安全策略:企业如何免受木马攻击

DoSECU 安全报道 5月6日消息:企业IT预算都与企业作为核心防御部分的资金有关。有许多企业认为实践中保护企业不受木马攻击的最切实可行的方法就是设置入侵检测系统,主机防火墙和异常侦测。

如今进入任何一家企业你都会发现某种类型的补丁升级正在进行中,无论是通过SMS这样的企业服务还是自动升级这种简单的方式。打补丁已经成为日常漏洞管理程序的组成部分。

对于企业来说他们需要花时间去设置适合的解决方案,所有这些措施都寄托着企业减少风险和与业务相关的攻击的厚望。如今当我们看到企业配置安全控制时,风险类型改变了方式,常用的标准安全措施很难阻止这些类型的犯罪行为。

因此这些犯罪分子现在在做些什么呢?在开放环境中,大量的攻击继续以应用程序和服务为目标,而不是针对他们运行的操作系统或平台。其中远程访问服务和网络应用软件是攻击者访问企业系统的利用的筹码。

可信赖合作伙伴?
攻击者通过某种类型的远程访问和管理软件获得未经授权的访问权来实施犯罪行为。这些未经授权的访问通过第三方连接到远程管理员系统上。更常见的做法是,一个外部实体会危及合作伙伴,然后使用可信赖链接链接到犯罪分子的网站上。从受害者的角度来看,攻击者看起来就是被授权的第三方。当可信赖访问伴随而来的是授信的缺失,问题的严重性也可想而知。

多数木马都是本地捕捉和存储数据;将数据捕捉和发送到远程地点;或者激活远程访问或控制被感染的系统。窃取信誉对于这些犯罪分子来说轻而易举,就像他们窃取企业未经防范的数据一样简单。不过如果犯罪分子目前窃取了大量的数据,那就很难在不被侦测到的情况下将这些记录发送出去。因此现在的犯罪分子开始使用"捕捉和存储"的变种方式。

攻击者通常都偏好那种可以窃取支付卡数据和私人身份验证信息的方法,因此经常输出包含数百万条记录的大型文件就是他们下手的目标。当然在受害者的系统上存储有效载荷也会为攻击者制造某种挑战,即如何找回这些存储数据。为了解决这个问题,攻击者典型的做法是打开一个后门来返回未被侦测的系统。

法规遵从推动木马侦测市场
企业目前在他们的业务流程中遵循PCI DSS标准。这种标准引进了加密技术和各种保护数据不受犯罪分子侵袭的加强型防御措施。企业已经开始将不太敏感的数据作为常规业务运营的组成部分来存储,而对要保留的敏感数据进行加密。犯罪分子当然也不会坐以待毙,无论企业采用何种商业模式,他们都会改变攻击方式来与之相适应。

传统上说,我们都是讲数据作为文件存储在硬盘上。无论如今的企业如何部署运营,数据都可以从RAM或页面文件或未分配的磁盘中删除。这就意味着在企业目前所需的保护措施中存在鸿沟。

如今要创建能分析RAM的木马,需要考虑的因素有知识,时间和金钱。不会有外行人去做这项工作。你会发现是专业的木马编程人员为了实施有组织的犯罪行为来专门研发木马程序。大量有价值的数据从某方面驱动着木马编程人员去开发新的木马程序来实施犯罪目的,而且他们想方设法编译不被目前防病毒引擎侦测到的木马代码。这是个很严肃的话题,特别是当你看到木马的新型变种能够绕过最新配置的加密系统时,问题的严重性可想而知。

不仅是企业的变化推动了新的木马变种,而且黑市本身也导致了这种变化。因为有如此众多的信用卡信息能从市场上轻易获取,因此价格也随之下降,犯罪分子不得不研发新的方法来收集更具价值的数据来维持盈利。在信用卡数据方面,获取与磁条数据相关的PIN密码也不是什么新鲜话题了。内存可擦除技术也处在了这种新发掘金矿的前沿。

面对木马程序的复杂性,你该如何保护你的数据?
我们都配置了常规法规遵从标准所要求的安全保护措施。即使是这样,我们知道犯罪分子还是会想方设法绕过所有我们设置的屏障。了解防火墙,入侵检测系统,防病毒,反间谍和其他各种终端解决方案现在已经不像曾经那样有效了,是时间真正检查一下我们的业务流程,看看是否有办法来完成这些任务。