日志记录事件和运行安全信息事件管理系统都很关键,而同样重要的就是对最终用户进行适当的培训
从最近针对HBGary公司的攻击来看,没有任何公司能够幸免于数据泄漏的,哪怕是知名安全公司。关于有针对性攻击有趣的事实就是,很少有公司将攻击细节公诸于众,即使公开攻击细节,也只是侧重漏洞和防御的问题,很少有人将重点放在检测上。
在笔者接触过的数据泄漏事故中,几乎每个泄漏事故都有证据存在Windows Event日志、缓存日志或者入侵检测系统中显示有人在监控它们并警告工作人员可能受到攻击,Verizon公司的2010年度数据泄漏调查报告也说明了这一点:87%的受害者“在他们的日志文件中都有关于数据泄漏的证据,然而他们却没有发现。”
有点难以置信吧?现在问一问你自己,假设这周将发生数据泄漏事故,你的公司会成为这87%的受害者吗?你们能否幸免于有针对性的攻击,或者你们已经做好准备随时检测泄漏事故?
检测有针对性攻击的挑战是它可能来自任何位置。首先攻击者的第一个尝试应该是侦探公司面向互联网的服务器,看看哪些漏洞影响你们的网络和邮件服务器。
如果没有发现任何问题,那么攻击者下一步应该是尝试鱼叉式钓鱼攻击来攻击公司的软肋—公司员工。检测试图利用公司人力资源的攻击几乎是不可能的,如果没有定期培训和安全意识的话。因为你不可能在你们的首席执行官和首席财务官身上安装Snort。
检测社会工程学攻击既需要技术控制和用户安全意识,也需要培训以及公司政策。外部侦探可能不能被用户发现,但是入侵防御系统、网络应用程序防火墙和监测网络服务器日志的规则可能会把侦探行为标记为恶意行为。在另一方面,邮件安全解决方案可能会错过一个精心设计的鱼叉钓鱼攻击,而经过训练的用户可能能够识别信息并转发给安全部门进行分析。
从技术角度来看,日志记录需要被启用,并且需要监控这些日志以便能够在早期发现攻击行为。开源日志监控和商业安全信息事件管理系统解决方案可以帮助识别攻击的模式,而分析师则可利用这些信息进行进一步分析。
假设外部侦探包括针对网站基于表格的身份验证的强力攻击或者SQL注入攻击。日志监控系统应该能够向安全团队发出警告,而入门级分析师将进行调查,并且当事件需要高级管理层的关注时将信息向上传达。分析将确定攻击是否成功,以及确定是否需要在防火墙部署一个新规则来阻止攻击源。
关键在于在攻击发生前启用日志记录,即使监控并没有实时执行,仍然应该启用日志记录,因为当稍后发现攻击时,日志信息能够提供线索,而且硬盘存储的成本越来越低,启用日志记录应该不会引起公司预算部门的反对。
安全团队和事件跟踪系统之间的良好沟通在帮助在大环境中追踪攻击趋势也同样重要。针对同一个位置的一个或者两个服务器的攻击可能看起来没什么,但是当你发现同样的攻击发生在另外两个位置时,或者攻击源被发现在通过邮件服务器发送恶意软件,事情就很严重了。
当然,还有员工方面的问题需要考虑,社会工程学攻击无疑让检测变得更加困难。很多安全专家都会告诉你用户安全意识和培训根本没用。我的建议是安全专家应该停止试图自己对员工进行培训,而是应该雇佣专门培训的专家。
与这些培训专家合作来制作信息传单、宣传海报、电子邮件等,让企业员工认识到他们可能面临来自电子邮件、在线和电话攻击。用户很少会意识到攻击者可能会拿起电话来进行社会工程学攻击,他们通常都认为攻击只会发生在计算机层面。
安全意识和培训需要重点关注的领域是对各种威胁的检测以及他们应该如何与安全团队沟通。用户通常都处于鱼叉式钓鱼攻击和客户端攻击检测的第一线,他们只需要知道应该寻找哪些信息。并且当他们发现可疑的行为时,应该将信息汇报到事件追踪系统来帮助与其他潜在相关事件进行关联。
对所有行为进行日志记录或者购买安全信息事件管理系统当然不能一劳永逸,但是这些办法确实能够发挥作用。只是不要忘记检测有针对性的攻击需要的不只是技术控制。