首页 > 代码库 > “隐身式”高级攻击?利用无加密区来解决!
“隐身式”高级攻击?利用无加密区来解决!
纵观近期的数据泄露事故,我们惊讶地发现,企业在受到攻击后的很长一段时间内都没有发现数据泄露事故的发生。
根据Verizon数据泄露报告和Mandiant M趋势报告显示,企业在受到攻击的14个多月后才发现数据泄露事故的发生。我们只能得出这样的结论,企业缺乏适当的入侵防御功能,或者检测技术和流程未能防范攻击。
身处这样一个行业我们必须接受的事实是,攻击迟早会发生;这并不是软弱的表现,只是基于现在的高级攻击性质得出的结论。同样重要的是,企业必须更好地进行检测。受到攻击几个小时或者甚至几天都是可以接受的,但当攻击延续更长时间,特别是超过12个月,这就属于疏忽了。
我们不应该因此而感到沮丧,而应该提出基本问题:“为什么?”为什么企业无法检测受攻击系统?原因之一在于攻击者越来越多地依赖于一种混淆方法,这种方法利用了信息安全的最佳战略防御之一:加密。
了解加密的命令控制通道
人们常说,加密可以阻止攻击者读取企业的信息;这是部分正确的。加密通常可以阻止任何人读取任何人的信息,包括阻止企业读取攻击者的信息。
当系统受到攻击,攻击者将会建立加密的出站命令控制(C2)通道,这几乎可以绕过企业的所有网络安全防御。原因很简单:大多数网络安全设备无法读取加密流量本身,因此,加密的C2流量让攻击者有效地躲过网络检测。
虽然出站代理最初是解密和审查加密C2流量的有效方法,但攻击者已经找到方法来对付这种保护机制。我们仍然建议企业使用出站网络代理服务器,因为它们可以有效过滤流量,并将阻止一些攻击。然而,有些企业有太多出口点,而无法有效代理所有流量,并且,它无法阻止高端攻击者找到办法绕过这些代理。因此,我们需要另一种解决方案,这个解决方案就是无加密区。
了解无加密区
在介绍无加密区的概念之前,重要的是要明白:
1)猛烈攻击时代需要严厉的措施;
2)并非所有解决方案在所有环境中正常工作;
3)当得到战略性部署时,解决方案方可正常工作,并且不能集中于所有方面;
4)在你批评之前进行尝试。
笔者已经为多个客户成功部署的无加密区系统,这个系统包括创建最后一英里未加密通道。这个想法是创建一个高度交换的LAN,其中不仅具有加密检测,还不允许任何加密通信。并且,这对当前网络设计并没有什么影响。本质上,企业只需要部署或利用DLP或其他类似技术,即可以检测和阻止加密通信的技术。
在采用这个概念后,我们惊奇地看到在追赶攻击者方面发生的变化:
• 在使用无加密区之前:用户收到APT电子邮件,打开附件,系统会开启一个出站加密C2连接,绕过所有网络安全设备,然后系统被攻击长达14个月。
• 在使用无加密区之后:用户收到APT电子邮件,打开附件,系统尝试建立出站加密C2连接,加密通道被检测并被阻止,系统现在仅被攻击持续14秒,而不是14个月。
通过创建这个无代理区,我们基本上抑制了攻击者的最大优势(C2加密),并将其变成最大的劣势。这种变化创建了一个环境,让我们可以容易地捕捉和控制高级攻击。
正如上文所说,这个技术并不适合于所有情况。例如,在默认情况下,用户不应该被允许使用个人身份信息(PII)进行个人网上冲浪,或者传输支付数据,因为这些信息不会被加密,但这个问题可以得到解决,例如为用户提供单独的仅供个人使用的计算机。同样重要的是要注意,加密网关(例如SSL)可以设置在到网络的网关处。只有最后一英里(或本地LAN)未被加密,但任何离开网络的数据都会被加密和受到保护。
再次,笔者并不建议在整个企业部署无加密区,而是建议将它们设置作为选择性机制。如果用户表明他或她不能保护系统和数据,并且他们可能做出错误判断而点击邮件附件并受到感染,那么政策应该将这个用户加入到这个机制,并将他或她进入无加密区。这已被证明非常有效,因为如果没有特殊控制,因错误决定而受到攻击的用户很有可能会再次这样出错。
通过创造性思考,创造性的解决方案可用于增加攻击者的难度和降低企业防御难度。大家通常认为加密会提高安全性,但正如本文所讨论的,不使用加密可以创建一个环境来实际提高安全性。
“隐身式”高级攻击?利用无加密区来解决!