Forcepoint™ (原Raytheon | Websense) 2014 威脅報告- APT攻擊手法解析
 

 

精華摘要

 

     2013是網絡安全的另一個不平凡的一年。最先進的安全機構被利用Blackhole的套件開發初令人震驚的資料外洩事件,最大零售商Target及Neiman Marcus招受POS系統的攻擊。新的威脅每月如雨後春筍出現,且使用比以前更新的攻擊技術。

 

     2013 年對網路安全而言可說是多事的一年。從全世界技術最先進的安全機構竟傳出驚人的內部資料外洩漏洞,到Blackhole開發者Paunch 被逮捕後所引發的漏洞攻擊活動的重大變化,再到Target 及 Neiman Marcus 的銷售端系統 (POS) 遭受攻擊,資安議題可說是一刻不得閒。每個月都有新的威脅出現,而且這些層出不窮的威脅總是使用著比以往更為進步的技術、或是採用全新的攻擊方法。

 

     去年這些威脅的成功作祟,證明了「進階式攻擊」與「針對性攻擊」是目前的常態,而非特別案例。本報告中的資料與眾多案例清楚的呈現這一點—Forcepoint™(原Raytheon | Websense)技術在2013 年所防範的超過 41億次即時的攻擊中,幾乎所有的攻擊手法皆展示各種繞過傳統的防護措施、入侵系統的技術,並能受感染的網路中持續擷取機密資料。雖然資料竊取是許多攻擊的共同目的,但攻擊者的動機卻各不相同。財務穫利仍是相當常見的動機,但有些攻擊者嘗試破解資料的理由並非為了金錢。例如,他們是為了摧毀對手公司的資料以削弱其競爭優勢,或是為了破壞公共建設或盜取政府機密。攻擊手法亦大不相同。有些攻擊,例如「皇室寶寶」利用一般大眾對剛出生的喬治王子的高度興趣,針對眾多使用者發動攻擊。其他攻擊則持續傾向進行高度的目標性攻擊活動,例如水坑式攻擊,即是單獨針對中東的金融機構,且從廠商被破解的電子郵件伺服器中僅只送出 10 封電子郵件便釀成災難。

 

     為了更加了解攻擊者如何將動機化為攻擊行動,必須了解他們為了發動或重新啟動攻擊活動所建立的裝置。為了達到此目的,「威脅殺傷鏈」(kill chain) 是個實用的典範,威脅殺傷鏈是攻擊行動者所執行的一系列活動,可滲透組織、在破解的網路中橫行,並盜取寶貴的資料。「威脅殺傷鏈」(kill chain)可分做七個可識別的階段,以協助企業組織作出最有效率的防護策略。

 

這七個階段如下:

 

   • 偵察 (Recon)

   • 誘騙受害者 (Lure)

   • 網頁流量重新定向 (Redirect)

   • 執行漏洞工具包 (Exploit Kit)

   • 安裝木馬檔案 (Dropper File)

   • 自動回報 (Call Home)

   • 關鍵資料竊取 (Data Theft)

 

     我們必須了解,攻擊者使用了複雜的手法,繞過單一或所有階段的防護措施,而且攻擊依著威脅週期行進的時間愈久,資料遭到竊取的風險就愈高。另外,只在一到兩個階段中提供防護的端點安全解決方案,是很難防範快速演進的各項攻擊。2014 年之後有效的安全防護,是需要整合性的解決方案,不但要能在每個階段提供防護,還要能提供含跨全部的威脅殺傷鏈的防護才行。

 

Websense® 2014 威脅報告透過七個階段解釋威脅的發展形勢,這報告將可協助您:

 

   • 了解威脅的生命週期、目前的網路犯罪攻擊裝置與技術,以及攻擊者的動機,可做為了解風險並檢視安全狀態的基礎。

   • 對於攻擊生命週期的每個階段,獲取相關的深入見解,同時找尋線索以了解網路犯罪者是如何進行攻擊、調整攻擊方式,並逐漸、持續地企圖接近您的機密資料。

   • 從最簡單到最複雜的新型威脅中,找出有效的防護,其主要關鍵在於從七個階段中識別並防範即時攻擊、同時有效地破壞犯罪者目前及日後用來嘗試竊取資料的攻擊裝置。

 

