安全專家剖析四種類型黑客 知己知彼
責編:admin |2014-04-24 11:05:35 當今世界最珍貴的商品是數據。我們每天創造出2.5萬兆字節的數據。對個人來說,需求數據和消費數據維系著我們的生活,而企業則需要數據來推動商業的發展。
哪里有需求哪里就會有市場。如今,黑客們使出渾身解數,整日為發現并竊取這些數據而忙碌著。在過去短短兩年時間內,人們已經制造了今天全球90%的數據,這給黑客們的工作帶來了不少便捷。
不錯,如今確實是數字的世界了。這個世界的核心是由兩群人組成的:試圖保護數據的人,以及試圖破壞它的人。事實上,這兩個群體間的界限不不那么清晰,例如某個企業員工可能會在不知不覺中成為黑客的幫兇,因為黑客的目標是特定的組織里面打破安全保護區的個人。而這種類型的破壞,我們把它稱之為“內部威脅”,正是當今企業所面臨的最大安全威脅之一。然而,少有企業著手解決這個隱患,他們對此還缺乏足夠的認識。
中國有句古話:“知己知彼,百戰不殆。”同樣道理,對于安全行業來說,了解不同類型的黑客是非常有必要的。目前的主流黑客類型包括黑客活動家、網絡罪犯、內部威脅和國家資助的黑客。了解他們的動機和偏好的攻擊方式有助于企業正確部署其安全解決方案,從而對關鍵數據進行有效的保護。
1. 黑客活動家
安全專家們擔心這些活躍的黑客勝于其他一切。根據2012年的一項研究,超過一半的受訪者認為激進的黑客組織是企業最大的安全威脅。他們的擔心不無道理,因為黑客組織會根據他們的“意識形態議程”來選擇攻擊目標,且會針對符合他們目標的任何組織。任何沒有研究過他們攻擊方法和方式的企業組織都會成為其攻擊的對象。
黑客活動家們很少為金錢利益所驅動,其攻擊的動機是多數是出于報復、政治或意識形態方面的表達、抗議以及羞辱受害者。他們熱衷的并非竊取數據這一行為本身,而是利用這些泄露出的數據來宣傳他們的政治主張,獲得更廣泛的關注。
從根本上來說,黑客活動家堅信互聯網應是一個言論自由的平臺。這種信念使世界各地的黑客團結一致,因此他們常常以小組為單位展開行動。例如,著名的黑客組織“匿名者”就聲稱是由個人組成的,不受任何階層控制。他們只是在一起工作,抗議與“匿名者”觀點相悖的組織活動。盡管他們攻擊的理由確實與一些道德譴責相關,但這其實是一種明顯的違反互聯網審查和管制的行為。該組織的受害者包括了VISA、索尼以及F1等知名企業。
上述受害者都是知名的跨國公司,然而黑客活動家也不會忽略那些在當地市場有一定知名度的中小企業。在新加坡,黑客活動家已經通過攻擊對外友好協會、余仁生藥材公司等網站獲得了一定的知名度。
那么,什么是黑客活動家首選的攻擊方式呢?分布式拒絕服務(DDoS)攻擊,尤其是SQL注入攻擊是其主要的作案手法。盡管如此,許多企業仍未意識到構建網絡應用防火墻(WAF)來應對SQL注入攻擊的必要性。
2. 網絡罪犯
網絡罪犯,顧名思義,往往與更大的犯罪組織相關聯。與黑客活動家們不同,這些組織無論規模大小,完全是由利益驅動的。黑客攻擊更像是一種他們找到的全新犯罪方式,這些黑客組織像經營生意一樣對待網絡犯罪,并已形成了嚴密的全球犯罪網絡。
這些網絡罪犯共享攻擊策略和攻擊工具,經常聯手發動攻擊。在一些地區,甚至已經形成了非常成熟的黑色產業鏈,用與購買和出售竊取來的信息和身份。
