每年的年底,一些保守派总是试图用一个矫揉造作的主题来总结一年发生的事情。不过我会继续采用一个简洁的主题,即:2010是充满警醒的一年。
去年伊始,我们就被先进持续威胁(advanced persistent threat)这一概念给搞得摸不着头脑。极光行动(Operation Aurora)成功侵入了、系统公司和其他20多个组织。
同大多数APT类型的攻击一样,极光采用了零日攻击和已知未打补丁的软件漏洞结合的方式,侵入传统防御并维护长期访问的敏感数据和关键任务的系统,监测内部通讯,窃取商业机密,最终给造成无法修复的损失。
2010年,ATP的确言过其实,并不是每个攻击都被认定为APT。但是,我们正在总结2010年出现的另一个APT事件,即最近的Gawker Media攻击,所以这并非巧合。事实证明,在Gawker的IT员工意识到系统是错误的及其企业领导决定处理之前,Gnosis攻击群已经进入了Gawker的系统有几周或几个月了。
正如Gawker攻击证明,并不只是像谷歌这样的行业巨头,实际上越来越多的企业正成为先进的持续威胁(advanced persistent threat)的目标。几乎所有组织都有敌人,正如我们所看到的,Gawker类型利用了的疏忽和自大,这将导致灾难。
ATP帮助我们明确指出,传统的信息安全模式需要更新。正如我们的信息安全威胁专家Nick Lewis写道,企业必须假设在其网络存在一个只有攻击者才可以看到大漏洞,并且公司应该通过限制用户权限级别来对其进行保护,仔细考虑攻击者使用的Web,再访问对外流量监测程序,甚至排查PCI类型网络分段。还有,一旦要发生攻击,准备好进行详细的DNS日志分析或者请专家在线帮你做。
同样,我们不能忽视新型恶意软件,包括特洛伊如Zeus和。Zeus已经侵入过几次,但新的日益危险的Zeus变种随时都在出现,不能被忽略。根据公司与零日攻击组合周旋的结果,蠕虫病毒在2010年七月出现,最初的目标是西门子SCADA系统软件,并成功感染了10万个系统。
为什么我们可能处于恶意软件复兴之中?有些人喜欢指责软件制造商。毕竟,或的确如此,如果软件制造商把侧重点放在使软件开发最佳实践安全上,这些恶意软件不会很高效(盈利)。
实际上软件总是有缺陷的。也许没有商业软件供应商比投资的更多在确保安全软件开发上,但微软在2010发布了比往年更多的软件补丁,攻击者不断地寻找和利用新的零日。即使供应商同微软一样勤奋并关注安全,他们也不能填补所有软件漏洞,没人能完全做到这一点。
相应的,企业必须假设他们的应用程序是脆弱的,并且一直都是。引用SANS风暴中心主任Marcus Sachs的话,企业不但需要实行深入防御的安全和维护多种安全保护层,还应该为那些保护层考虑多种新的不同的技术和战略,包括漏洞管理、内部侵入测试、基于主机的职责和机器的检测和隔离等等。
很明显,这些措施并没有新的突破,但是攻击者正在做的就用到了上述提到的方法,其他的入侵手段大多也是恶意的。随着2010年的结束,新的攻击类型已经突破了今天传统的防御措施,这给我们敲响了警钟。因为疏忽,谷歌、Adobe和Gawker在安全方面都打了盹,也都因此付出了代价。在2011年,其他企业也将会犯同样的错误,请不要让你的公司成为其中之一。