黑客的持续攻击并不意味着高级

攻击者使用了复杂的恶意软件和SSL加密连接来从该政府机构来窃取信息,并将信息发送回他们的主服务器,“我认为他们比这个政府机构本身更加了解网络,”知情人员透露。

虽然大多数网络间谍活动都是持续的,但是并不是所有攻击活动都像这个一样高级。根据一名取证专家表示,如果是高级攻击,你不太可能能够抓住它。“大多数高级持续攻击者都想要自由出入,不想要你知道他一直在那里,”他表示。

Foreground安全公司总裁兼首席信息官David Amsler表示,他的公司看到大部分攻击都是持续的,但不是高级的。“他们不断把门弄坏,如果他们进入网络的话,他们会创建五个不同的后门来确保他们能够一直在那里,”Amsler表示。

对于取证调查人员来说,最棘手的部分就是收集攻击者试图隐藏其行动的情报。这意味着让攻击者继续他们的攻击行为以分析他们正在跟踪的数据类型。

“对于企业而言,最关键的事情就是不要作出过激反映或者关闭设备,因为这样子很容易打草惊蛇,”Foreground公司的Amsler表示。这样做也可能会破坏已经收集到的证据。

“你可以尽可能地不让他们察觉,直到能够收集必要的相关信息。现在的事件响应,你不只是拿着计算机来做取证分析:你需要完整的数据包捕捉分析,而这不仅仅是在一个系统上,”他表示。

“那些更加持久更加高级的攻击者”才是真正让人担心的地方,他补充说道。