     我們產出此報告,主要是透過 Forcepoint™(原Raytheon | Websense) ThreatSeeker® Intelligence Cloud (結合用戶、合作夥伴及超過 9 億個端點的全球性網絡,每天依需求分析30 億到 50 億筆跨 Windows、Mac、Linux 及行動系統的內容) 所收集的資料整合而得。

 

 

 

 

 

攻擊新的標準

 

     進階的攻擊發生的頻率越來越高。由ThreatSeeker得知,每秒有2.3種型態的變種出現。在這種情況下,這些攻擊可以簡單的遶過組織的防禦系統。然而,最重要需要注意的是,簡單的欺騙性誘導,它往往隱藏著一個複雜的入侵手段。事實上,在追求高價值目標的高度複雜的攻擊通常會繼續精進的發展Kill Chain的七個階段的攻擊,直到它能夠順利入侵。

 

在有針對性的攻擊的領域裡,網絡罪犯正瞄準攻擊是在以下的範圍:

 

   • 特定人群(在一個特定的政治色彩的使用者)

   • 地理區域(在一個特定的地理邊界的用戶)

   • 團體(與用戶共享身分或聯繫的人,如業務相關,共享的人際習慣等)

   • 單一的個體(選擇的戰略價值的用戶)

 

 

 

 

 

日益複雜的攻擊生態系統

 

     明顯的簡單攻擊,也是另一種意義。所有的攻擊者,他們的動機和技術有非常的多樣化的發展,而這些複雜性的技術繼續增長。在這種攻擊的生態系統,特定的攻擊的技術不斷地被開發,增強了整個威脅生命週期。如前面所述,這個組織由必須由以下單位來執行攻擊。對一個常見的攻擊的調查可以了解其複雜性。

 

例如,建構一個大型殭屍網路的要求:

 

   • 聯繫人的聯繫資料或收集服務器的資訊(用於水坑攻擊) 。

   • 電子郵件或網絡的交易機制。

   • 社交工程的引誘觸發內容。

   • 重新導向服務器和掩飾目的地位址。

   • 託管惡意內容的服務器和網站漏洞分析及惡意軟體。

   • 命令與控制( C&C )服務器和目標性網域偵測行動,並進一步滲透。

   • 學習資料竊取手法。

 

     這些攻擊手法經常重複使用在被攻擊成功後的組織,攻擊者會更新某些部分 - 甚至整個攻擊行動 – 組織攻佔以準被下一波攻擊。攻擊的生態系統,它變得越來越難以確定攻擊的來源。許多專家和機構聲稱能夠精確定位攻擊來源,但很不容易輕易判別。以Zeus攻擊,攻擊元件使用多個重新導向網站的手法阻止識別攻擊的來源。

 

 

 

 

 

了解動機是關鍵

 

     了解網絡犯罪動機的「威脅殺傷鏈」Kill Chain的每一個階段是必要的,了解複雜的網絡威脅並知道如何正確地防預進階的攻擊。

 

     在駭客黑市可以獲取經濟利益的機會比比皆是。被竊取的憑證、入侵系統、入侵的web服務器或網頁、新的漏洞,所有攻擊的資料皆有一定的價格。需要注意的是這裡究竟有多少的Actor在這一個市場上。 (“Actor”表示能提供任何人試圖做一些惡意威脅攻擊手段的組織或是駭客),在這黑市中,也有一些Actor可以提供一個或兩個關鍵服務或技術,讓其他攻擊者可以利用。此外,勒索軟體,網絡罪犯能夠把資料當作人質 – 企業組織的擔心資料被破壞,介此以ㄧ定價格支付被綁架的資料。

 

     不是所有機會都需要在攻擊手法中使用這七個階段。 “內部攻擊”,例如,Transpires 只屬於第7步驟 (數據竊取)的範圍。另一個例子是一個誘餌釣魚的一個網頁要求用戶憑證,這是第2步驟(Lure)的範圍。此外,許多複雜攻擊的目標是資料,而不是金錢。有時候,攻擊者尋求的基礎設備的控制權。其他時候攻入組織後,偶發的對於組織做出簡單的佯攻。

 

     下一節將介紹網絡駭客的動機在每七個階段是如何變化的,並顯示出個別階段的防禦方法。

 

