澳门威斯尼人平台Fortinet为企业提出应对APT攻击的一些建议,安全专家详谈Web威胁种类及其防御方法

原标题:美陆军研究实验室开发基于“软件定义网络”的MTD技术应对网络威胁

【51CTO.com
专家特稿】
企业及其雇员越来越依赖于互联网,不管是在家里、在路途中、在办公室中都是如此。这种依赖性在与多种最新的Web威胁结合之后,将会使企业比以往更加脆弱,更容易遭受攻击。近半年来的Web攻击都有一个鲜明的特点,在无需用户干预的情况下,这些威胁就可以进入网络,严重威胁着企业的数据安全、工作效率,直至企业的最终利益。

美国陆军研究实验室、新西兰坎特伯雷大学和韩国光州科学技术研究所组成团队共同研究移动目标防御技术(MTD)。目前,该技术在“软件定义网络”中取得了新进展。研究人员称,这些基于“软件定义网络”的MTD技术对于支持陆军作战至关重要。

如同一个APT攻击需要突破多个网络层才可以成功一样,如果企业不希望沦为APT的猎物必须实施能够进行多层网络防御的安全策略。也就是说单一的网络安全功能是不能够防御APT攻击的。

而且,由于Web内容和形式的多样性,其威胁的花样也是不断翻新。比方说,前些日子使得许多网站深受其害的SQL注入式攻击就采用了不同于以往的手段。前几天利用Flash
player漏洞的攻击,也体现出这种威胁形式的变化性和无常性。面对新的威胁,加强防御是唯一的制胜之道。

澳门威斯尼人平台 1

澳门威斯尼人平台 2

Web威胁的种类

背 景

安全协助:

此处谈的种类虽不能代表全部全部,至少代表了最为严重的一些Web威胁。现在的黑客日益聪明,他们认识到通过互联网络搞点“外快”要远比炫耀自己的本领更加实惠。

如今,针对计算机系统的网络攻击越来越普遍。任何计算机系统一旦连接网络,电脑中的信息很可能成为黑客的目标,进而遭到窃取、破坏或勒索。

攻击者不会止步于获取更多的目标来彰显其“荣誉”,所以公司机构的安全策略与防御体系也不是一日之功。公司机构需要可靠的IT雇员了解最新的威胁与潜在的攻击路径,与网络安全组织保持近距离的接触,在必要的时候可获得帮助。

前一段时间的“艳照门”事件和抗震救灾期间的“救灾视频”,都有黑客们的手脚在里面,他们往往用一些令人感兴趣的东西来吸引受害者,所谓愿者上钩。孰不知,这些表面的东西往往包含着恶意软件,甚至rootkit程序。根据赛门铁克的调查,以下这些可谓最具危险性的Web威胁:

出现这一问题是由于互联网的构建方式所导致的。为访问网站上的内容,计算机需要了解信息的来源。即互联网协议或IP地址,而IP地址不仅仅用于网站,每台联网的计算机都有一个专属的IP地址。

最终用户的引导:

可信任站点的漏洞:我们都有这样的看法,大的知名网站是相对安全的。黑客们也知道这一点,他们会想方设法修改这些网站的网页,将用户的浏览器重新导向到其精心打造的恶意站点,这个恶意站点看起来还是是非常可信的。但在用户向其中输入个人信息时,它们“统吃”。“吃”了你的还不算,还要在你的系统上种上点东西(如间谍软件等),或者破坏你的邮件地址簿,肆意传播垃圾邮件等。

为获取有价值的内容,黑客有针对性的搜索IP地址,并使用计算机病毒或蠕虫代码攻击它们。如果受到攻击的计算机或系统安装了安全系统,如防火墙或杀毒软件,就可能识别出一些威胁代码,并防止计算机被感染。而在计算机的安全系统更新或安装漏洞补丁之前,黑客只要稍微修改代码,就不会被识别出来。

网络攻击者选定的最终用户攻击目标,一定是攻击目标存在可以发动首次攻击的最佳机会。这如同银行劫匪的“座右铭”,“钱在哪我们就在哪”的道理是一样的。
引导并教育最终用户正确地使用社交媒体保护隐私以及机密信息防止被利用是安全防御中重要的一环。同样关键的是,在公司机构具有访问敏感数据的雇员应受到数据处理方面的专门培训。定期对公司雇员进行内部的安全风险防范意识培训可减少被攻击的机率。

浏览器和浏览器插件的漏洞:前几天我们看到一些安全专家建议不要使用IE浏览器。其实其它的浏览器也并非无懈可击,只是漏洞暂时还不太多或者说是攻击者对其关注的程度还不够高而已。不管哪种浏览器,攻击者都可以利用其漏洞或其插件的漏洞将恶意软件下载并安装到用户计算机上,或者将用户指引到一个恶意站点。

