摘要:作为一名优秀的网络管理员,保障网络安全是网管的较早要务,你的主要工作就是判定贵单位是否受到无法检测的网络威胁与网络攻击,并且部署充分的技术和程序上的防卫。
前段时间,美俄两国之间为间谍问题而闹得沸沸扬扬。其实,类似的这种商业间谍活动与之相比有过之而无不及,关键原因在于公司的数据是否正处于外部的间谍程序的监控之下?电子间谍,这听起来你也许觉得离你的公司还比较遥远,但它却是真实存在。这是一种阴险的安全威胁,其产生的严重后果远远超过你的想象。
安全专家相信,越来越多的公司正受到源自其它国家的电子间谍的暗中监视。这些攻击的麻烦之处在于其技术通常都难以借助一般的安全工具检测。电子间谍设法在不造成破坏的前提下进入系统,以便于能够在一段时间内持续地搜集信息。
这些类型的威胁要比无目标的攻击更难以对付,因为它们就从没有普遍到让安全厂商重视的程度。结果,安全软件和检测已知威胁的其它工具无法确认这些威胁。此外,针对某个特定目标的攻击可被设计为绕过所部署的防御组合。发动电子间谍攻击的间谍们都花了大气力来防止受害者检测到威胁。
虽然问题深深地隐藏着,却真实而严重。下面我们重点讨论三个问题:谁在从事电子间谍活动,他们在寻找什么,为了保护自己你可以做什么。
电子间谍活动有多普遍?观察家们说,电子间谍正越来越普遍。麦克唐纳是一家从事计算机安全的公司Gartner的副总裁。他说,75%的企业曾受到或正在受到没有被检测到的攻击的感染。由于受到利益的驱使,这些攻击避开了传统的外围防御和主机防御。麦克唐纳说,拥有敏感信息的任何政府和商业单位都是目标。由于这种间谍活动是秘密进行的,所以并没有什么方法可以让人知道其范围。
谁在从事间谍活动?
即使检测到了电子间谍活动,也很难知道真正的攻击源。例如,如果你跟踪了一次攻击,到了一个特定的国家,结果却发现这仅仅是一台受到损害的充当代理或中继的计算机!
如今,多数安全厂商都在基于签名的检测设置中跟踪威胁,查找已知的部分病毒。但对于有些拥有资金和专门技术的国家,利用高级代码及其它的零日漏洞并不困难。
黑客论坛网站,如Hackerforum.com,提供了很多远程访问工具,准许黑客用简单几个步骤就可以控制一台电脑,而且还可以听到和看到用户的活动,用户却浑然不知。
网络间谍如何渗透进入你的系统?
一次典型的有目标的攻击将利用多种弱点,以实现其较终目标:通常就是窃取信息或损害一个特定的账户。通过一个精心伪造的看起来可信的email就可以使一个单位的特定账户成为目标,进而悄悄地在用户电脑上安装一个间谍软件。
有些攻击可能源自获取了公共信息并与信息有联系的黑客。虽然发到网上的每一个信息未必都是敏感的,但是在与网站上的其它数据以及其它公司所发布的其它信息结合以后,就会形成一种模式。
如果获得了用户的登录凭证信息或建立了一个监视点,攻击者就可以利用一个可从外部访问的系统的安全或配置漏洞,或者是应用程序的安全或配置漏洞。
攻击者还可以利用众所周知的或鲜为人知的技术漏洞。为了访问真正的敏感信息,他们可求助于行贿等策略。
在一次有针对性的攻击中,可以直接利用的系统或应用程序级的漏洞往往不只一个。一旦一个用户系统或账户受到损害之后,整个环境都会逐渐地被扫描一遍,直至实现攻击的较终目标。
通常,攻击者将监视软件安装在不太显赫的地方和系统中,例如一台日志服务器中,因为在这里传统的IT安全方法并不查找所谓的入侵。在此,攻击者收集数据并通过FTP等手段发送出去,由于每次发送的数据量很少,所以并不会引起正常通信的异常提高。
你面临什么风险?
