首页 > 产品技术 > 四大安全事件背后的玄机

四大安全事件背后的玄机

2013-07-02 15:10   来源: 《商业伙伴》   作者: 张戈

基本信息

面向行业
应用领域

2011年发生的四大信息安全事件,引发业界对安全体系的重新思考。

        安全业内公认,在2011年全球众多信息安全事件中,有四个最值得研究:暗鼠攻击、RSA SecurID数据泄露事故、HB Gary Federal公司邮件外泄事件、索尼PlayStation Network个人信息外泄事件。

                                         

索尼是世界500强公司, 但其安全策略太过业余,服务器放置于防火墙之外,可以说这是一种很愚蠢的方式。                    

       四大安全事件

       先来看暗鼠攻击,其又称为Shady RAT。该攻击在2011年下半年首先被迈克菲实验室发现。暗鼠攻击具备三个特点:其一、影响面广,14个国家有70余受害者遭受攻击;其二、背景难测,暗鼠攻击是政府支持的商业间谍活动;其三、隐蔽性强,暗鼠攻击从2006年已经被使用,直到2011年才被发现。

       第二个值得研究的安全事件是RSA SecurID数据泄露事故,RSA在身份认证、访问控制、数据防泄露,以及防欺诈等方面是业内的领导者。RSA也曾被认为是安全业内的神话,不可能被攻破,但正是这样的神话,在2011年被打破。3月份其种子令牌被盗,随着RSA种子被盗,引发了另外两个安全事件——5月27日,美国最大的军用飞机制造商洛克希德·马丁信息被盗;6月1日,美国通信公司L3也被成功攻破。由此可见,现在黑客攻击的特点是,一家公司的信息外泄,使得其产业链上下游的企业也被殃及。

       第三个安全事件也是一个神话的破灭,HB Gary Federal公司为美国政府提供安全顾问,据说在抓捕本·拉登的行动中,HB Gary Federal发挥了重要的作用。公司创始人 Greg Hoglung可称为美国安全领域的殿堂级人物,在研究“rootkit”方面久负盛名。

       在HB Gary Federal宣布打算披露关于离经叛道的Anonymous黑客组织的信息后不久,这家公司就遭到了Anonymous组织成员的攻击。 Anonymous成员窃取了60000封机密电子邮件、公司主管的社交媒体帐户和客户信息。随后 60000封电子邮件在互联网上公布,其中涉及美国国会、美国司法部、美国银行的大量异常敏感,甚至是见不得人的信息。

       第四个安全事件是影响面最大的。索尼 PlayStation Network在2011年先后两次丢失了1亿个用户信息,成为史上第四大安全事件。

       攻击是人+技术

       综合看以上四个黑客攻击事件的手法,无外乎从人员和技术漏洞入手,寻找可乘之机。其中人员因素占70%,技术手段只占30%。

       先来看一个人员安全意识方面的例子,如果收到一封“熟人”发来的,带有附件的电子邮件,你的第一反应是什么?先点击附件看内容。这是典型的先点击后思考的模式,RSA就是这样中招的。现在黑客们已经开始利用社会工程学构建一个看似合法的邮件,邮件附件的格式可以是 Word,也可以是Excel,黑客在附件中注入可执行代码,当附件被打开,你的电脑已经被控制,密码、管理员权限可以被轻易拿到。

