提高攻擊者的攻擊成本
責編:admin |2014-08-20 14:41:31對于信息安全防御,Mike Hamilton肩負著艱巨的任務。
作為美國西雅圖市的首席信息安全官,Hamilton的責任延伸到各種其他部門的網絡,例如該市的警察和消防部門。為了保護這些網絡,Hamilton不僅需要專注于防御,還需要能給攻擊者制造障礙。
在2007年,Hamilton開始與美國國土安全局以及華盛頓大學合作創建了一個系統來收集全球威脅數據,目的是盡可能快地檢測出該市的醫院、緊急服務和其他重要基礎設施的網絡中的攻擊活動。通過讓攻擊者沒有時間完全利用這些網絡中的漏洞,Hamilton試圖提高每次攻擊的失敗率以及讓攻擊活動變得更加昂貴。并且,由于該市與州和聯邦執法的關聯,他們還可以試圖關閉攻擊者的基礎設施。(編者按:去年10月,Hamilton已經離任西雅圖市的首席信息安全官職務)。
“如果你攻擊我們,我們就會追蹤你,”他表示,“而且我相信這會提高攻擊者攻擊我們的成本。”
與Hamilton一樣,CISO們在制定戰略來保護其網絡時,都開始考慮攻擊者的成本。很多CISO認識到,攻擊者已經找到方法來繞過大多數企業部署的普通防御措施,所以他們開始專注于讓黑帽攻擊者的整個攻擊活動變得更加昂貴、復雜和容易失敗。
NSS實驗室安全咨詢研究副總裁John Pirc表示,在認識到攻擊者可以繞過防火墻、終端的防病毒軟件以及入侵檢測系統后,企業應該加強防御,“縱深防御的整個模式都很好,但是企業需要離開自己的舒適區,讓攻擊者的工作變得困難。”
事件響應公司Mandiant首席安全官Richard Bejtlich表示,攻擊者的成本主要以時間來衡量,因此,提高攻擊者完成其任務時間的防御戰略可以增加其成本。延遲攻擊者的戰略也可能給企業更多時間來發現攻擊,并挫敗攻擊者的計劃。Bejtlich在2009年創造了“黑帽預算”的術語,當時他試圖想象攻擊團伙用100萬能做什么。
“如果你不能超過攻擊者完成其任務的速度,那么,他就贏了,”Bejtlich表示,“如果他不能完成他來這里的目的,那么防御企業就贏了。”
了解你的網絡
當攻擊者保持隱蔽時,他們只要花最少的精力和時間就能實現攻擊目標。出于這個原因,Bejtlich建議,每個企業都應該開始對網絡中正在發生的情況進行檢測,并獲得相關可視性。在攻擊者入侵系統時盡快發現攻擊者要比當他們訪問數據時發現他們更好,他表示:“當他們正在竊取你的數據時,你寧愿沒有抓住他們。”
例如,攻擊團伙在入侵《紐約時報》后的一個月后才滲出數據,Bejtlich的公司負責調查其中部分攻擊。如果該出版公司在攻擊者完成其任務前檢測到攻擊活動,他們可能有時間安裝成功的防御技術。
在檢測到攻擊后,企業需要部署額外的防御措施,或者更改現有防御,迫使攻擊者來改變。通過改變防御來對付現有攻擊,以及關閉已知攻擊途徑,企業可以迫使攻擊者改變其攻擊方法,而這會提高他們的攻擊成本。
“培訓攻擊人員是很難的,”專注于攻擊者情報的安全咨詢和服務公司CrowdStrike聯合創始人兼首席技術官Dmitri Alperovitch表示,“如果每次他們攻擊你的時候,你都迫使他們做出一些改變,這必然會提高他們的成本。”
停止使用不可行的方法
度量是發現影響黑帽攻擊者底線的可行做法的最佳途徑。攻擊者入侵企業的主要方式之一是有針對性釣魚攻擊。安全教育公司ThreatSim收集的數據顯示,攻擊活動中的每個額外的電子郵件通常會誘騙四分之一的員工,讓他們打開附件或者點擊鏈接。通過調整攻擊活動的規模,攻擊者可以快速提高其攻擊成功率,根據Verizon 2013年數據泄露調查報告顯示,4封電子郵件可以帶來三分之二的攻擊機會,而6封郵件則可以帶來超過80%的成功機會。
