E安全4月24日文 白宫网络安全协调员罗伯·乔伊斯也在美国国家安全局(NSA)特定入侵行动办公室(TAO)工作多年。去年,他在2016年Usenix安全大会亮相,他从幕后走到了台前,向众多与会者介绍了如何让企业网络及电脑系统远离NSA入侵。
乔伊斯提到六大入侵阶段:
“侦察”
初步利用
建立持久性
安装工具
横向移动
收集,渗漏并利用
推荐阅读:
NSA绝密黑客小组TAO负责人揭秘防护手段
他指出,首先了解自己的网络、技术、设备等等,因为黑客可能比网络设计、开发人员更了解网络。企业制定程序评估将要使用的服务和安装的服务,应锁定或禁用未使用的服务。从而减少攻击面。例如企业应了解网络的曝光面积,组建“红队”寻找网络中的问题、风险和漏洞,引入渗透测试人员,仔细检查、钻研网络。切勿低估任何漏洞或问题,因为对国家支持型黑客而言,就算是一个小的漏洞,他们也会仔细钻研,企图通过小小的漏洞找到突破口进入网络。他指出,国家黑客会等待机会趁虚而入,因为他们一直在钻研,一直在等待机会,因此, 企业切勿掉以轻心。
此外,他还提出,企业应找出网络边界,应思考引入设备的趋势,例如物联网、在家办公访问网络,这会导致出现互联因素存在各种不同的管理控制,因此,要考虑信任区,例如云计算可能会成为风险或带来不利因素。当黑客进入网络之后就会开始进行初步利用,例如鱼叉式网络钓鱼,“水坑式”攻击,利用已知CVE,SQL注入等。国家支持型攻击者利用的媒介相当多,包括电子邮件、网站、可删除媒体等,,因此,对员工的安全教育远远不够,他建议使用反漏洞利用(Anti-Exploitation)功能,例如微软的EMET(NSA内部推荐使用),利用软件改进优势(及时了解更新、补丁,后台活动等),使用Secure Host Baseline(安全配置基线,例如Host缓解计划,IED产品)等。
乔伊斯提出以下具体措施来应对国家支持型黑客的网络攻击:
1.保护并监控登录凭证访问
登录凭证是网络间谍实施网络钓鱼活动和嗅探网络的关键。保护并监控登录凭证访问尤为重要,最佳防御保护措施如下:
启动双因素认证,使登录凭证窃取难上加难。
监控用户,并检查异常行为。
设置特定操作访问网络。
尽量将特权账户数量控制在最小范围内。仅为特定用于提供必要的特权。这些账户一旦被恶意利用,将会酿成大规模入侵。
避免硬编码管理员和系统登录凭证。虽然大多数现代协议不会以明文形式移交登录凭证,因此,国家攻击者正在寻找旧协议。企业必须寻找这些老旧协议,将其从自己的网络剔除,此外,应确保账号和密码不以明文形式体现,不要登录某个账号访问其它服务执行其他活动。
2启用并查看日志
如果网络发生入侵事件,事件响应小组进入网络后发现日志。如果能获取日志,就能对发生的事了如指掌。应启用这些日志,并进行查看。
日志是关键,可以帮助企业理解是否遇到问题,是否有某人试图闯入网络,并制造麻烦。
3 使用信誉服务(Reputation Service)测试软件
想在目标设备执行操作的一款软件经过哈希处理,并存在云端,信誉服务将确定软件安全与否。
4 使用信誉服务测试域名
大多数黑客工具一旦激活,便会企图与域名通信,与自己的服务器通信,返回成功入侵的喜讯,或带回数据。
但是,如果企业网络在流量进入之前检测并测试域名,阻止黑客工具将通信返回服务器的可能性较大。如果某些服务正在评估信誉,如果无人企图进入域名或内容老旧,那么信誉将会是中立或负面的。
5 阻止横向网络活动
一旦入侵者进入网络,下一步就是横向活动,搜索更有价值的登录凭证或其它访问权限。阻止横向活动对降低损害至关重要,其应对措施如下:
限制访问权限。
细分特权,以便网络的不同部分需要额外的认证。
在所有地方执行双因素认证。
6 掌控一切,切勿轻信
较好的网络采用合规连接确保远程连接合法。有些网络可以确定远程用户的位置,并会质疑响应。
想象自己的网络易遭受攻击,并已经被渗透,应思考:是否有措施了解谁入侵了网络或已经潜入网络?
7 备份,备份,备份
数字攻击形式多样。某些攻击试图渗漏数据,获取情报或获利;其它攻击只是普通的恶意攻击。确保有离线备份,以防遭遇毁灭性攻击。
乔伊斯多次强调,企业或组织机构要了解自身网络,这一点至关重要。国家支持型黑客会打持久战,因此组织机构应持续防御改进,继而评估并改进。
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考。