破壞總是比建設容易,傷害必然比愈合簡單。攻擊者潛入地下小心準确地突破企業防線,紮根資料存儲不斷吸取重要資訊,擷取巨大經濟利益,也總是比企業構築防線要容易得多。
企業與網絡罪犯之間拼的就是軍備。就算不妄想扭轉局勢占據上風,僅僅維持現狀,公司就必須時常構築防線。
通過分析深網、駐留時間,以及二者在網絡安全勢力平衡中的角色,可以得出:想要更好地武裝企業人員,可以采取雇用黑客和提升員工社工/網絡釣魚教育訓練有效性等防禦行動。
一、深網黑暗面
出于安全或隐私等多種原因,深網站點主人不在目錄和搜尋引擎裡索引他們的網頁屬性。深網論壇的犯罪黑客也規避網頁爬蟲機器人以最小化人們對他們不法行動的感覺。(人們通常會把深網的這個部分與常被稱作暗網的地下網絡相混淆。)
犯罪黑客使用深網進行隐秘會談喝防禦性惡意軟體的交易。“他們在深網上通過網絡協定加密通信,交易黑客工具包進行騷擾性攻擊以掩蓋真實攻擊。”美國倫斯勒理工學院資料探索與應用研究所所長詹姆斯·亨徳勒教授說道。
網絡暴徒使用最新漏洞利用包、apt方法和零日漏洞等威脅構造真實攻擊,這些威脅被他們深度保密起來,企業無從知曉,也就無法組織有效防禦。最新的攻擊往往不在深網發生,因為攻擊者不願意共享這些資訊。比如說,勒索軟體就是極端複雜的惡意軟體,而這些網絡罪犯竭盡全力掩蓋其來源。
深網還是攻擊者售賣盜取資訊的市場,這些被盜資訊中包括了使用者網上日常習慣和憑證等。犯罪黑客交易的資料涉及誰在用哪家銀行、他們的電子郵件如何行文等,這樣罪犯就不僅僅能在那家銀行,還能在任何使用同一使用者名和密碼的場合假扮該使用者。
“
攻擊者隻需要找到一個漏洞就能登堂入室,安全從業者卻必須知曉、修複和防護每一個漏洞。
除了深網,任何加密機制都能被犯罪黑客用以進行通信,比如加密電話、即時通訊/非官方通訊(otr)和密碼。“密碼有可能是明文文本形式,但又不直接顯示誰被黑了或者何時被黑了。目标/受害者,以及攻擊所用的載荷類型都會有自己的代碼名稱。犯罪黑客會使用這些神秘的代碼交流。”亞速爾網絡安全公司ceo查爾斯·騰德爾說。
攻擊者還會以用過量資訊淹沒信道的方式互相聯系,讓其他人無法從巨量資訊中鑒别出有用的部分。“除非你知道自己想找的是什麼,否則你完全找不到什麼合法交談。”
二、攻擊者是如何獲得駐留時間的
地下網絡犯罪早已積累了衆多可用的被盜資訊,任何網絡暴徒都能随意取用各種各樣的個人身份資訊(pii)和登入憑證,通路更多的系統,盜取更多憑證,然後從新的企業受害者身上搜刮可賣資料。
犯罪黑客可以去大型資料轉儲網站,輸入使用者名,然後找出那個人是否在被盜資料庫中或是某場資料洩露事件的一部分。由于人們通常會重用密碼,如果受害者沒有修過密碼,攻擊者還能用這些憑證登入其他更多網站,得到更多資訊。
攻擊者還能很容易地在物聯網上找到可供他們最終登入企業的漏洞。犯罪黑客利用shodan之類聯網裝置搜尋引擎來查詢地理位置和ip位址資訊,搜尋哪些地方是脆弱點可供利用的。
手握大量漏洞和脆弱點,攻擊者便可靈活應用零日、黑客工具包、惡意軟體、加密通信、被盜憑證等維持駐留時間,在有人阻止他們之前盡可能多地滲漏出大多數資料。攻擊者要麼一次偷運一點點資料以便不被發現,要麼将資料緩存在企業内部其他地方更長時間再一次性秘密駝出來。無論哪種方式,攻擊者都收獲頗豐。
三、網絡安全實力的平衡轉變
犯罪黑客和安全人士之間的實力平衡明顯傾向于攻擊者一方。每次添加新軟體或軟體更新,總會突然爆出新漏洞。攻擊者隻需要找到一個漏洞就能登堂入室,安全從業者卻必須知曉、修複和防護每一個漏洞。
大多數攻擊都從成功的網絡釣魚或其他社會工程方法開始,意味着企業需要尋找讓員工教育訓練更為精準、清晰和有效的方法,産生更為深遠的結果。有些公司設定了相關系統,讓it部門可以從内部發起虛假網絡釣魚攻擊,向員工和各級主管報告成功攻擊,教育員工:隻要不是100%确定郵件合法,那你的績效考核可能也就到此為止了。公司采取此類辦法強化網絡釣魚表征信号識别和避免防禦失敗的重要性,是因為招募員工與網絡犯罪作鬥争和阻止攻擊者侵入公司,都有很長的路要走。
企業需要鼓勵員工在确實點開了釣魚郵件的時候立即上報,以便it/安全團隊可以盡早控制/隔離攻擊。這是比單純懲罰員工的錯誤點選行為更為積極的另一個選擇。
而在進攻方面,企業需要在網絡安全挑戰上應用有經驗的、有能力的、知情的黑客思維。這些專業人士可以專注于諸如犯罪黑客社群對話之類的攻擊資料的源頭,基于犯罪黑客常用端口(如31337)和相應政策實時監視帶外流量。
這些白帽子黑客可以幫助企業堵住漏洞循環,響應并控制攻擊,在與網絡犯罪的戰争中保持積極主動。
堵住社會工程攻擊的漏洞絕不容易,委托白帽子加強網絡安全亦是如此,但這也是資訊安全從業者打擊網絡犯罪義不容辭的責任。
====================================分割線================================
本文轉自d1net(轉載)
![nmap –script 使用:nmap-vulners 和 vulscan出現錯誤 ‘/usr/bin/../share/nmap/scripts/vulscan’ found, but will[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)