可以在任何系统上运行而不需要安装。TrueCrypt可以采用多种加密算法,有效地保护机密数据。

  • 清除间谍软件

    本文将帮助理解间谍软件、它的来源、行为方式和引起的问题,并提供一些清除间谍软件的技术,以及如何防御将来的入侵。

  • 2010年安全最佳实践汇总手册

    2010年即将过去,在这一年中, IT安全各方面有哪些最佳实践值得大家去关注呢?本技术手册将为您总结2010年TT安全网站受欢迎的安全最佳实践,其中涉及网络安全、安全管理、身份认证与管理安全、系统安全、数据库安全和金融安全等方面。希望能够给安全朋友们提供一些帮助。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算
【TechTarget中国原创】

纵观近期的数据泄露事故,我们惊讶地发现,企业在受到攻击后的很长一段时间内都没有发现数据泄露事故的发生。

根据Verizon数据泄露报告和Mandiant M趋势报告显示,企业在受到攻击的14个多月后才发现数据泄露事故的发生。我们只能得出这样的结论,企业缺乏适当的入侵防御功能,或者检测技术和流程未能防范攻击。

身处这样一个行业我们必须接受的事实是,攻击迟早会发生;这并不是软弱的表现,只是基于现在的高级攻击性质得出的结论。同样重要的是,企业必须更好地进行检测。受到攻击几个小时或者甚至几天都是可以接受的,但当攻击延续更长时间,特别是超过12个月,这就属于疏忽了。

我们不应该因此而感到沮丧,而应该提出基本问题:“为什么?”为什么企业无法检测受攻击系统?原因之一在于攻击者越来越多地依赖于一种混淆方法,这种方法利用了信息安全的最佳战略防御之一:加密。

了解加密的命令控制通道

人们常说,加密可以阻止攻击者读取企业的信息;这是部分正确的。加密通常可以阻止任何人读取任何人的信息,包括阻止企业读取攻击者的信息。

当系统受到攻击,攻击者将会建立加密的出站命令控制(C2)通道,这几乎可以绕过企业的所有网络安全防御。原因很简单:大多数网络安全设备无法读取加密流量本身,因此,加密的C2流量让攻击者有效地躲过网络检测。

虽然出站代理最初是解密和审查加密C2流量的有效方法,但攻击者已经找到方法来对付这种保护机制。我们仍然建议企业使用出站网络代理服务器,因为它们可以有效过滤流量,并将阻止一些攻击。然而,有些企业有太多出口点,而无法有效代理所有流量,并且,它无法阻止高端攻击者找到办法绕过这些代理。因此,我们需要另一种解决方案,这个解决方案就是无加密区。

了解无加密区

在介绍无加密区的概念之前,重要的是要明白:1)猛烈攻击时代需要严厉的措施;2)并非所有解决方案在所有环境中正常工作;3)当得到战略性部署时,解决方案方可正常工作,并且不能集中于所有方面;4)在你批评之前进行尝试。

笔者已经为多个客户成功部署的无加密区系统,这个系统包括创建最后一英里未加密通道。这个想法是创建一个高度交换的LAN,其中不仅具有加密检测,还不允许任何加密通信。并且,这对当前网络设计并没有什么影响。本质上,企业只需要部署或利用DLP或其他类似技术,即可以检测和阻止加密通信的技术。

在采用这个概念后,我们惊奇地看到在追赶攻击者方面发生的变化:

? 在使用无加密区之前:用户收到APT电子邮件,打开附件,系统会开启一个出站加密C2连接,绕过所有网络安全设备,然后系统被攻击长达14个月。

? 在使用无加密区之后:用户收到APT电子邮件,打开附件,系统尝试建立出站加密C2连接,加密通道被检测并被阻止,系统现在仅被攻击持续14秒,而不是14个月。

通过创建这个无代理区,我们基本上抑制了攻击者的最大优势(C2加密),并将其变成最大的劣势。这种变化创建了一个环境,让我们可以容易地捕捉和控制高级攻击。

正如上文所说,这个技术并不适合于所有情况。例如,在默认情况下,用户不应该被允许使用个人身份信息(PII)进行个人网上冲浪,或者传输支付数据,因为这些信息不会被加密,但这个问题可以得到解决,例如为用户提供单独的仅供个人使用的计算机。同样重要的是要注意,加密网关(例如SSL)可以设置在到网络的网关处。只有最后一英里(或本地LAN)未被加密,但任何离开网络的数据都会被加密和受到保护。

再次,笔者并不建议在整个企业部署无加密区,而是建议将它们设置作为选择性机制。如果用户表明他或她不能保护系统和数据,并且他们可能做出错误判断而点击邮件附件并受到感染,那么政策应该将这个用户加入到这个机制,并将他或她进入无加密区。这已被证明非常有效,因为如果没有特殊控制,因错误决定而受到攻击的用户很有可能会再次这样出错。

通过创造性思考,创造性的解决方案可用于增加攻击者的难度和降低企业防御难度。大家通常认为加密会提高安全性,但正如本文所讨论的,不使用加密可以创建一个环境来实际提高安全性。