最近看到很多網絡安全方面的宣傳資訊,針對近期M國安全局(NSA)入侵西北工業大學這個事情,這并不是一個個例。在很多關鍵性的公司和ZF部門都存在這種情況。隻是發現和沒發現而已。加強網絡安全建設刻不容緩。
首先我不是專業的網絡資訊安全人員,談談個人看法,說得不對的地方,請指正僅供了解參考。
目前的網絡安全現狀
在上學那會有一個事件讓我難忘,那就是2010年1月份,中國最大中文搜尋引擎"百度"遭到黑客攻擊,長時間無法正常通路。一個專門靠技術起家的公司,為什麼也會被攻克。那會我就認為國内的網絡安全防護意識是有待提高的。
1、很多網站沒有自己開發網站的能力,也不想投入太多,直接下載下傳一套源碼就使用了,殊不知這種源代碼漏洞很多,甚至有人直接植入網頁木馬。
2、個人資訊不會保護,各種陌生的網站就去注冊個人資料,甚至填寫自己的銀行卡資訊,給個人資訊安全造成隐患。很多安全隐患是自己可以注意的。
3、如果你知道别人發送一張帶有捆綁木馬的圖檔給你,就可以開啟你的攝像頭或者下載下傳你電腦手機的資料。
4、如果你電腦上面有新的研發項目,你經常上網下載下傳軟體,不小心中毒了。資料被人竊取了。
如果你知道一個小小的漏洞被黑客找到了,那麼他可以通過這個漏洞執行提權的代碼,想控制運作網站的伺服器權限就非常容易。如果是帶有資料共享檔案系統的,那麼很多保密非公開的資料就會被洩露了。
以上都是因為不注重網絡資訊安全會發生的。
怎麼判斷被網絡攻擊了?
一、症狀方面
1、一般就是網絡異常卡頓,計算機各種軟體操作異常、電腦系統異常、檔案異常丢失、或者出現很多奇怪關機,黑屏的情況。還有檔案會被無辜加密。這種一般是帶有勒索性質的。
如果出現以上情況,說明是比較嚴重,症狀比較明顯,一般是攻擊者水準太菜導緻的。沒有考慮網絡基礎設施布線情況,和電腦系統的相容性,木馬或者病毒運作異常導緻。還有可能是病毒運作互相不相容“打架”導緻。
2、電腦系統無故不停地彈窗,或者背景靜默運作一些不知名的程式程序。這種一般就是廣告聯盟一類的,需要下載下傳量,流量的類似流氓軟體。比較煩人,頂多是占用帶寬,記憶體資源,消耗CPU的功率,但是談不上實質性的傷害和損失。
3、如果是類似手機移動裝置的話,一旦中毒就會出現APP運作卡頓的方式,讀取手機的通訊錄,短信資訊,甚至有些私自發送驗證碼到指定的服務号上。之前那些靠類似彩鈴單次點播服務的,會捆綁類似的病毒。讓手機無辜被扣費。
4、電腦或者手機攝像頭突然被打開。這種情況發生很多了。就是中毒了,電腦或者手機被控制了。
二、攻擊對象
1、一般的黑客:主要是牟利為主,一般也就是民企的商業資料,财務資料,項目方案。一般也就是倒騰資料為買賣主。對被入侵者的電腦檔案資訊加密,進行勒索錢财,然後再給解鑰密碼。經常搞破壞,很多也是通過比特币去交易的。因為可以隐藏身份。這類從深層次說,隻能叫做駭客。
2、商業黑客“打手”:主要是以受聘為主,類似雇傭軍。雇主也是有攻克某一類的資料資訊要求為主。這類通常也是一個組織,高智商人群為主。
3、網軍:主要以G家意志,或者應對其他G家資訊戰而訓練出來的網絡資訊安全人員。一般是團隊作戰,可能某個人或者每個部門負責一個闆塊的事情,比如針對加密解密的,還有程式設計特定木馬的、腳本木馬的、程式設計工具的、嗅探收集資訊的等等。每個環節都可以是一個部門操作。它跟其他的黑客最大的不同就是展現在效率上面。
4、真黑客:這人像幽靈一樣的,你無法了解對方。甚至你看到街邊的某個大爺,甚至在高端寫字樓的地方停車場裡面拿個筆記本的人,甚至隐藏在某個破爛不堪的地方某個角落就是頂級黑客。技術最好的黑客是“來無影去無蹤”一般人很難識别,身份很難讓對方追蹤到。這裡主要是技術交流為主,很少幹壞事。
三、攻擊工具
概括起來分4大類分别是:
1、漏洞攻擊工具
