数据泄露事件及其所导致的后果已成为老生常谈,并且这一威胁没有丝毫减缓的迹象。您如今所面临的威胁是由深谙技术之道的犯罪分子利用高级技术以精准的定位直击您可能不知道的自己网络所存在的漏洞。
Intel Security 在 2014 年黑帽大会上对与会者做了一项调查,76% 的与会者将高级恶意软件视为一个大问题,37% 的与会者每周至少要花 10 小时来应对安全威胁。
Intel Security将从剖析网络信息窃贼惯用的五种常见攻击方法出发,帮您了解犯罪分子偷窥您网络的方式、如何利用该信息来维护您的安全配置,以及最大限度减少遭受数据窃取的方法。
一、浏览器攻击 —— 当您盯着浏览器的时候,他们在寻觅可乘之机。
数据窃贼知道您的员工何时使用网络以及违反 IT 安全规定的行为。这就是他们使用大量网络钓鱼电子邮件、社会工程和隐蔽强迫下载来引诱不谙技术的员工泄露数据的原因所在。
浏览器攻击的特点:
不谙技术的用户
充分隐蔽的恶意软件
用户对遭受攻击毫不知情
如何应对?
不要接触含有不恰当内容的网站
防范隐藏在JavaScript和Adobe Flash内的恶意软件
借助类似 emulation 的技术模拟浏览器环境,即时了解传入文件意图
转变整体安全模式,采用可随您需求变化而扩展的下一代安全解决方案
二、逃避型攻击 —— 如果存在漏洞,他们一定会找到它
无疑,安全解决方案比以往更加高级和智能。然而攻击者同样如此。犯罪分子利用逃避技术迷惑网络设备、绕过检测或对其存在加以掩盖。他们知道抵御安全防御的最佳方法是根本不与其交锋。
攻击者如何逃过您的安全防御?
在网络交付过程中隐藏。利用高级逃避技术 (AET),通过将含有恶意软件的文件包分解为难以检测的模式来逃避网络检测。
在分析过程中休眠。恶意软件知道何时会被置于沙箱中,并保持静默。
回调过程中保持隐蔽。一旦到达终端,高级恶意软件会避免异常行为或使用随机的回调连接来逃避安全设备并继续进行恶意活动。
如何应对?
发现隐藏的交付模式。对网络会话从始至终进行不间断跟踪和检测,及时发现并拦截复杂的逃避连接方式。
强化分析。检测恶意软件中的潜伏代码使沙箱能够发现隐藏的恶意行为,并增强检测率。
检测并连接回调。智能连接跟踪能够了解并拦截隐藏的回调方式。将网络流量与来源终端流程关联有助于确定欠缺智能的方法一般会遗漏的恶意连接。
学习经实践验证的专业知识。当您规划您的防御时,采用那些在抵御逃避攻击方面经过实证有效的技术和解决方案。
三、隐匿攻击 —— 充分了解自己
去年,黑客通过在线犯罪活动获得的收入预计达 25 亿美元。正因为这种巨大的回报,网络攻击的热情前所未有的高涨。因此,极其复杂、高级的威胁层出不穷。它们知道您的弱点,了解您安全状况的方方面面,并且能巧妙地隐身。防范这些威胁需要您整个安全网络的协作。
隐匿攻击的特征
欺诈是惯用伎俩。隐匿攻击在到达终端目标前会伪装其意图。
它们会做足功课。长达数月的研究使攻击者能够透彻了解网络和基础设施。
当心个人设备。攻击者会利用 BYOD来由内部渗入受保护的网络。
青睐信息过载和孤立的安全保护。超负荷工作的 IT 员工往往错过这些有针对性攻击的微弱信号,因而使攻击更快得逞。
如何应对?
发现未知攻击。沙箱技术有助于了解传入文件的意图,能够帮助发现未知和隐匿恶意软件。
关联至关重要。所有外围网络安全设备需要与沙箱技术通信以弥合安全间隙。
创建整合的防护系统。所有安全设备应当通过实时共享和彼此了解来打破数据孤岛。
破除条块分割。尽管各个技术都能识别攻击,但只有共享和了解环境的互联方法才有助于拦截威胁和攻击。
四、SSL 攻击 ——有时,它们隐藏在非常普通的地方
对于阻止攻击,可视性决定着一切。尽管 SSL 和加密已成为安全通信的基础,它们还是为攻击者提供了新的通道。
在数据窃贼看来,使用您网络中已经可用的现有加密信道是模糊攻击以逃避检测的有效方法。因此,攻击者实质上是将您的防御反制于您。可以阻止吗?当然可以。不过,您需要实现检测能力与网络性能间的平衡,这可能比较复杂。
SSL 态势调查
随着越来越多的业务应用(云、社交媒体)采用加密技术,黑客有了大量隐藏之所。
恶意软件和有效负载可通过加密提供,因而能够绕过客户端检测。
当通过不能被检测的 SSL 连接时,简单、退化的攻击重获新生,因而攻击者变得更加高效。
如何应对?
您需要更好地掌控加密流量。
能够检测加密流量不应以牺牲网络性能为代价。不应当损及重要网段的吞吐量。
将 SSL 检测与其他安全技术相集成提供可针对隐藏攻击的高级检测。
五、网络滥用 ——他们喜欢攻击您的薄弱之处
企业很大一部分的日常运营要依靠互联网来实现。如果今天您的网站消失了,会产生多大的影响?危害极大?答案是肯定的。数据窃贼对此也心知肚明。这就是网络和资源滥用成为最常见网络攻击类型之一的原因。
滥用的特征
不受欢迎的来宾。在 DDoS 攻击中,服务器收到大量连接请求或者特制的连接请求。
耗费资源。服务器资源完全、彻底地失效,使其无法处理正常流量。
真实动机。DDoS 攻击往往被攻击者用来在溜进后门时分散 IT 管理员的注意力。
您会被劫持。DDoS 攻击通常伴随着勒索。
如何应对?
了解您的流量。需要深度检测客户端数据包以全面了解攻击您 Web 服务器的滥用流量。
注意流量中的变化。您需要定性分析来识别流量方式中小的但通常经过伪装的变化。
获得全面的可视性。由于攻击通常隐藏在加密流量中,因此,您需要 SSL 可视性。
高效而智能。将滥用流量过滤与高端检测技术的威力相结合,以提供最佳的防护解决方案。
我们共同应对
随着新的威胁事件不断被公告,安全的现实状况是企业在努力寻求安全问题的解决之道。转变您的观点,重新构想网络安全正当其时。了解我们所面临的五大攻击方法以及如何加以应对是关键所在。添加越来越多的装备并不能减少威胁媒介的数量。您最好是在您已有的安全解决方案之间实现互通和协调。
由于威胁在不断变化,您需要一个能够随着您的需求变化而扩展的平台。当您选购这样的平台时,要确保选择投资于技术并且有着可证明的成功业绩的厂商。