2011年11月2日由EMC信息安全事业部RSA主办、中国电子学会联合承办的RSA Conference 2011信息安全国际论坛在北京中国大饭店举行。EMC公司执行副总裁兼RSA,EMC信息安全事业部执行主席亚瑟W科维洛解析全球最活跃的三类攻击者。
中国互联网发展情况统计报告显示,中国互联网用户中有2.17亿人曾是木马和病毒受害者,另外1.2亿人有密码被盗的经历,中国用户中每十个人就有一个人曾是网络欺诈受害者,这种情况是不可接受的。当然也有好消息,信息安全产业已经开始发展,领先的安全团队已经做好部署,他们的技术和能力必须像攻击者一样快速、敏捷,同时要比攻击者更聪明才能应对他们的狡猾。变得更聪明的要素就是了解你的对手,了解他们的动作和方法。要了解风险在何处你必须意识到谁可能发出攻击,为什么攻击,如何攻击。而且你必须超越自己的领域,根据计算机网络应急技术小组发布的中国互联网安全报告,网络安全事件的跨国特点变得越来越突出。
去年计算机网络应急技术小组发现,对中国进行木马和网络钓鱼攻击等非法行为利用的恶意域名有一半注册在海外,远在美国、印度、土耳其,还有比较近的是紧临中国大陆的台湾地区。而且手段最高潮的攻击者往往利用第三国业已被攻击的域名来掩盖他们的踪迹。换句话说,这种跨国攻击非常的复杂,让我们来看一看今天活动在世界各地的三类攻击者。
首先是受意识形态引导的追求曝光率的黑客,他们想要向公司或者政府传达非常响亮的信息,他们希望看到他们的信息通过全球媒体网点即刻向全世界广播,不管是网站的漏洞还是缺乏一般的信息安全控制还是防火墙失效,这些团体努力寻找任何外围防御体系的漏洞,他们经常与内部人士合作。
第二类是网络罪犯,他们建立松散的联系还是严密组织起来其目的都是窃取信息资产然后迅速出售变现。比较典型的做法是将基于平台的犯罪软件和零日漏洞拍卖给出价最高的买方,一个犯罪集团可以买下僵尸网络工具包,地下服务供应商购买防弹托管和无法追踪的注册域名等等。对网络犯罪而言,一切无外乎金钱和速度,他们会找到您最薄弱的环节加以利用。
第三类同时是最可怕的攻击者是正规的组织。如今正规组织制造出了最高级的威胁,但是随着威胁环境的不断变化,其他类型的攻击者很可能也会具备同样的能力。这些高级的攻击无外乎其隐秘性、复杂性。通过社交工程,攻击者搜集各种情报,时候要经过数月的的准备才会发动攻击。他们会先了解公司和政府机构的哪些最终用户拥有他们想要的资产,他们的活动很难察觉。因为他们往往会利用一个受到侵害的组织来攻击另外的组织。网络攻击开始可能会使用基本的恶意软件和各种工具与其他类型的攻击者没什么不同。如果必要的话他们会以真正的零日漏洞发起攻击,其可怕之处在于攻击背后集中的大量资源以及他们发起攻击的效率。一旦进入组织内部他们就会蜇伏起来,随着目标的推移他们会开发目标网络和安全架构的影射和库存。经验会告诉他们想要的信息驻留在何处,不管在数据库还是文件共享中。与网络罪犯不同,他们想留在你的网络内部,监控事件响应的情况,以便评估你的防御反映,相应的调整自己的行为,直到他们得到自己想要的东西。
所有这些攻击者带来风险的隐含意义是IT组织始终面临着持久、动态和智能的威胁。我们必须克服这些威胁以便各组织有信心利用信息来驱动创新、进行合作、获得市场认可并且实现经济增长。不幸的是面对这一新的威胁局面,过去的信息安全技术是不够的。许多信息安全技术已经不再新鲜,他们的价值大大降低,所以我们作为信息安全的专业人员,需要改变我们的思维方式,信息安全必须从现有的、常规、不协调的静态单点产品向更为高级的安全系统发展。我们需要采用已经开发和正在开发的安全创新,跟上信息技术的创新和威胁升级的步伐。