這些專業罪犯通常用全球網絡系統來鎖定目標,部署復雜多樣的方法如零日漏洞代碼、僵尸網絡和Web全自動攻擊工具等。例如,2012年11月,一個黑客為了700美元對雅虎郵箱進行零日攻擊,使得攻擊者能夠利用跨站點腳本(XSS)漏洞竊取Web瀏覽器cookies,劫持賬戶。
3. 內部威脅
內部威脅指的是一個受信任的個人有權對企業的知識產權或者數據進行訪問,并在業務需求以外使用了這些信息。這些信息的誤用可能是出于惡意、意外或者是被入侵者利用。
企業安全團隊面臨的其中一個關鍵性障礙是改變員工對數據和知識產權所有權的認知。在2010年Imperva對倫敦街頭1,000位工作人員的隨機調查中揭示了對此問題的驚人態度。70%的受訪者表示當他們離開現在的工作崗位時會計劃帶走涉及知識產權的內容或客戶資料。大部分受訪員工認為他們擁有這些數據,因此覺得帶走它們合乎情理。這不僅僅是一個西方文化現象——訪問及獲得包括數據在內的公司財產的誘惑具有跨文化特性,甚至可以說,這也是人性的一部分。
也有員工在不知不覺中“協助”了黑客們的攻擊行為。只要有一名員工被攻擊者利用,潛入公司網絡,獲取知識產權內容,竊取數據,在這些員工在無意中就會變成內部威脅。
那么,黑客是如何鎖定這些員工的呢?首先,他們會利用社交媒體來識別目標企業里的個體。例如,LinkedIn對黑客來說就是一個很好的識別企業數據庫管理員的社交工具。接下來,黑客會利用這些企業員工聯系信息進行魚叉式網絡釣魚。通過魚叉式網絡釣魚活動或者可利用的企業漏洞,黑客們獲得訪問用戶設備的權限,進而通過安裝惡意軟件來控制和收集數據。在這之后,黑客們就可以開始偵查企業的各種內部數據,包括競爭對手信息、商業計劃或者網絡架構圖。就這樣,黑客從竊取數據開始一步步構建成功的藍圖。
從企業的角度來看,減少內部威脅需要最好的實踐案例,其次是技術實施。諷刺的是,這兩者既是最容易又是最困難的部分。數據中心包含最敏感和最重要的信息,卻往往是安全控制最薄弱的地方。因此,行之有效的方法是在接近數據層的地方設置一個安全層,如數據庫審計與防護系統(DAP)和文件活動監控方案。
4. 國家資助的黑客
國家資助的黑客或許是世界上最具能力和才華的黑客。由于政府的慷慨資助,他們裝備精良。這些黑客往往被政府雇傭,用于滲透進入其他政府并獲取絕密資料,這也反映了當今世界中各國間的緊張局勢。如今,國家資助的黑客因為世界各國間的網絡間諜和網絡戰爭事件而日益備受關注。
由于國家資助的黑客往往特別有針對性,因此小規模的企業通常不用太擔心。但是大型企業可能會成為黑客竊取商業機密的受害者,而且很難識別和抵御。
國家資助發起的攻擊具有明確、系統且組織嚴密的攻擊方法。知名的網絡武器包括Stuxnet超級工廠病毒、 Duqu蠕蟲病毒和Flame惡意程序。這些都曾是殺毒行業未能攻克的強大的惡意軟件,至今仍然大肆盛行。例如,Stuxnet是世界上首個已知的“網絡導彈”。最初設計用于破壞核燃料提煉離心機系統的專用特殊電源。后來,它被認定為世界上首個公開的網絡超級武器——它跨越了數字世界的鴻溝,用于摧毀現實世界中非常具體的目標。
這份黑客名單并不是十分詳盡,但它能夠讓我們對黑客有一個基本的了解,畢竟,這是我們面臨的最大安全威脅背后最重要的群體。根據這些信息,企業可以制定一個更加有效和全面的安全策略,即在靠近數據中心的數據庫和文件庫的地方設置一個安全層,同時加強收集和驗證來自網絡應用防火墻(WAF)數據的能力,以抵御上述四種主流黑客的攻擊。