也就是通過伺服器上沒有修補的漏洞來執行特定的權限提升代碼,進而控制目标電腦,前期需要對各種漏洞進行掃描。在本次針對西工大的攻擊中,就利用了這種武器控制了日本、南韓的電信伺服器,作為跳闆機也用了他突破了西工大的網關和邊界路由器。
2、持久化控制工具
如果以做手術來形容的話呢,第一種武器是在身體上劃一個刀口。在身體裡面植入竊聽器,甚至控制器。那美國開發的這種工具還具有自毀功能,是非常難以被發現的。
3、嗅探工具
它主要是用來對付網管從業人員,通過隐蔽的記錄管理人員的鍵盤輸入,進而得到網絡的管理權限密碼。
4、隐蔽工具
這是美國能夠長期作案不被發現的重要手段。這種工具一旦運作起來,就能夠隐蔽特定的檔案和程序。不論是任務管理器還是其他進階工具,都無法發現安裝的木馬程式。那這種工具呢?還可以删除特定的網絡記錄檔,讓網管難以抓住黑客的蛛絲馬迹。
重點說一下隐藏工具,這類主要是木馬後門為主。有些核心裝置,它靠嵌入式程式驅動的。如果在嵌入式程式植入到硬體裡面。這種隐藏度就很好了,幾乎很難被發現的。
一般正常的木馬病毒,隻要不在網絡上泛濫傳播有傷害和破壞力的。一般防毒軟體是很難發現的。因為得不到重視是以有些技術手段進階的黑客做的木馬,電腦中毒後可能幾年甚至十幾年都發現不了的。控制類的木馬病毒分很多種,但是絕大多帶控制權限的木馬病毒,都有服務端和用戶端。
五、網絡入侵防禦
總的原則是:理論上,所有的計算機網絡和移動裝置,都有被入侵和攻克的可能,隻是取決于攻防中間的操作技術水準。是以計算機網絡技術是要不停地學習和更新知識資料庫的。
1、設定嚴格系統權限等級制度
在機關裡面,根據部門和人員職位等級,設定不同的系統通路權限等級。即使黑客拿到部分權限,也不至于快速拿到更大的權限,有效控制入侵的時間周期。
包括外網網際網路,以及内網的區域網路做分離。中間的分離需要做安全機制。
2、設定多層蜜罐和沙盒系統
蜜罐是一種思想
類似的事情也發生在網際網路安全領域。
一個接入網際網路的網站,隻要能和外部産生通信,就有被黑客攻擊的可能——就像飛機在控制無法關停發動機一樣。但是網站能像飛機發射紅外誘餌一樣,用某種陷阱來引誘攻擊者,就可以達到自身不被攻擊的目的。
這種引誘黑客攻擊的“陷阱”就是“蜜罐”。從廣義上看,“蜜罐”并不具體指某種技術,而是一種思想。
舉個例子,在電影《無間道》中,警方發現自己這邊有内鬼但是并不知道是誰,于是假裝傳遞含有内鬼資訊的信封,劉德華飾演的内鬼摸不清底細,冒險去拿了這個信封。
在這個情節裡,這個僞裝成情報的信封就相當于“蜜罐”。
比如在接入工作網際網路的外網和内網,建立多個蜜罐系統。入侵者比如一把刀,給設定幾個虛拟系統,讓他砍西瓜一樣過一把瘾。起到的作用就是消耗攻擊者的時間,以備讓對方留下更多的蛛絲馬迹。為後面的系統維護和追蹤有參考意義。
3、建立檔案系統使用登記記錄
每次使用核心檔案,通路核心檔案都要做好資料記錄,使用時間,使用人數,都要有明确的标準。對于越級通路系統檔案的使用者,如果不是正常授權,一般都能發現入侵者的。
4、設定密碼使用周期,病毒清除周期
對各種計算機的密碼設定不同的使用周期,到了使用時間直接自動更新密碼。對計算機進行正常的病毒清除,目的是防止一般性的病毒。
對各種核心的資料檔案進行加密,統一配制解密密鑰。對密鑰給予不同的操作人員。
5、正确合理使用端口,關閉不必要的端口
針對不同的部門和工作崗位,計算機使用的權限不一樣,使用的端口全部關閉。針對需要使用的端口才打開。最好是專機專用,這樣有利于設定服務端口開放情況。
6、服務權限設定
針對不同部門和崗位的計算機進行不同的權限設定。不管是端口和服務,都要針對每台權限共性的計算機進行分别做好權限記錄。并且做成檔案目錄的形式。這樣有利于網絡安全管理人員定期對系統進行維護。每次都檢查該開的服務是否運作正常,不該開啟的服務是否悄然開啟,是否又陌生的服務程序。