       另一种人员方面的安全隐忧是笔记本及存储介质的丢失。2011年,瑞士一家银行员工的笔记本电脑被盗,随之丢失的是大量用户数据。受此牵连,3个月后,这家银行倒闭。

RSA以安全令牌闻名,但因为种子被盗,RSA 几乎被毁一世英名。

       除人员之外,技术漏洞也可能是永远避免不了。微软是一家伟大的公司,但微软每天都在发布系统补丁,用户没办法保证随时更新补丁,这也给了黑客可乘之机。

       攻击步骤类似

       但不管是从人员,还是从技术漏洞入手对企业和机构进行攻击,黑客们的攻击步骤都大体类似。第一步:踩点。现实中的小偷下手之前会在门牌上标注记号,网络中的小偷则是应用社会工程学,如监视目标人的微博,以获取更多的个人信息,如果目标人的系统中没有漏洞,就找目标人的同事看是否有漏洞。第二步、注入恶意代码。通过寻找目标人的系统漏洞,或模仿其同事身份对目标人进行攻击,可植入恶意代码。第三步、拿权限。通过植入恶意代码最终拿到各类权限,一旦权限到手,就可达到为所欲为的目的。以暗鼠攻击为例,攻击步骤也大致相同:一、创建可信任邮件;二、利用微软漏洞植入恶意代码;三、将恶意代码植入网站;四、远程控制。最终结果是可随意上传、下载文件、获取服务器中的数据库。

应对越来越狡猾的黑客,必须建立一套类似于机场安检体系的信息安全防护体系。

       如何防范

       了解了黑客攻击的手段和步骤,下一个讨论的问题一定是如何防范黑客攻击。具体而言,可分为五方面:

       其一、定制清晰、易于理解的安全策略。以索尼PlayStation Network为例,索尼是世界500强公司,但其安全策略太过业余,服务器放置于防火墙之外,可以说这是一种很愚蠢的方式。同样,HB Gary Federal虽然是一家安全公司,但公司的CEO和CTO,甚至不同的系统之间使用同一用户名和密码,黑客拿到一个账号,就可通行无阻。回到我们身边,如果你的QQ密码和网银密码一样,邮件密码还使用生日数字,建议您赶快改吧。

       其二、增强对用户的培训,使其拥有足够的免疫力。不要在社交网络上暴露更多的个人信息,看见附件后不要不假思索的点击,这都属于培训的范畴。

       其三、预防。很多貌似很高深的产品,由于用户使用水平有限,安全设备只处于警示、监控的状态,没有实现阻断的作用。Check Point华北区安全顾问吴航说:“建议用户采用多重模式对系统进行防护:第一层、针对服务器、客户端的漏洞,建议用户使用IPS进行防护;第二层、防止黑客对漏洞进行恶意代码植入,可使用防病毒刀片;第三层、即使恶意代码被植入,也可以使用防僵尸网络刀片,防止僵尸网络传播。在这三个层面,Check Point都有相对应的产品,公司一直致力于在技术层面防患黑客的高级威胁。”

       其四、多重防护。吴航说:“传统的防火墙不能满足现实环境的安全需求,越来越多的攻击超越网络层,而对应用层进行攻击。”可以用机场安检进行比喻,安检第一步是验证身份信息,而传统防火墙的作用则与此类似,而某些处心积虑的伪造身份证也可能通过校验。通过身份验证,则要进入行李安检,查看是否携带毒品、爆炸物等,这时候是IPS、防病毒网关、反僵尸网关发挥作用的时候了。如果这阶段还没有发现可疑,就进入第三阶段,恐怖分子携带爆炸物必有其目的,黑客进入网络也必有行动,这时候DLP产品将发挥作用,可防止核心数据泄露。

       其五、集中管理。2011年国内某地铁网站被攻陷,原因是防火墙策略配置有漏洞,在配置的过程中本应只开放80 端口,但管理员将所有端口都开放,黑客通过数据库端口进入网络,拿到管理员权限,将Web服务停止。该事件导致网站半天无法访问。因此看以看出,集中管理是一项硬性的需求。当网络越来越复杂、设备越来越多时,需要统一的管理和配置,需要统一的校验。

赞 0个人觉得赞
logo

北京康邦科技有限公司

规模:

网站: http://www.combanc.com.cn/

北京康邦科技有限公司提供面向智慧教育的IT整合服务, 以智慧校园整体建设和运维为目标,综合应用云计算、物联网、大数据、移动互联、虚拟仿真(VR)等新一代信息技...

粉丝0

关联信息

关于我们 | 全生命周期管理 | 服务的客户 | 版权说明 | 联系我们

公司名称:北京金誉在线伙伴文化传播有限公司    备案号:京ICP备 15026202号-1

意见
反馈
返回
顶部