 

 

 

 

 

第1階段: 偵察 (Recon)   top

 

描述

 

     偵察可以是簡單的或複雜的過程,其中的技術是為了後續攻擊做準備。偵察方法有兩種,一種方法是透過攻擊以外的領域,就如網絡犯罪分子利用個人、專業、社會媒體做為研究擬定受害者網站。另一種方法使用多階段攻擊。

 

動機

 

     第一種方法,攻擊者透過搜尋的手段,幫助他們模仿看似信任的“引誘”信件或是網站。

 

     第二種方法,網絡駭客試圖滲透到企業網路,取得用戶憑據或其他個人身份訊息,用來銷售到網絡罪犯使用的黑市。

 

執行

 

     廣義上,網路駭客利用七個階段攻擊模型作為資料收集的工作,他們為了維運整個新威脅生命週期,須確保設備可持續攻擊,透過收集到的資訊,製作更先進的目標性攻擊。駭客的偵察變得更加複雜。除了需確定目標,透過社交工程中最薄弱的環節,發送一個引誘的郵件與利用系統弱點,作為一個偵察的演練。例如Mevade攻擊行為會在程式中裡面裝反向代理,並建立匿名的惡意軟體,隱藏於電腦中。持久性也使得感染橫向移動,建立另一種形式的附加資訊資料庫、關鍵系統、源代碼和文件檔。有了這些信息,網絡駭客可以建立新的威脅。

 

建議對策

 

     偵察階段通常是早期階段。因為他們還不知道究竟目標是誰,放誘餌分析目標,以了解防禦能力與軟體佈署狀況。因此教育用戶是一個重要且有效的防禦階段。教育員工,”如果你看到一些不同尋常的訊息,該如何處理”。最危險的階段在於事後處理,設備需在偵察階段可早期預警,並且在每個階段監視,注意所有安全事件,此活動可以幫助您確定受到攻擊,及確認是否有多階段攻擊的形成。

 

     您還需要了解企業架構及合作夥伴資料流向,確保誘餌在每資料流上可被攔阻保護。此外,需定義標準的電子郵件、網絡、資料和雲端安全,並且建議你的供應商及合作夥伴也有相關的防護措施。

 

 

 

 

 

 

 

第2階段:誘騙受害者 (Lure)   top

 

描述

 

     透過分析所收集的偵察資訊,網路駭客建立網頁和電子郵件伺服器誘惑連結,再利用黑市或透過其他攻擊,導致用戶被攻擊的現象,達到網路駭客引誘的目標,讓使用者在行動中誤入陷阱。

 

動機

 

     在這上述情況下,誘餌的目的是促進用戶輸入帳密或其他個人資訊,那麼網路駭客就可以在之後的攻擊階段或其它的攻擊階段充分利用及賣到黑市上獲取金錢。

 

執行

 

     誘餌是透過電子郵箱、社交媒體文章、移動設備或其他內容的方式偽造讓人看似可以信任。所以這邊使用的誘餌是最近發生的新聞,如社會新聞、名人新聞,用來吸引人類的好奇心,透過社交工程原始的形態。通常情況下,引誘較為複雜,他們需要繞過組織防禦的措施,並且熟悉目標以及對其中攻擊對象的熟悉程度。攻擊可能透過網際網路上找到切入點的一個系統在更微調攻擊。

 

     水坑式攻擊是一個“沉默型”的誘餌,攻擊者透過高流量的網站,並依靠現有的合法的內容來吸引用戶瀏覽。2013年這種攻擊被廣泛利用,網絡駭客利用安全網站來減輕用戶防禦心理,當他們瀏覽熟悉的網站,毫無戒心的用戶立刻點擊網絡路徑接觸誘餌。社交工程釣魚郵件演變得更加先進。如: 利用FOX新聞為主題的活動當作釣魚郵件。超越典型的使用單一的URL釣魚,電子郵件中包含眾多時事及相關各種新聞議題。

 

     總體而言,在2013年85%的惡意鏈接在網頁或電子郵件攻擊中被使用,分別攻擊合法網站,所有垃圾郵件的3.3%包含惡意連結及惡意內容,後者的數字可能看起來不是很多,但是由於企業會遇到大量的垃圾郵件,代表風險依然不得掉以輕心。

