黑客们怎样选择恶意攻击受害者?这个看似普通的问题在IT安全领域却一直受到极大的误解,而且这种误解往往使得企业管理者最终制定出完全错误的安全防御方针。
从一般的分析逻辑判断,网络犯罪分子跟大多数银行劫匪并无不同——哪里有钱,他们就扑向哪里。因此他们也喜欢把目标设定在银行或者其它金融服务公司身上——由于这些企业掌握着大量信用卡数据,攻克了它们就等于接管了用户的钱财,对吧?而且别指望着企业的庞大规模能够帮上什么忙,正所谓枪打出头鸟,大企业管理的敏感信息更多、所以也更可能被犯罪分子盯上。
根据同样的分析过程,我们也能够找到那些可能受到攻击的终端用户。假如我们把自己放在攻击者的立场,那么必然会选择那些执行权限较高的领导、个人资产雄厚的富翁或者是拥有多套系统访问资格的IT管理员。保护好这些重要用户也是实现整体安全性的关键性措施。
虽然这些假设都完全符合逻辑,但我得提醒众列位:这可都是一派胡言,跟实际情况完全不挨着。
事实上,大多数网络犯罪分子根本就没有这么周密的攻击目标甄选计划。没错,各家银行确实掌握着大量交易信息,但这并不代表只有金融行业才是下黑手的好对象。卖快餐批副食的、搞工程进水泥的,但凡跟大笔资金沾边的企业都有足够的油水可捞,而且这些与IT技术八竿子打不着的对象往往还疏于防备。
除此之外,认为网络犯罪分子只会瞄准大企业的想法也属于一厢情愿。虽然大型企业坐拥巨资、财大气粗,但他们同样也拥有组织严密、技术高超的安保团队,而且肯在风险防范工作上花大钱。反观中小型企业,不仅缺乏足够的安全技术,在防御体系预算方面也捉襟见肘,这让他们成为黑客眼中唾手可得的“人傻钱多”。平心而论,人都有懒性,攻击者也希望能“小成本赢得大产出”。正因为如此,我们才常常在各IT门户网站上看到中小型企业惨遭攻击、数据及财务信息意外泄露等负面消息。
网络犯罪分子喜欢唾手可得的目标——那些疏于防范、缺乏安全技能又漏洞满满的终端用户是危险系数最高的倒霉蛋。
网络犯罪分子目标何在?
在终端用户方面,类似的谣言及虚假经验同样不绝于耳。尽管从逻辑角度来分析,为CEO以及密码管理者配备更多附加保护手段似乎非常必要,但事实证明网络钓鱼者及其它恶意人士根本不会将这类特殊群体当成首先攻击目标。精明的网络犯罪分子明白,他们根本没必要苦心破解CEO的安全保护体系,还有很多方式能够访问到企业中的敏感数据。举例来说,首当其冲的应该是公司里职级较高的员工、项目主管甚至是与这些员工关系密切的家伙,这才是最合适的下手之处。恶意人士并不会刻意选择目标,他们只会逐步摸索信息的走向,并以广撒网的形式慢慢捞到大鱼。
网络犯罪分子喜欢唾手可得的目标。他们喜欢将矛头指向那些疏于防范、缺乏安全技能又漏洞满满的终端用户,并以此为跳板最终击垮整个企业。他们躲在自己的电脑前寻觅没有锁定的后门与开放的窗口——大家别再活在自己的想象中了,有钱不一定招贼,但门都不关那就等着倒霉吧。
虽然网络犯罪分子盯上我们的原因多种多样,但其中的道理都是相通的:只有没生意、没油水的公司才无人问津。时至今日,无论是像索尼那样的电子巨头还是普通的民间小作坊,都有可能成为下一个攻击目标。我们不能再继续抱有幻想,惟一的解决方案就是加强安保机制、制定应对措施,这也是决定企业未来生存或是灭亡的关键决策
实例:由来自俄罗斯的“Ivan”发给您的邮件
“您好,几分钟之后我会对您的网站发起DDoS攻击,相信我,整套体系都会立即瘫痪,”邮件这样说道。“如果您不想承受由此引起的损失,请尽快付费——惠承3500美元,谢谢!”
