我们很难确定“反攻击”是否是可接受的企业防御做法,特别是当我们不知道这个术语的具体含义。在RSA 2013信息安全大会的讨论组中,由Akamai技术公司的安全情报主管Joshua Corman带领的专家小组试图确定攻击式安全保护的模糊概念,他们将其宽泛地定义为反过来对付攻击者(或者潜在攻击者)的各种努力,主要通过渗透其网络或者禁用其系统。 这个话题曾经在很大程度上属于理论范畴,但在后期,特别是在Mandiant公司发布了造成轰动的APT1后,它有了更实用的意义。Mandiant公司在RSA大会之前
刚刚发布了这份报告,该公司提供了令人信服的证据来说明受外国政府支持的军事团体已经侵入企业多年,并窃取知识产品,而且几乎不用承担任何后果。Corman表示他注意到最近在业界讨论中越来越多地涉及攻击式安全保护是否可接受。主动防御供应商CrowdStrike公司的首席执行官George Kurtz表示,企业对他们无法阻止高级攻击,特别是那些由民族国家发起的攻击,
感到越来越受挫。“在我们的客户中,在过去几年中遭受过持续和主动攻击的大多数客户都已经厌倦了漏洞利用、取证检查、捕捉内存、扁平化服务器以及重新开始,大家的挫败感在攻击安全的讨论中展漏无疑,”Kurtz表示,“人们都在说,‘政府不保护我们,我们能做些什么呢?’”然而,企业如何对其IT基础设施的保护从防守转变为进攻呢?安全供应商Sourcefire公司云技术组首席架构师Adam O’Donnell表示,当企业的保护工作涉及穿越到另一个企业的网络边界来进行改变时,企业就不再只是防守。O'Donnell担心越来越多的企业可能会考虑对攻击者采用“反攻击”方法,但他表示,私人机构不应该承担联邦政府的责任,并且追踪可能受外国政府资助或与之相关的恶意行为是很危险的事情。“你用代码来回应对手时,而他们已经习惯了用子弹来回应,”O'Donnell表示,“他们并不只是简单地要破坏你的主机和污损你的网站,他们
还会回来射杀,如果你要开始反攻击的话,你最好考虑清楚这些问题。”瞻博网络公司高级主管兼首席安全架构师Christopher Hoff则持有不同的观点。他
提出了一个假设情况,攻击者试图访问受害者的网站,抱着破坏的目的,进行“授权的、明确的连接”。如果企业可以检测到这个攻击企图,
那么,企业采用类似的敌对数据包来回应是很合理的。Hoff表示:“如果有人直接连接到我,我发回一个响应,无论我回应的方式是否是他们意料之中,这都不是渗透;这只是以授权的方式回复一个请求。”虽然一些小组成员似乎对Hoff的说法有些不满,但与不少业内人士一样,他们都不愿意提出与之抗衡的关于“反攻击”的定义。在这种情况下,Corman试图让小组成员来为观众定义该术语,而这就像烫手的山芋一样被抛来抛去,Hoff最终建议应该对攻击者进行攻击,而这超出了上述他的例子中的“请求-响应”的说法。 O'Donnell表示,反攻击是追踪不受其控制的机器,而主动防御是追踪不属于自己的机器。这个功能规范如此难以界定的部分原因在于法律规范
同样不清楚。专家组成员斯坦福大学法学院研究员兼律师Andrew Woods表示,监管这些行为的主要美国法律是1984年计算机欺诈和滥用法案(CFAA)。该法案对任何故意逾越授权网络访问范围的人进行处罚。然而,多年来,法院对访问有广泛的定义,起初它意味着对计算机的物理访问,后来是指在任何特定网络的范围开始和结束的访问。在CFAA法律下,哪些行为是被允许的呢?Woods举出了一些例子,包括阻止网络入侵者、使用虚假数据混淆他们以及误导他们到假目标。然而,使用工具来影响攻击者的网络可能违反CFAA,而当攻击者位于美国司法管辖区以外时,该法律几乎没有提供指导。“攻击式安全保护是一个很大的说法,”Woods表示,“鉴于监管法律的模糊性,这种安全保护也是
复杂的。”Kurtz说:“虽然刑事法规有显著的影响,但企业管理人员
往往更关心的是民事和金融方面的影响。他表示,首席信息官议会的第一个问题应该是进攻安全是否合法,而他们的第二个问题应该是企业是否可能被起诉。”不是直接地反击攻击者,Kurtz提供了更好的方法来对付攻击者,即他
所谓的“阻止和摆脱”以及“观察和包含”双管齐下的方法。他表示,有针对性的攻击者就像白蚁一样,在某些情况下,有必要“包围整个房间”,而在其他情况下,就像是有针对性的攻击,企业应该将自己定位为观察者,观察攻击者的行为,通过埋伏虚假信息来了解他们想要什么以及原因。“对于高端民族国家级IP盗窃,信息被大量收集,并有人在键盘的另一端来检查这些信息,”Kurtz表示,“如果他们不知道什么是真正有价值的信息,这将会提高其成本。
所以,你应该采取主动,但并不破坏某些东西。”
RSA 2013:什么是攻击式安全保护、反攻击?