 

建議對策

 

     傳統防禦的方法在現今的威脅環境,使用者教育訓練仍然是防禦誘惑的第一站。然而誘惑不斷出現的電子郵件管道(例如,社群媒體和網頁),以及相關技術的成熟,甚至超過了明智的用戶實際知識。識別引誘技術,防禦網絡駭客仍然是重要的資安政策。知道誰是攻擊者,他們如何進行攻擊,他們的目的是什麼,可以幫助你加強基礎防禦政策。但是,儘管打斷攻擊者進入您的網路,對它來說或許更重要的是獲得重要資料的嘗試。例如透過新聞文字來傳播、共享內容、周邊新聞等等。以上攻擊模式出現時,企業可以利用這些潛在的指標來防禦未來的攻擊。

 

 

 

 

 

 

 

第3階段 : 網頁流量重新定向 (Redirect)   top

 

描述

 

     在誘惑過程中,網路罪犯可能會透過合法網站將其 “重新導向”用戶到含有漏洞的網站,透過工具包利用代碼混淆腳本或其他惡意內容。

 

動機

 

     網路犯罪分子使用重新導向不僅掩蓋自己的身份,也隱藏攻擊 。

 

執行

 

     網路犯罪分子使用”重新導向”掩蓋自己的真實意圖。從一個簡單的URL重新導向,通過網路釣魚的電子郵件發送給客戶並且內部夾帶一個釣魚網站,就如同URL重新導向是一樣,悄悄地依循威脅週期的目標下載惡意軟體。 使用傳統的靜態檢測方法,看起來目的似乎是合法的。但在現實中,已經進入攻擊者控制的範圍。

 

     一個最好的例子,在2014年駭客對Yahoo做”重新導向”的攻擊,駭客對Yahoo使用無數的重新導向, 並且利用工具及Java的漏洞安裝惡意軟體,包含ZeuS、Andromeda和Dorkbot/ Ngrbot等攻擊。導致每小時2.7萬人感染 ,雖然Yahoo在短時間解決了這個問題,但是已有數以百萬的客戶受到了影響。Yahoo遭入侵的廣告伺服器明顯是罪魁禍首,Yahoo使用者依照平日使用Yahoo的習慣,以為前往合法目的地,卻不知已被導向到非法網站。

 

     網路犯罪分子使用”重新導向”,意味著須耗費非常多的時間和精力投入大筆資金建製和設置攻擊合法網站,將其主要網站程式受到損害,使用者看是連線到合法網站,而背後通常是一個惡意伺服器。”重新導向”往往容易被隱藏於正常的網頁瀏覽行為。

 

     重新導向已經變得加精密,重新導向的的技術非常驚人 可達到10、20或更多的“重新導向”,被用來規避駭客的真實意圖。以一個以色列網站”重新導向”的例子。一個使用基本的HTML撰寫的網站,利用Adobe和Flash文件”重新導向”,另外兩個導向到惡意網站,此 4個”重新導向”,最終重新導向資料被重組成惡意軟體用於給受害者。

 

建議對策

 

     防禦與即時查看兩個網站信譽評等,並且將有問題網頁判斷至封鎖網站頁面是防禦這一階段攻擊重要的技術,因為傳統的URL過濾防禦,透過較緩慢的信譽評等是無法防禦的。過去掃描過的網址不能真實的表達及時的威脅,現今網路變化快速。你不能期望信譽評等是絕對準確的。

 

     不管有多少”重新導向”的攻擊,只需要停止其中一個重新導向就會停止了整個攻擊。而這樣做將會嚴重打折此類攻擊。設置一個”重新導向”網路是相當困難的,所以這些”重新導向”網路通常會出售和共享在黑市上。每當一個”重新導向”網路被打破,這些依賴它的網絡駭客會把程式送回”重新導向”網路的設計者。

 

 

排名前10名的重新導向主機

 

     偽裝惡意軟體的最終位置,一開始”重新導向”目的地通常是被隱藏在合法的網站內。

 

   1.網頁and 垃圾郵件

   2.性

   3.駭客

   4.非法 or 可疑的網站

   5.商業and 經濟

   6.資訊科技

   7.購物

   8.旅遊

   9.娛樂

   10.廣告

 