Endless Wardrobe这家澳大利亚在线服装零售企业在收到这样一封邮件后果断拒绝,于是遭受到猛烈的网络攻击。正如威胁邮件中所说,该公司官方网站瞬间被大量伪造的信息请求所淹没,而且整整一周无法正常工作。尽管Endless Wardrobe公司第一时间联系了托管服务供应商,希望能够缓解攻击带来的影响,但由供应商提供的请求过滤机制同时把不少正常的客户购买指令屏蔽在外。
这家由三位全职员工和三位兼职员工组成的小型零售企业在此次攻击活动中不仅损失了至少数千美元,还激怒了很多忠实客户——该公司总经理Andrew Burman沉痛地指出。
“在这次攻击发生之前,我一直以为像我们这样的小公司不会被人盯上,”Burman表示。“我听过不少网络攻击啊、恶意活动之类的传言,但从没想过那些黑客会拿小型企业开刀。在我的印象里,他们都是技术天才,只会去找大公司或者在线博彩网站的麻烦,那些金主带来的回报不是更高吗?”
与Burman一样,大多数中小型企业的管理者根本不相信自己会有遭遇网络犯罪活动的一天,当然很多公司可能一辈子也没遇上过像Endless Wardrobe这样的悲惨经历。但这并不代表管理者可以高枕无忧,把自己的名字从安保计划清单中轻松划掉。在去年由赛门铁克公司组织的一份调查报告中,共有26000多家企业受到恶意侵袭,其中半数以上都是员工少于2500人的中型企业,18%则为员工少于250人的小型企业。从拒绝服务攻击搞垮网站到木马程序盗取银行账户,过去的一年对于中小型企业而言可谓多灾多难,而且大部分受害者根本不知道要如何抵御这些攻击。
并不是只有像Amazon这样的电子商务巨头才会面临威胁,“反倒是那些员工数量只有几百甚至更少的小企业最为危险,”网络安全企业CloudFlare公司CEO Matthew Prince指出。CloudFlare是一家专门提供安全服务的公司,主要帮助客户避免像Endless Wardrobe事件那样的惨剧,但颇具讽刺意味的是,他们也成为了中间人攻击活动的受害者。当时黑客们劫持了这家只有36位员工的安全企业的谷歌托管邮箱系统,并借此获得设备恢复密码,最终攻入CloudFlare核心系统夺取了企业及客户的敏感数据。在这次事件中,恶意人士的最终目的是利用邮件访问取得对客户账户的控制权。事实上那家伙差一点就成功了。
根据Prince的说法,那位实施攻击的罪犯“技术很强,非常善于夺取邮件系统的主控权。”
前面提到的还只是小型企业所面临的一部分风险,随着意识的加深,大家会逐渐意识到网络犯罪居然是如此庞大且包罗万象的新世界。对于大多数管理者而言,帮助企业以更低的资金投入拥有更具效率的在线运营方案绝对是上佳之选,但这些新措施也将小企业拖入了安全问题的无尽泥潭。
约有90%的中小企业会使用网上银行、账户管理及金融服务等功能,虽然这让日常运营变得更加轻松,但也等于为攻击者打开了一道闯入的大门。另外,许多中小企业喜欢跟风,尝试允许员工将自有设备带到办公环境中来并接入内部网络。以为这很正常?在Sophos 2012网络安全调查报告中,全球范围内超过570位顶级IT决策者中超过40%对BYOD现象表示担忧,认为目前企业还没有做好足够的准备来应对可能出现的信息安全问题。
“小型企业更容易遭受攻击,因为他们资源有限、不可能拿出大量预算来支持防御体系,”McAfee安全公司全球渠道运营部门高级副总裁Gavin Struthers指出。“但这也是没办法的事,大多数小企业的卖点就在于网上业务和移动连接特性,一旦失去了这些功能,他们的业务根本无法开展。”
为了能让有限的资源应付无穷的安全保护需求,中小企业往往不得不忽略掉各类潜在的威胁。最理想的保护措施在于防患于未然,制定策略将问题消灭在萌芽状态