如果你并不重视自己的单位是否受到了电子间谍的窥视,你将面临哪些风险呢?可以说,很多。
较坏的情况是,公司会丧失竞争优势。例如,从事间谍活动的政府部门可以将知识产权交给你较大的竞争者。竞争者无需研究和开发成本和时间就可以使你未来的产品面临竞争的劣势。
其实,不但公司的信息面临着电子间谍活动的风险,即使是个人的一些私密信息,如信用卡的数据也容易被电子间谍窃取。
为了阻止网络间谍,你可以做什么呢?
可能并没有什么彻底有效的方法能够完全保护贵单位免受国内外日益复杂的间谍攻击。如果攻击来自外国政府的话,就更是如此了。
不过,下面的步骤对于帮助你减少成功的攻击机会还是有用的,或者可为你避免巨大的损失。
策略一:深度防御
许多专家一致同意的一条策略就是实践“深度防御”。通过部署多层防御,某一层的故障未必会导致一次损害。这条策略不但包括部署一些较新的技术,还要教育员工关于风险的知识,并向其展示如何防止这种间谍活动。
策略二:雇佣专业人员
如果资源准许,可以考虑雇佣专业人员,因为他们善于发现并防卫间谍用来进入网络的方法。
策略三:搞好基本问题
麦克唐纳建议,公司要搞好一些基本问题。例如,在广度和深度上强化补丁管理的规定,建立并跟踪配置的管理标准,并且对用户进行关于来自社交工程攻击的教育。
策略四:强化电邮和Web安全网关的功能
因为多数攻击通过电子邮件和Web进入系统,所以较好的主意是强化电邮和Web安全网关的功能,使其可以提供多类保护,包括URL及Web的声誉服务。
策略五:迁移到端点保护平台
从病毒和反间谍迁移到端点保护平台上,因为后者可以在一个集成的框架和管理控制台中提供多种风格的保护(如反病毒、反垃圾邮件、防火墙、基于主机的入侵防御系统)。
策略六:强化检测功能
通过进行系统、网络、应用程序和数据处理的周密监视,来强化你的检测能力,查找超出正常范围之外的行为。多数安全事件和信息管理产品都增加了这些功能。
策略七:运营小型的、从物理上分离的网络
较可靠的防御就是运营小型的、从物理上隔离的网络。随着网络的成长,恶意攻击的可能性就会增大。例如,公司可以有效地管理拥有独立的PC、网络布线、打印机的离线网络。雇员们可以用笔记本电脑上网浏览和查看邮件,但不准许携带敏感信息。这些拥有关键数据的系统绝对不能访问互联网。
策略八:采用更强大的安全工具
更强大的安全工具,如网络取证产品也可以开始帮助防卫电子间谍的威胁。例如NetWitness Investigator就是一个交互性的威胁分析程序,它可以进行原始网络数据的自由形态的前后关系分析。
这些工具并不查找实际的恶意代码,而是查找潜藏在网络中的类似黑客行为的网络通信模式。一旦发现有信用卡号或其它文件类型正在流出你的网络,这些工具就会向用户发出警告,并且帮助用户确认和跟踪数据流向的位置。
策略九:自己开发专用工具
如果你的公司拥有资源和专业技术,可以考虑开发自己的专业工具来挫败这种攻击。有些专家相信,随着公司发现商品化的软件并不能解决自己特定的信息需求和其它需要,这种做法将会成为普遍现象。换句话说,因为威胁通常是定制的,用以从一家特定的公司获取特定的信息,所以你的防御也需要定制。
数据窃贼针对谁?
请不要想当然地认为你的公司不可能成为电子间谍的靶子。安全专家克歇尔认为,虽然军事系统和政府的合约人一直是主要的目标,承载多种公司信息的服务也是极端诱人的,因为一次入侵就可以提供关于大量目标的信息。例如,Webmail服务、电话网络、发货人的数据库及社交网站等都有可能成为目标。
安全专家库尔茨坦言,拥有先进的知识产权的公司,或拥有敏感产品的研究与开发数据的公司,都可引起间谍的兴趣。
“福兮祸之所伏”。许多公司对于电子间谍和监视仍盲目乐观、沾沾自喜,并从显示零感染的病毒软件、网络扫描中获得了安慰。殊不知,自己的系统已经被感染了好几个月了。
网络管理员们,赶快行动吧,现在还不晚!
