目前IT面临的主要困境是:安全工具就像一个黑洞,吸干了企业的时间和金钱,企业应该如何妥善保护自己的信息系统和资产。防御强不一定意味着成本高。企业应该从评估公共信息开始,并找到保护公共信息免受攻击的方法。
至于谁在攻击企业,为什么攻击,企业很容易受到各种炒作消息的影响,导致对有效安全相关的要求和成本产生误解。企业需要选择一种基本的、战略性的安全方法。他们需要从攻击者的角度来看待问题,以确定攻击者必须窃取哪些数据,以及如何发起攻击。这些问题的答案可以指导企业做好防御系统的规划。
在5月份伊萨洛杉矶(ISSALA)安全峰会的小组讨论中,BeyondTrust公司的CTO Marc Maiffret表示,媒体和供应商传达安全趋势和公共利益信息的方式将影响企业对其风险和安全需求的评估。
Maiffret指出,分布式拒绝服务(DDoS)攻击可以立即获得媒体的关注,因为这些事件对公众是可见的。当各大主机服务商、金融机构或社交网络服务因DDoS攻击而离线时,全世界都会高度关注。这种事件很容易被发现,停机的结果往往具有新闻价值,事件的人为部分吸引人们的注意力。
当公众和媒体的注意力都集中在谁发动了攻击以及为什么发动攻击的等式上时,供应商就充分利用消费者的恐慌心理,围绕新闻炒作的焦点来推销自己的产品。这种营销策略吸引了更多的媒体和公众的关注,导致这种炒作像滚雪球一样循环。所有这些都让企业害怕继续投资来抵御攻击者。
如果企业不知道他们需要保护什么,或者他们有多容易受到攻击,那么企业最好选择一个可靠的安全方案,无论是昂贵的还是便宜的。
每个企业的安全需求是不一样的,就像每个安全产品的功能一样。所以,同样的产品适用于一个企业,在另一个企业可能完全没用。而且,虽然每个企业都有自己独特的情况。然而,所有企业都面临着同一个简单的事实:他们所有的公共访问信息也可能被攻击者利用。无论供应商如何吹捧他们的产品,世界上没有任何安全产品能够改变这一现实。
如果一个企业准备保护其系统、业务数据和知识产权,它需要克服许多棘手的问题。虽然建立一个成功的安全计划谁来攻击它的系统以及为什么攻击它是非常重要的,但是这两个问题只有在确定了攻击者的攻击目标以及如何执行攻击之后才能得到解决。
伊萨拉的许多会议都涉及这一主题。McAfee的安全研究和通信主管David Marcus讲述了攻击者如何使用开源情报(OSINT)来获取有关企业基础架构、技术和运营的信息。
马库斯列出了这些创新和协作攻击者使用的工具,包括Twitter、Pastebin、SHODAN和Metasploit。从使用这些工具的结果来看,马库斯向观众展示了如何通过识别、捕捉、分享和利用公共信息来轻松获取公共信息。
获取可以用来攻击企业的有效信息。
为了进一步说明这一点,Marcus描述了如何使用这些相同的方法来攻击关键基础设施,更具体地说,是SCADA系统。
例如,可以使用Pastebin剪贴板来搜索标签#SCADA和#IDIOTS,以找出关于世界各地SCADA设备的公共信息,包括已被确定存在漏洞的SCADA系统的公共可见IP地址。这些搜索结果可能是攻击者和黑客上传的。然后,我们可以将这些结果输入谷歌搜索,找出容易受到相同或相似漏洞攻击的SCADA网站。
马库斯还介绍了我们如何以管理员身份登录这些网站,完全不受约束。成功登录后,我们可以读取这些系统数据库的内容,更改设备的配置,安装恶意代码,甚至点击一个按钮就可以重启系统。
那么,我们如何打破媒体和供应商灌输的谁在发动攻击以及为什么发动攻击的等式呢?所谓,进攻就是最好的防守。马库斯分享了以下五个小技巧:
1.利用和运营OSINT:使用Twitter、Pastebin和SHODAN来识别和获取关于你自己的企业和系统的面向公众的信息。这种开源的公共信息可以为我们提供有用的信息,可以帮助企业了解攻击者如何看待他们的基础设施和运营。
2.不要根据行业或营销流行语来做决定:不要太担心高级持续性攻击,你应该了解这种攻击的目标是什么,以及攻击者将如何接近它。
马库斯说我们应该把重点放在基础上。在Marcus的演示过程中,Marcus识别和访问的所有SCADA系统的基本安全措施都失败了,尽管系统中部署了入侵防御系统(IPS)、入侵检测系统(IDS)和其他针对APT的技术。马库斯说:“这些保护措施配置不当,或者根本无法抵御已知的漏洞。”
3.超越渗透测试:利用红队。红队行动和渗透测试结果差别很大。当一个系统对业务非常重要时,红队就把它拿下,而渗透测试只是指出“这里有一个漏洞需要修复”。
对于真正关心自身环境安全的企业,应该从传统的渗透测试转向整合红队的安全方案。企业需要找出其环境中真正的漏洞,然后解决它们。
4.利用合作伙伴和供应商的知识:企业应该向值得信赖的安全合作伙伴和解决方案供应商寻求帮助。马库斯说,“不要把你的供应商当成某个产品的供应商。他们知道很多恶意软件和其他攻击方法,所以要充分利用他们的知识、专业技能和人力”。
5.为信息共享建立伙伴关系:网络安全的下一次大爆炸将围绕情报和属性展开。企业不仅需要检测到他们正在被攻击,还需要知道攻击是谁写的,以便当局可以找出攻击背后的来源。
信息是金,尽管许多企业未能利用现有的信息。显然,企业可以利用开源智能来构建强大的网络防线。这就提出了一个问题,你的企业上一次检查公众对你的环境的了解是什么时候?