隻有建立原版系統目錄,系統維護的時候正确校對即可。正常服務運作是否正常是判斷系統服務是否被改名替換成病毒的僞裝檔案。
7、紙質檔案管理機制
針對這類檔案建立有科學的管控機制,哪怕是廢紙都不能亂扔,要建立統一的紙質文檔銷毀機制,因為網絡攻擊者可以通過碎片化的資訊推理出完整的資訊鍊路。
8、電話通訊裝置管控
有些是帶有欺騙式攻擊的,在計算機網絡攻入不了的時候,通過電話通訊裝置工作撥号方式可以達到擷取對方資訊,達到攻擊的目的。
9、對移動儲存設備進行管控
對于移動硬碟,U盤等儲存設備,有必要進行殺毒後再轉到安全計算機使用。對于外帶的儲存設備,需要嚴格設定安全使用方法。因為你外觀系統有多牢固,隻要内網的儲存裝置帶了病毒木馬,也會中毒。計算機收到控制。
9、經常地進行相關安全人員進行教育訓練學習
對相關的負責人進行計算機網絡安全教育訓練,了解計算機底層架構,系統服務功能,程序,端口服務權限,各類程式設計學習,腳本程式設計學習。真正的技術大牛至少要5-10年的學習周期。甚至更長的時間。
10、一定要打造屬于自家的系統
雖然做自家的系統很難,但是這個路一定要走。剛剛說了,系統在建立的時候是可以開“後門”如果你對系統不了解。那麼你就不了解對方的“後門”比如對方要檢視權限的時候,隻要通過“後門”進入自己家裡一樣的。後期可以通過系統更新,重新安置“後門”。
計算機和通訊裝置從安全的角度來說,一定要用自家的,除非對安全不夠重視。願意讓人插管子抽膽汁,甚至抽血。
11、打造計算機具有免疫系統的環境
攻擊和防禦永遠是對立的,就像病毒和疫苗一樣。如果沒有相關的病症,也不會出對應的疫苗。攻防之間的關系永遠存在。如果這種關系不存在了,那麼識别會對整個網絡存在隐患。
比如防毒軟體沒用了,那麼病毒就猖獗了,那麼一個低級的病毒都能在網絡上橫行。就比如一個小小的破傷風,可能也會要人的命。
病毒越加進階,編寫人員技術越高,對應的殺毒技術也會逐漸提高。整體就提高了人員的素質。防毒軟體免費不一定是好事,從商業的角度說,一個重要服務免費,意味着該方面的各項投入會減少,因為他産生的價值有限。
如果防毒軟體的更新慢,包括病毒庫更新頻率,病毒運作行為,病毒特征碼。一個進階的木馬病毒,通過刻意僞裝運作行為,防毒軟體沒有該類病毒的特征碼,幾乎是發現不了的。有人做過測試,用以前很老的病毒進行反彙編,做免殺,十幾年防毒軟體都發現不了。
在網絡入侵裡面又一個名詞叫做注入攻擊,一個叫做“旁注”的,也就是說你的計算機伺服器在怎麼安全,但是你處于的伺服器,計算機組領域是不安全的。那麼攻擊者可以通過你的不安全的“鄰居”來開啟你家的計算機控制權限。你能確定自己是安全的,但是你無法確定你身邊的人是否安全。是以整體的網絡安全意識要逐漸提高。
比如網絡的外圍裝置制造商,路由器的,交換器的,攝像頭監控的,各種應有軟體管理系統的。任何的軟體都會有漏洞,隻是看你能不能發現,站在不同的角度去發現。有些裝置确實功能是很多的,在采購的時候要根據實際的功能需求做選擇。有些功能多了反而存在安全威脅。
有些計算機的安全系數高,但是因為周邊的外圍裝置有漏洞,進而給入侵者開了一個口子。直接就被對方拿到進階權限了。及時更新更新檔很重要,包括各種裝置。
11、防止操作間諜
以上是至于實體機器裝置層面,最快的入侵方式就是,内部人員。除了對内部人員做安全教育訓練,還需要做安全規則教育訓練,選人錄用人的規則。防止間諜人員,輕易拿到權限。這塊是最難發現,也是比較難杜絕的。考驗的是管理人員的智慧。
從計算機網絡出現開始,網絡安全就一直存在,了解網絡安全,才能真正做到攻防自如,才能防止資料不丢失,不損壞,不産生不必要的損失。作為安全人員,你隻有學會“入侵”才會知道怎麼做防禦。