 

 

 

 

 

第4階段 :弱點偵測工具 (Exploit Kit)   top

 

描述

 

     一旦受害人連到此惡意網站的連結時,漏洞偵測工具便會掃描受害人的系統,尋找系統的漏洞或零時差的威脅。

 

動機

 

     網路罪犯尋找這些可以被用來作為後門傳遞惡意軟體、鍵盤側錄或其他進階工具的漏洞,讓他們未來可以滲透、偷取資料或操控系統。他們也會尋找並繞過靜止的防禦系統,藉由他們改寫工具使其保持並超越防禦系統的安全更新。

 

執行

 

     漏洞偵測工具仍是一個常見被用來入侵目標的傳輸手段。他們發展日益複雜、迅速,也包含新的安全漏洞使其難以被偵測。並為以後的攻擊生命階段傳遞特定的威脅,諸如瀏覽器、自定義應用程序和任何使用者可能會使用的。

 

     Java Runtime Environment(JRE)其記載已知和零時差的風險,在2013年,大多數會以Blackhole(黑洞)的漏洞偵測活動為最大宗。它的成功有部分歸因於它通常在一周內可以發現並建立新漏洞的速度。但隨著黑洞的開發者”Paunch”被逮捕,迫使地下犯罪開始演進,嘗試多種不同的漏洞偵測工具(例如Megnitude and Neutrino)以找到合適的工具取代黑洞。

 

     在Paunch被逮捕的一周內,Forcepoint™(原Raytheon | Websense)的研究人員注意到被網路犯罪所利用的各種技術開始急遽增加。先前引導至黑洞漏洞偵測工具的惡意郵件連結被重新導向,例如,開始指向Megnitude漏洞偵測工具。進一步在短時間內以直接郵件附件的攻擊機制為主。網路罪犯從而證明了他們並不會因為沒了黑洞就可以阻止他們的意圖。

 

     Java的漏洞和缺乏更新,使得攻擊者在偵測目標漏洞的挑戰上更加容易。在2013年Websense兩次研究發現Java運行的進階威脅。

 

在這些案例中,結果令人震驚:

   • Java新版本發布後的一個月,採用的僅只有7%。

   • 在其他報告中,31%的系統採用過時一年甚至更久的Java版本。

 

     這種缺乏Java更新建立出給予網路犯罪豐碩的環境,高達94%具有java功能的瀏覽器容易受到最新尚未修補的漏洞影響。

 

建議對策

 

     大多數傳統防禦系統被繞過,一般的漏洞偵測工具都具修改以便繞過現有防禦;注意這些僅需要一個增量的變化即可使這些傳統防禦系統失效。因此,了解這些漏洞偵測工具的變化以便有機會能建立程式去阻擋漏洞偵測工具是至關重要的。

 

 

 

 

 

 

 

第5階段: 安裝木馬程式 (Dropper File)   top

 

描述

 

     安裝木馬程式是用來傳遞並安裝於系統或終端裝置上的階段,使攻擊者可持續並派送攻擊的物件。

 

動機

 

     這是攻擊者為了要能獲得系統或終端的控制權的攻擊點。木馬程式可能包含受害者系統的軟體程式,該木馬軟體會開始藉由建立受到被入侵的設備與駭客通訊,來實現攻擊目標的目的。木馬程式通常建立的目的是持久存於被攻破的系統上,轉變成為系統上,提供攻擊者橫向移動的手段。

 

執行

 

     迄今為止,最普遍(和最有效)的木馬程式繞過技術是將他們的程式碼製造瑣碎細小程式,用來改變來打擊傳統反病毒產品的特徵碼。除此之外,惡意軟體會檢查某些非標準正常環境和由分析器所安裝而不能完全匹配的應用程式(甚至同一應用程序或.DLL檔案的不同版本),這是網路駭客所採用繞過傳統的防禦機制。木馬程式會建立被入侵系統與攻擊者之間的直接連線。他們使用兩種防禦繞過機制:靜態與行為。

 

     快速的變化使木馬程式能夠輕鬆地躲避掉傳統特徵碼基礎的防禦措施,例如防病毒軟體,這類通常沒有即時更新特徵碼的防禦措施。

 