利用攻擊數據來制定防御策略的安全咨詢公司Trail of Bits首席技術官Dan Guido表示,教育可以迫使攻擊者調整其攻擊活動,但它并不會真正增加其他成本。
Guido表示:“如果你想要失敗的黑帽預算策略,那么培訓員工是你應該選擇的做法。”事實上,企業應該專注于提高其反釣魚技術,并進行定制化,以讓攻擊者無法預見。他表示:“最好定制化一臺設備,而不是培訓你的全體員工。”
有些公司仍然依賴于舊版本的桌面軟件,這些軟件通常有著過時的防病毒保護,這意味著這些企業將無法抵御攻擊者。在微軟的最新安全情報報告(第14卷:2012年7月到2012年12月),微軟發現運行其Windows XP和Windows 7 RTM(發布到制造)操作系統且具有過時防病毒保護的計算機受感染的幾率為15.6%和20.4%(圖1)。而運行最新版本Windows 7(SP1)和更新的防病毒軟件的計算機只有不到1.5%的受感染率。受保護的Windows 8系統只有0.2%的幾率。
“人們必須了解漏洞利用開發生命周期的情況,”Guido表示,“當新平臺推出時,攻擊者需要巨大的成本來發動攻擊,因為他們需要花時間來學習如何利用其漏洞。”
企業應該相對快速地采用新的平臺,而事實上,企業通常會更新次要修復程序,而不急于更新主要平臺補丁。
曝光攻擊活動可緩解攻擊
雖然提高攻擊者的成本是一個很好的策略,但一些攻擊者(例如國家支持的攻擊者)并不會被嚇到。很多網絡間諜攻擊者都有機會收集數據,而其他攻擊者(例如Hidden Lynx組織相關的攻擊以及美國和以色列執行的Stuxnet攻擊)甚至根本不在乎成本問題。
CrowdStrike的Alperovitch說:“如果你面對的是國家政府機構,攻擊者的預算并不會帶來太大的影響。”
而對于這些國家政府支持的攻擊,其他因素可能會有影響。曝光秘密活動可以阻止國家政府繼續攻擊。前政府雇員斯諾登泄露的關于美國安全局活動的機密文件讓該機構處于聚光燈之下,這可能會限制其在未來的部分數據收集。
Mandiant的報告詳細介紹了其對被稱為“APT-1”的某國情報組織的活動,但這個研究并沒有從長期削弱該組織的活動,只有短期的影響。不過,這給該國增加了政治壓力。
“每個對手都有一定程度的風險,他們都不會忽視,”Alperovitch表示,“對于一些人來說,他們可能需要升級到軍事行動,這可能會造成人員傷亡。”
看似很難做到
在認識到對抗攻擊者的持續問題后,作為最后一搏,研究人員已經開始尋找不同的方法來在攻擊者滲出數據時迷惑攻擊者,或者識別攻擊者。一種方法會創建大量的誘餌文件,使得無法訪問正確索引的攻擊者面對更大的阻礙去尋找有價值的數據。
其他方法會將誘餌文件(相當于煤礦里的金絲雀)放在吸引攻擊者的地方。由于這些文件是不合法的,任何試圖訪問這些文件的行為都會拉響警報。其他誘餌文件會在攻擊者打開后試圖進行撥號呼叫。
Trail of Bits公司的Guido表示,雖然這種技術有優勢,但企業應該小心不要污染了他們的環境。
Guido表示:“這些文件可能是有價值的,但只有在真正特殊的情況下。”企業不能只是使用誘騙數據來填充數據庫,他們需要創建一個系統來監控這些誘餌文件并分析事件。
最終,黑帽預算意味著專注于攻擊者的成本,并部署防御措施以在網絡殺敵鏈的每個點提高這個成本,而不是專注于阻止攻擊者進入網絡,如果CISO讓攻擊者的每個步驟都變得更加困難,他們更有可能會獲勝。