企業如何及時發現網絡中潛藏的攻擊和威脅？

如果你的網絡中潛伏著高級持續性攻擊威脅，你的安全團隊會知道嗎?在RSA大會上，HBGary的Greg Hoglund與我們分享了四種抵御有害攻擊的方法。

　　大部分針對企業的攻擊都是投機詐騙和網絡犯罪，但是對于想要保護客戶信息和企業知識產權信息的企業而言，還需要關注更為持久的攻擊者。

　　雖然“高級持續性威脅”(APT)現在已經成為一個營銷口號，但持續攻擊者的確對企業構成威脅，HBGary公司首席技術官Greg Hoglund表示。隨著攻擊者逐漸意識到悄悄在企業網絡內搶灘的好處，企業IT安全團隊需要假設攻擊者已經越過了他們的防線，并且積極追捕已經在其網絡中的入侵者。

　　他表示：“你不能完全依賴于外部供應商為你提供一個神奇的黑名單，就能解決所有安全問題。”

　　HBGary發現高級持續性攻擊并不需要使用先進的技術來獲取企業的關鍵信息。一年前，自稱是Anonymous運動成員的攻擊者獲取了該公司子公司HBGary Federal電子郵件賬戶的訪問權限，并且泄露了敏感信息，即使攻擊者沒有獲取對該公司網絡的訪問權限。

　　Hoglund表示，對付專門針對你公司的攻擊者是一個很棘手且成本很高的問題。

　　“這是一個反間諜問題，”Hoglund表示，“你必須愿意接受將其作為反間諜問題的成本，如果你想要更好的安全性的話。”

　　以下是Hoglund的建議，以幫助企業更好地發現網絡中的高級持續性攻擊。

　　1. 請注意可疑行為

　　高級持續性攻擊者會使用社會工程學和其他方法(例如破壞第三方服務器)來獲取訪問企業網絡的有效憑證信息。在這一點上，我們幾乎不可能根據檢測惡意代碼來檢測攻擊者。相反的，防御者需要將重點放在檢查可疑活動上。

　　“一旦他們開始進行持續攻擊，他們可能不會再使用漏洞利用，”他表示，“他們只會使用用戶登錄信息來登錄，這是一個完全不同的問題。查找惡意軟件并無濟于事。”

　　檢測網絡中怪異的員工行為變得非常重要，特別是在登錄信息被泄露時。例如，有這樣一個案例，在從目標滲出數據前，攻擊者通常會習慣性地等待三天。對異常行為比較敏感的企業就能夠檢測到這種活動。

　　他表示，“如果在著三天中，我們知道他們會滲出數據，那么我們就可以做好準備。”

　　2.檢測流量

　　每個公司都想要防止攻擊者進入，但是企業應該假設，攻擊者已經滲透入他們的網絡。當事情真的發生時，攻擊者最初滲入的系統從來都不是攻擊者真正感興趣的系統。

　　攻擊者會侵入任何內部系統，然后使用那個系統在網絡內橫向移動。雖然企業應該注意到攻擊者在網絡中，但是攻擊者會制造很多異常網絡流量，這些流量可能會暴露他們的活動。查看流量是關鍵。

　　Hoglund表示：“如果你可以檢測到網絡內的橫向移動，你就能夠檢查出高級持續攻擊。”

　　3.當發現一個被感染系統，不要停下腳步

　　很多公司只會清除被感染的服務器，然后重新安裝系統。然后企業會發現追蹤其他感染系統變得難上加難。

　　IT安全團隊應該利用這個被感染系統找出其他已經被感染的系統。

　　高級攻擊者會使用一種鞏固戰略，當他們在環境中部署了遠程訪問工具后，他們不可能只部署一個這樣的工具。

　　例如，在另一個案例中，HBGary追蹤了攻擊者三個月，并且清除了他們的訪問權限。他們不停地尋找，最終發現了與已經檢測到的遠程訪問工具相同的工具，不過使用的是微軟的Windows Messenger的副本作為緊急后門，以防萬一有人會清除他們的訪問權限。

　　他表示：“他們部署了多層次戰略，也就是說，如果你找到他們的東西，你需要找出所有東西才行。”

　　4.尋找滲出點

　　當攻擊者發現有價值的信息，他就會準備滲出數據。這也是防御者可以檢測到攻擊者存在的一點，找尋服務器中大型壓縮文件是一個不錯的開始。

　　“我們看到攻擊者利用RAR作為滲出數據的格式，還有CAB文件，”Hoglund表示，RAR是WinRAR的專有歸檔格式，而CAB文件是微軟用于壓縮軟件組件以便于安裝者使用的格式。

　　通過搜索網絡中的RAR和CAB文件，企業可能能夠找出潛在的滲出點。

　　Hoglund表示：“你知道嗎?如果你發現某臺機器堆滿這些格式的文件，你可能就找到了一個滲出點。”

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]