网络战争、网络破坏及行业间谍
目标性攻击是威胁形势中不容忽视的一部分,如何抵御此类攻击业已成为 CISO 及 IT 经理的主要关注事项。行业间谍通常使用目标性攻击,从遭破坏的计算机系统或网络上获取机密信息。目标性攻击虽不常见,但可能是最难防御的攻击类型。
如无充分证据,很难将攻击归咎于特定组织或政府。有时,攻击者的动机和资源会让人猜测其背后可能存在某个国家的支持,但很难找到确凿证据。相比常规网络犯罪,由国家提供支持的攻击很少见,往往会博得更多恶名。此类攻击是最复杂、危害性最大的威胁类型之一。毫无疑问,各国政府在网络战争攻防功能方面投入了更多资源。不过,2012 年大多数企业均不太可能遭遇此类攻击,最大的风险仍来自于那些为行业间谍而创建的日益猖獗的目标性攻击。越来越多的中小型企业发觉自己处于此类目标性攻击的前沿,因为他们没有足够的资源来对抗威胁,而且攻击者在成功攻克中小型企业后,随后可能会以此为跳板,进一步攻击作为供应商的大企业。
恶意软件(如 2010 年的 Stuxnet、2011 年的 Duqu、2012 年的Flamer 和 Disttrack)的发展表明其复杂性和危险性都在不断加剧。例如,针对沙特石油公司的 Shamoon 攻击中使用的恶意软件,具备硬盘擦除功能。
某些国家和国家代理在进行网络攻击和政治间谍活动时,也可能采用行业间谍网络罪犯所使用的技术。对复杂攻击进行逆向工程和复制,以便将相同或类似的技术用在差别不大的攻击中。更危险的是,为网络破坏目的而开发的恶意软件,可能会扩散到预定目标之外,并感染其他计算机造成间接伤害。
高级持续性威胁和目标性攻击
目标性攻击综合了社交骗局和恶意软件,以特定公司的个别人为目标,目的是窃取诸如商业秘密或客户数据等机密信息。此类攻击通常使用定制的恶意软件,有时也利用零日漏洞,这使得此类攻击更难以检测,并且可能传染性更强。
目标性攻击采用各种媒介作为其主要传递机制,例如,通过电子邮件传递的恶意软件,或来自目标对象经常访问的受感染网站的偷渡式下载,此技术称为“水坑”攻击。
相比传统攻击,高级持续性威胁依靠高度定制的入侵技术,因而往往更复杂、更隐蔽。虽然目标性攻击日益常见,不过发动高级持续性威胁需要大量资源,这意味着此类攻击仅局限于那些以高价值目标为攻击对象的资金充裕的团伙。
赛门铁克注意到,2012 年目标性攻击比例相比过去 12 个月增长了 42%。虽然制造业占到攻击的 24%,成为主要攻击目标,但我们也注意到,遭受攻击的公司分布很广泛,不仅仅是大公司,中小型企业也在增多。2011 年,18% 的目标性攻击针对的是员工人数不到 250 名的公司,但到 2012 年年底,该比例上升至 31%。
社交骗局和间接攻击
攻击者可能会将供应链中规模较小的公司作为目标,因为小公司不仅更薄弱,而且具有访问重要知识产权的权限,可作为攻击大公司的垫脚石。此外,它们也因自身特点而成为攻击目标。小公司数量众多,具备有价值的数据,而且防护措施通常不及大公司。例如,攻击者可以潜入小供应商,将其作为跳板入侵大公司。攻击者可能会利用小公司中某个人的个人信息、电子邮件和文件来精心编写电
子邮件,以对付目标公司里的某人。
2012 年,我们注意到针对研发和销售职位的攻击较上一年大幅增加。这表明攻击者的撒网范围更宽泛,并将高管以下的职位作为目标来获取公司的访问权限。攻击次数的增加尤其体现在这两类职位上。不过,其他职位(如后勤人员)遭受的攻击也仍然是巨大威胁。
在目标性攻击中,攻击者继续采用社交骗局技术。例如,在邮件里冒充欧盟官员,邮件看似来自美国安全机构并针对其他政府官员,或者来自潜在政府客户(如美国空军)且附带了有关新的采购计划的通告。这说明攻击者广泛研究并精准把握了收件人的心理诱因,大大提高了受害者打开包含恶意软件的附件的几率。
水坑攻击中使用的 Web 注入过程
水坑攻击
目标性攻击中最大的创新莫过于水坑攻击的兴起。此类攻击指的是破坏目标受害者可能会访问的合法网站,并通过该网站在受害者的计算机上安装恶意软件。例如,本年度我们在某个人权组织网站的跟踪脚本中发现了一行代码10,可能会对计算机造成危害。该代码利用 Internet Explorer®中一个新的零日漏洞来感染访问者。我们的数据表明,在24 小时内,来自 500 家大公司和政府机构的用户访问了该网站,并处于感染风险之下。此事件的攻击者被认为是Elderwood Gang,他们在攻击中采用了复杂的工具并利用了零日漏洞,说明这个资源充足的团伙背后,有大型犯罪组织或国家提供支持。
建议
假定自己就是目标
小规模和相对隐蔽并非抵御最复杂攻击的有效措施。目标性攻击对于小公司的威胁和大公司是一样的。攻击者还可能将您的网站作为攻击其他人的工具。如果您假定自己就是潜在目标,并完善抵御最严重威胁的措施,那么您防御其他威胁的能力将自动提高。
培训员工
提高员工对社交骗局风险的认知度,并培训员工如何应对这种情况。同样,良好的培训和规程可以减少意外数据泄露风险和其他内部人员风险。此外,就数据价值以及数据保护方式对员工进行培训。
深入防御
注重相互支持的多层重叠式防御体系,可以使用任何一种特定的技术或防护方法来防御单点故障。其中应该包括在整个网络中部署定期更新的防火墙,以及防病毒、入侵检测、入侵防御系统和Web 安全网关解决方案。不能仅仅采用基于特征的防病毒技术来保护端点。
数据泄露防护
在网络中安装数据泄露防护软件,防止数据泄露和丢失。无论在线传输还是通过可移动存储设备传输,采用加密保护传输中的数据