而鑒於越來越多檔案沙箱的運用,大幅出現了行為躲避技術以躲避沙箱,包含:

   • 有惡意行為前,使用時間延遲

   • 測試與人的互動,確保環境不是自動化或模擬環境。

   • 探測虛擬環境的指標

 

     每種技術都會有它的優劣,網路罪犯會持續演變他們的手法直到沙箱無法偵測他們的意圖。

 

     此外像是勒索軟體,例如Cryptolocker的利用在增加中。勒索軟體並不會竊取資料;他們的目標不在偷竊資料,但會阻止用戶存取自己的資料直到他們付出贖金。因此,勒索軟體的攻擊者不需要全部七個步驟都成功。

 

建議對策

 

     因為傳統靜態防禦機制本身不足以解決此階段的安全性,而且由於增加了沙箱躲避技術,最好且最積極防禦策略是可以包含即時防禦掃描的機制,使其能辨識目前行為特徵、傳送機制和此物件的相關內容(例如誰簽署的、原始網域、信譽評等等…)。

 

 

 

 

 

 

第6階段: 自動回報 (Call Home)   top

 

描述

 

     一旦木馬程式感染到目標系統,便會「回報」給指揮與控制伺服器( C&C )以下載額外的程式、工具或指令集。

 

動機

 

     網路犯罪者會有許多動機-像是散佈垃圾郵件、通過網路橫向移動進行偵查、進行服務阻斷攻擊(DDOS)或者偷竊資料-這些動機在攻擊的每個階段都能改變。指揮控制設備能進行轉移到另一個設備,這也使其能一次提供複數不同種類的攻擊,且也能同時讓一些攻擊者能重複利用。

 

執行

 

     網路犯罪者試圖逃避許多方面的 C&C 偵測,像是Mevade攻擊是安裝權重代理器(full-weight proxy)使網路駭客能透過隧道穿越NAT環境並啟動後門。這也證明Mevade (和他極為相似的Sefnit) 透過Tor來提供幾乎完全匿名的技術給攻擊者。

 

     由於證書的開銷,在C&C使用SSL是非常罕見的,常見的是選擇工具並建立自定義的加密連線來隱藏攻擊者與受害者的連線。我們也尋找到越來越多的對外連線至C&C的重新導向,網路罪犯由透過合理的位置來移動資料以避免被偵測。這些位置不知不覺會重導向跳到隱藏的最終目的地,透過使用已知安全廠商的動態DNS,這些重新導向的背後惡意,越來越難被查明。

 

     為了更進階的攻擊,初始的C&C往往是簡單的向命令中心回報位置的一個指標。

 

建議對策

 

     為打擊 C&C 的通訊,掃描對外通訊流量是很重要的,監控所有SSL/TLS、非SSL/TLS的流量,並要有目的地感知防禦-這些功能在傳統防禦產品都是缺乏的,這樣的防禦是特別關鍵的,因為根據內部研究發現客戶的流量,30~40%的企業流量屬於SSL/TLS,40%都是利用SSL/TLS在瀏覽熱門的網站(例:Facebook、Google、Twitter、Yahoo)。

 

 

 

 

 

 

第7階段: 關鍵資料竊取(Data Theft)   top

 

描述

 

     現今網路攻擊的最終目的,完成整個威脅鏈路「threat kill chain」為資料竊取階段。

 

動機

 

     犯罪組織目的在偷取智慧財產、個人資訊或其他有價值的資料牟利或使用於其他攻擊,有時亦會是破壞性的攻擊。

 

執行

 

     比起其他階段,資料竊取階段發生的事件是相對較少的,但是卻可能產生最嚴重的後果。常見的有效的資料竊取發生在單一的事件-全部資料被拿走,但資料竊取也會發生隨著時間緩慢進行的水滴式資料洩漏活動(Data drip)。不管在何種情況,這個階段是你最後防禦的機會。

 

     關於 C&C ,加密在這個階段是很常見被利用的,然而不像 C&C ,利用SSL比自定義加密的情況越來越常見,尤其在資料洩漏事件,攻擊者利用第三方的網站(例:Dropbox、社群網站)當作他們存放資料的地方以避免被掃描為資料洩漏事件。

 

