关于黑客如何老练地运用恶意软件和高级黑客技术盗窃支付信息或者敏感企业数据的信息总是不绝于耳。虽然有针对性的攻击主要指向高价值的目标,比如政府机构、国防工业基地或金融机构,但根据2012年Verizon数据泄露调查报告(Verizon Data Breach Investigations Report,以下简称DBIR),大部分受害者是一些小公司,它们深受商业攻击之害,暴露了其在基本信息安全最佳实践中的弱点。报告指出,创新并不一定在于所涉及的恶意软件有多精巧,而在于攻击背后的自动化和精细过程。
今天公开发布的Verizon DBIR 2012指出,黑客通过大规模自动化攻击普遍缺少防火墙或者其他安全控制的POS机和远程访问系统,发现了一个特殊的弱点。正如DBIR一年前指出的,这被称为“伺机攻击”,中小企业,尤其是食品行业和酒店行业的企业,正处在攻击者的瞄准镜中。
Verizon的RISK团队调查显示,酒店行业和食品行业占数据泄露案例的54%;零售业紧随其后占20%。相比之下,大多数导致数据泄露的有针对性的攻击是针对金融和保险部门的,其中大多数是大型企业(有超过1000名员工);大型企业所遭受的攻击中,超过50%是有针对性的而不是伺机的。
Verizon的RISK团队负责人Christopher Porter说,有组织的网络犯罪集团使用连续的自动化攻击。这些集团会扫描因特网寻找暴露的PoS或远程管理服务,比如远程桌面管理,然后使用暴力破解攻击取得登录权限。由于很多人在这些系统上使用着默认的、或容易猜测的密码,取得登录权限并非难事。一旦进入系统,就安装恶意软件——通常是键盘记录器 ——并开始收集数据。恶意软件被预设置为通过FTP或者电子邮件向攻击者控制的Web服务器发送数据。然后,数据将在黑市上出售,或者,如果证书被盗,将针对银行账户或企业内部的其他系统发起更深层次的攻击。
“我们开玩笑说肯定有些犯罪团伙已经取得了MBA学位,”Porter说。“从最近几年的工业化攻击类型中,我们发现了过程和方法上的创新。整个过程紧密连接,并且是大规模的。通常,小公司会遭受这种攻击,因为小公司总在担心财务盈亏。由于专业知识、时间和资源等问题,它们无法做好防御。”
Porter说,一般而言,预防就是把默认密码或者现有密码改得更复杂一些,并且在远程访问服务前面设置访问控制列表。这些策略可以给潜在受害者减轻来自商业攻击的压力,因为在这些攻击中,攻击者并不会为每个目标定制恶意软件。DBIR指出定制恶意软件只存在于针对性的攻击中,这些恶意软件是从头开始写的或用已有代码修改的。
报告指出,“在这些大规模、受害者众多的攻击方案中,由于攻击者使用普通的工具就能攻陷成千上万的受害者,因而他们没有必要为定制恶意软件而费心。”
攻击者也不太可能在一个小型企业中花费大量时间,DBIR中提道。不像大型企业那样有着丰富的数据和互相依赖的系统,小型企业存储在服务器上的所有数据经常在一夜间全被盗窃,然后攻击者全身而退。在攻击大型企业时,攻击者更有可能使用后门程序来反复登录系统,悄悄地实施攻击。
“相比起来,这些简单的攻击几乎不需要深度知识和创新。它们经常是脚本化的,针对很多目标,而且,如果不成功,就撤退,””报告中说道。“实际上,直到窃贼检查接收截获数据的远程服务器时,他才知道他到底偷到了什么东西。简单地说,目标不值得攻击者花费太多心机,因为在这些事件中,很少记录被盗;目标有多大规模才是他们关心的。”