目前IT面临的主要困境是:安全工具就像一个黑洞,吸走企业的时间和金钱,以及企业应该如何适当地保护企业的信息系统和资产。强大的防御并不一定意味着高成本,企业应该从评估公开信息开始,并想办法保护这些公开信息免受攻击。
关于谁正在攻击企业以及为什么发动攻击,企业很容易被各种炒作新闻左右,从而产生了对有效安全相关的要求和成本的误解。企业需要从根本上和战略上选择安全办法,他们需要从攻击者的角度来看问题,以确定攻击者有什么数据可偷以及如何发动攻击。这些问题的答案可以指导企业很好地规划防御系统。
在ISSA洛杉矶(ISSALA)五月安全首脑会议的小组讨论中,BeyondTrust公司首席技术官Marc Maiffret谈道,媒体和供应商传递安全趋势和公众利益等相关信息的方式将会影响企业对其面临的风险以及安全需求的评估。
Maiffret指出,分布式拒绝服务(DDoS)攻击能够立即得到媒体的关注,是因为这些事件是公众可见的。当主要托管服务供应商、金融机构或者社会网络服务因为DDoS攻击导致脱机,全世界都会引起高度关注。这种事件很容易被发现,停机的结果往往具有新闻价值,并且事件的人为部分吸引着人们的关注。
在公众和媒体的注意力放在谁发动攻击和为什么攻击的方程式中时,供应商充分利用了消费者的恐慌心理,围绕新闻炒作焦点来宣传他们的产品。这种营销策略吸引着更多的媒体和公众的关注,导致这种炒作循环下去,像滚雪球一样。所有这一切都吓得企业不断投资来抵御攻击者。
如果企业不知道需要保护什么或者他们容易受到攻击的程度,对于企业而言,最好选择一个可靠的安全方案,无论昂贵或者便宜的。
每个企业的安全需求都不一样,就像每个安全产品的功能一样,因此,适用于一个企业的相同产品,在另一个企业可能完全无用。并且,虽然每个企业都有自己独特的情况。然而,所有企业都面对着一个相同的简单事实:他们的所有公开访问信息同样能被攻击者利用。世界上没有任何安全产品可以改变这个现实,无论供应商如何吹捧其产品。
如果企业准备切实地保护其系统、业务数据和知识产权,企业需要结界很多棘手的问题。虽然,谁将攻击其系统以及为什么发动攻击是建立成功的安全计划非常重要的问题,但这两个问题只有在确定攻击者的攻击目标以及如何执行攻击后才能够解决。
ISSALA的很多会议都涵盖了这一主题。McAfee公司的安全研究与通讯主管David Marcus谈论了攻击者如何利用开源情报(OSINT)来获取对企业基础设施、技术和操作的信息。
Marcus列出了这些具有创新性和协作性攻击者所使用的工具,包括Twitter、Pastebin、SHODAN和Metasploit 等。从使用这些工具的结果来看,Marcus向观众展示了如何通过识别、捕捉、分享和利用公开信息来轻松地获取可用于攻击企业的有效信息。
为了进一步说明这一点,Marcus描述了如何使用这些相同的方法来攻击关键基础设施,更确切地说,SCADA系统。
例如,Pastebin剪贴板可以用于搜索标签#SCADA和#IDIOTS,以找出世界各地关于SCADA设备的公开信息,包括已经确定存在漏洞的SCADA系统的公开可见的IP地址。这些搜索结果信息可能是被攻击者和黑客上传的,然后,我们可以将这些结果放入谷歌搜索,来找出容易受到相同或类似漏洞攻击的SCADA网站。
Marcus还介绍了我们如何可以作为管理员来登录这些网站,这完全不受约束。成功登录后,我们可以阅读这些系统数据库的内容,改变设备的配置,安装恶意代码,甚至通过点击一个按钮就可以重新启动系统。
那么,我们如何打破媒体和供应商灌输的谁正在发动攻击和为什么的方程式呢?所谓,进攻是最好的防守。Marcus分享了以下五个秘诀:
1.利用和操作化OSINT :使用Twitter、Pastebin和SHODAN来识别和捕捉关于你自己企业和系统的面向公众的信息。这种开源公开信息可以为我们提供很有用的信息,可以帮助企业了解攻击者如何看待其基础设施和运营。
2. 不要根据行业或营销流行语来做决定: 不要过于担心高级持续性攻击,应该理解这种攻击的目标是什么以及攻击者将如何接近这个目标。
Marcus表示应该着眼于基础。在Marcus的演示过程中,其识别和访问的所有SCADA系统的基本安全措施都失效了,虽然系统中部署了入侵防御系统(IPS)、入侵检测系统(IDS)以及其他抵御APT的技术。Marcus表示:“这些保护措施没有得到正确配置或者根本不能抵御已知漏洞。”
3. 超越渗透测试:利用红色小组(red team)。红色小组行动和渗透测试结果之间有着很大的区别。当某个系统对业务非常重要时,红色小组取下这个系统,而渗透测试只是会指出“这里有一个漏洞需要修复”。
对于真正关心其环境安全的企业而言,应该从传统渗透测试转移到整合了红色小组的安全方案。企业需要弄清楚其环境内存在的真正漏洞,然后解决这些漏洞。
4. 利用合作伙伴和供应商的知识: 企业应该向值得信赖的安全合作伙伴和解决方案供应商寻求帮助,Marcus表示“不要将你的供应商看作是某个产品的供应商,他们知道很多恶意软件和其他攻击方法,充分利用他们的知识、专业技能和人力”。
5. 为信息共享建立合作伙伴关系: 网络安全下一个大爆炸将围绕情报和属性。企业不仅需要检测到他们正受到攻击,而且需要知道谁编写的攻击,这样当局就可以找出攻击背后的来源。
信息就是黄金,虽然很多企业没能利用这些可用的信息。显然,企业可以利用开源情报来建立强大的网络防线。这引出了一个问题,你的企业上一次检查公众对你的环境的了解情况是什么时候?