資料竊取往往是許多前期偵查、分階段和合作活動的產物,這些最終導致資料在多達三種方式下被洩漏:

   • 透過明文(in-the-clear text),當出現合理、大量的資料流量時這是容易被防禦機制監測到的。

   • 透過SSL/TLS,這是日益常見的資料傳輸機制並且需花費較多的成本來監看。

   • 透過發送至合法資料管道的自定義加密檔案是不可能有效地掃描的。

 

     資料可能會以各種企業可以使用的管道被洩漏,最常見為HTTP、HTTPS,但也有其他的例子,在2013年,美國第二大零售商Target Corp.被攻破,資料透過FTP被竊取。

 

     水滴式資料竊取(Drip data exfiltration)為用作繞過資料安全機制的技術在日益增加,預防一次性大量搬出資料觸發資料安全機制的閥值(thresholds),在水滴式資料竊取的情況下,資料會被發佈在較小的bites,呈現出對資料安全機制來說正常運行的流量。藉由保持在特定閥值之下,資料竊取會長時間持續進行一段期間。

 

建議對策

 

     相對較低量的資料竊取事件會使得偵測他們變得更具挑戰性,但是他們發揮的潛在破壞使他們是最為關鍵要被偵測到的。你最好的防禦機制用以抵抗資料外洩是去防禦在攻擊生命週期內的其他六個階段,但即使在最終階段,設備也要有上下文標記來協助你決定組織的風險和如何修復當下及未來的資料安全事件。

 

     傳統的資料外洩防禦(DLP)解決方案處理的靈活性和監管問題是很重要的,但是這些並沒有解決活動中的資料被外洩的意圖。最好可以捕捉到這些存在的意圖的技術在完整的資料竊取防禦(data theft prevention, DTP)解決方案,包含:掃描出站內容的專利資料、利用OCR技術掃描圖檔、利用水滴文件保護(data drip protection)技術可辨識到緩慢的資料竊取。

 

     DTP其他包含掃描監控全部明文和SSL/TLS的資料活動並阻擋所有非標準加密方法也是重要的一層。

 

 

 

 

 

一種統一的方法來防禦Kill Chain    top

 

     在這七個階段中,我們已經討論了許多對策建議方法,這些都是非常重要的知識。每個階段執行相關的設備和地理環境,這是重要的信息。然而,只把防禦建構在任何一個階段或單點解決方案是不夠的。相反,它是考慮一個整體防禦非常重要的七個階段,並給與使用Web、電子郵件和移動安全整合的基礎設施。有一個額外的點要考慮的是強調了一個全面的方法的重要性。當攻擊模型的每個階段都代表一個機會,讓您的組織應對威脅,他們也提供攻擊者有機會繞過你的防禦。如果你的防禦在某個階段是不存在的,您的組織仍然很脆弱。

 

     透過威脅攻擊的各個階段,你可以觀察到攻擊前、攻擊中和攻擊後整個威脅生命週期,評估每個階段的威脅,並配合相對應地解決方案。這些技術也可以產生威脅情報資料,讓您意識到未來的攻擊。

 

 

 

 

 

結論   top

 

     現今幾乎所有的網絡攻擊都透過複雜的架構和工具,網絡罪犯能夠迅速推出新的攻擊,從而避開傳統的防禦系統。最好的防禦方法是了解攻擊手法,藉此提高你的防禦等級。一個很好的起點是可以把威脅的七步驟分割。這種分割提供了一種結構,不僅了解攻擊者的工作原理,同時也可以加強組織防禦工事,在每個階段和所有階段。此外,知道攻擊者的動機,提供犯罪行為為的觀察力和預測下一步的行動是至關重要的能力。同樣重要的是要了解攻擊的真正本質。大多不是針對性很強的APT的攻擊,因為犯罪分子往往缺乏每一個階段的技能和資源。相反,大多數攻擊證實,過去成功的入侵威脅,旨在使用最低限度的能力,以繞過簡單的政策。潛藏的機會 - 如果你今天阻止了攻擊的每一個階段,你就有能力中斷下一波的攻擊。

 

 

 

 

 

資安知識不可少,小心謹慎保荷包!掌握個人資訊安全,湛揚科技將與您同步關心。

 

【文章來源:Websense

Websense 資安Lab