从本质上说,对这些攻击的典型防御反应是被动的。攻击者有时间准备、计划并执行攻击,而潜在的受害者只有在入侵者闯入计算机系统后才会做出反应。

网络隔离:

终端用户:许多攻击者都是从终端用户下手的。许多企业面临的威胁主要是由于其针对笔记本电脑、桌面系统、服务器、未受保护的移动设备的安全策略不健全造成的。如空口令、关闭防火墙等都是具体表现。

澳门威斯尼人平台 3

如果一个雇员没有来由地访问了可能包含敏感数据的特别资源,那么基本的网络隔离可以协助防御在内部网络之间的流传。对内部网络资源进行用户访问细分,可潜在的避免攻击者。

可移动的存储设备:由于U盘、移动硬盘、MP3、MP4等设备的快速流行和使用,恶意软件也可以轻易地从外部的设备传输到网络系统中。此外,插到iPod中的插件也可以成为窃取系统数据的重要媒介。

技术原理

Web过滤/IP信誉:

网络钓鱼:前面笔者在谈到Web的新威胁时谈到,网络骗子伪造冒似金融网站的虚假站点欺骗消费者。它们还能够以金融公司作为其伪装,在电子邮件中诱骗消费者输入其个人机密信息。

移动目标防御(MTD)技术是一种新的主动防御手段,可以保护计算机系统中的重要信息。该技术可使黑客之前监测到的信息失去作用,从而导致其做出错误的攻击决策。

通过使用当前的IP信誉数据与web过滤规则的解决方案,可能会阻挡一些攻击。举例说明,如果会计团队没来由地去访问地球另一端国家的网站或者IP地址,创建web访问过滤规则可以有效防止可能中招被攻击网站的访问。通过使用IP信誉服务,可以避免一些攻击者使用攻击其他公司的伎俩,来故伎重演的攻击下一个目标公司。

僵尸网络:攻击者通过隐藏的程序控制大量的计算机系统并执行多任务,如发送垃圾邮件和发动拒绝服务攻击等。

MTD技术的原理是:频繁地更改计算机的IP地址,导致黑客无法识别攻击对象。该技术被称为“灵活的随机虚拟IP多路复用技术”,即FRVM。主动防御可能会在运行MTD技术增强的安全性的同时,引入不利因素。研究团队下一步目标是探索FRVM在系统安全性和整体性能之间的平衡。

白名单:

键盘记录程序:黑客在用户的系统上安装可以记录用户击键的程序,并将记录的结果秘密地通过电子邮件发送到黑客的邮箱。

澳门威斯尼人平台 4

白名单功能的使用有很多方法可言。例如,网络白名单可设置只允许一些内部流量访问网络资源。这可以避免攻击者侵入内部网络。网络白名单还可以防止用户访问那些没有明确被允许的网站。应用白名单可设置一个只允许在计算机设备运行的应用名单,阻断其他软件在设备的运行。这样可避免攻击方在目标用户的计算机系统运行新的程序。

多重攻击:黑客使出“组合拳”,即将多种战术结合在一起(如综合运用键盘记录程序、僵尸网络、钓鱼等手段)来窃取用户的敏感信息。

基于“软件定义网络”的MTD

黑名单:

此外,攻击者还可以通过间谍软件窃取个人的机密信息,并能够通过垃圾邮件传播病毒、间谍软件、木马等。

主动防御手段需要不断改变IP地址,因此部署主动防御和安全系统会产生一定的成本。研究人员通过利用“软件定义网络”的技术,使计算机在保持真实IP地址不变的情况下,通过频繁改变虚拟IP地址将真实地址与网络隔离,可以在一定程度上降低成本。“软件定义网络”技术通过将网络中的各个设备的网络控制转移到集中控制器上,提供对网络策略的动态管理。SDN控制器可定义网络配置,在可变条件下使网络操作更可靠、反应更迅速。

白名单顾名思义是明确被允许执行或访问资源的名单,黑名单同理是设置阻断对不安全的资源、网络或应用访问的名单。

以上这些威胁并不代表全部,现在的web威胁日益体现出综合化,并向纵深发展。以前攻击者主要利用操作系统漏洞,现在对应用软件的漏洞越来越感兴趣;以前的SQL攻击可以检测,现在却越来越难;以前黑客们控制一两台计算机,现在可以通过一个网站攻击其它网站,并感染用户,进而构建僵尸网络,借以发动分布式拒绝服务攻击(DDoS)。因此任何企业都应当重视防范措施的多样性和多重性,不要依赖单纯的一种技术,有了UTM并不意味着万事大吉。为此笔者提供以下防护Web威胁的方法:

相关文章