时间: 2024-10-23 14:16:16
RSA 2013:什么是攻击式安全保护、反攻击?的相关文章
RSA 2013:情境感知为王
情境感知和情报将是本届 RSA2013大会的两个热词,至少从厂商方面看是如此,因为整个安全业界都意识到了大多数边界防御的失败.在此次会议开幕日的上午,主要参与者,包括RSA自己都推出了针对利用大数据和分析的产品,它们是利用情境感知和拦截潜在威胁.它们致力于提供情报,以便更好地掌握攻击源,以及将来如何对其进行防御.这与基于签名的保护不一样.厂商不仅仅是推出了更多安全信息和事件管理(SIEM)产品,声称以前对情境感知的认识不够,他们过去也没有为IT团队把足够的性能绑定到相同界面.RSA 指向"下一代
RSA 2013:RSA推出安全分析与服务管理模式
北京时间2月27日消息 根据 RSA 2013大会 刚刚公布的消息,专门防御并缓和攻击活动的全新软件与服务正式面世.RSA表示此番推出下一代安全运营服务意在帮助客户将传统安全运营机制转化为专为恶意活动准备的防御体系,进而使企业获得更 灵敏的响应速度.更有效的攻击抵御方案并尽可能减少数据泄露的曝光时间.根据企业用户的反馈,这些方案能帮助使用者与安全从业者共同合作.满足企业所必需的安全性要求,通过灵活的方式发觉并响应安全威胁.降低风险以及企业由意外事故所承受的负面影响.从业者们的此次关注重点包括:对
RSA 2013(美国)大会即将开幕 热点抢先看
2月20日消息,作为业界久负盛名的安全大会,RSA2013(美国)大会即将在2月25日--3月1日在美国旧金山开幕.本届大会 同样吸引了来自全世界 各地的安全厂商.专家.学者的参与,同时,美国前国务卿Condoleezza Rice女士也将在现场做演讲.自1995年开始,每一届的RSA大会都会选择一个别具一格的主题,从1995年的埃及圣甲虫封印到2012年的伟大密码胜于利剑,每一个主题都在述说着一个个有关安全的故事.而今年的大会主题--古腾堡的印刷机,更是希望能从中找到未来安全的灵感.498)t
共享攻击数据对保护云计算系统至关重要
Security Starfish LLC公司首席执行官兼云安全联盟主席Dave Cullinane表示,面对日益扩大的信息存储以及使安全技术部署过程复杂化的云计算服务,个人企业需要采用新方式来共享匿名攻击数据,否则将面临严重后果. 在周二云安全联盟大会的开幕主题演讲上,Cullinane试图激励满屋子的IT安全专家改变其安全计划:实施基于情报的安全战略.Cullinane表示,这样做的目的是基于可操作的情报来了解对系统的未来威胁,从而更有效地分配资源.他警告说,很多企业花费数百万美元在安全技术
php预防XSS攻击,ajax跨域攻击的方法
对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全. 现在有很多php开发框架都提供关于防XSS攻击的过滤方法,下面和大家分享一个预防XSS攻击和ajax跨域攻击的函数,摘自某开发框架,相比于仅仅使用内置函数应该还是够强了的吧. function xss_clean
对DDoS攻击实例之SYN Flood攻击的详细内容讲述
此文章主要介绍的是DDoS攻击实例 SYN Flood攻击,我们大家都知道SYN-Flood是目前使用最广泛的DDoS攻击手段,早先的DoS的手段在向分布式这一阶段发展的时候也经历了千军万马过独木桥的过程. SYN-Flood的攻击效果最好,应该是众黑客不约而同选择它的原因吧.那么我们一起来看看SYN-Flood的详细情况. SYN-Flood是目前最流行的DDoS攻击手段,早先的DoS的手段在向分布式这一阶段发展的时候也经历了浪里淘沙的过程.SYN-Flood的攻击效果最好,应该是众黑客不
无人驾驶汽车或成黑客攻击目标 福特丰田遭攻击
无人驾驶汽车或成黑客攻击目标 福特丰田遭攻击1月29日,据businessinsider网站报道,高级安全专家埃迪·施瓦茨(Eddie Schwartz)最近警告称,无人驾驶汽车一旦上路,就必将成为黑客的攻击目标.施瓦茨表示,网络安全行业还远远没有成熟,21世纪的头50年仍将看到大量的黑客攻击事件.施瓦茨解释道:"所有的大型汽车公司都在研发无人驾驶汽车.对无人驾驶汽车而言,这些汽车必须能够相互交流安全事宜,因此这种汽车必须拥有识别功能.要想进行识别,就意味着这些无人驾驶汽车必须配置一些证书或类似
RSA 2013:Coviello抛出“转型”信息安全策略
现在信息安全界不应该指责恶意行为和强调新兴的威胁环境,而应该开始发展企业信息安全战略和基础设施,着眼于大数据分析和互连--EMC信息安全事业部RSA执行副总裁Art Coviello上周二在2013年RSA大会的开幕演讲中 提出了这一观点.对于最近针对苹果公司.Facebook和纽约时报的一系列受民族国家指使的攻击,Coviello强烈指责那些仍然专注于查明每个攻击的渗透者的行为,毕竟攻击者的身份是显而易见的."我们难道真的需要看到冒着烟的枪,才能确定有人被射杀了吗?"Coviello
RSA 2013:厂商展示应对BYOD挑战的MAM产品
随着员工持 有的智能手机和平板电脑逐渐成为工作工具,企业安全要求已经从移动设备管理转移到保护应用和数据.在旧金山举行的RSA 大会上,F5 Networks展示了一种 混合云计算解决方案,这标志着该公司进入移动应用管理(MAM)领域.在 RSA大会上,很多厂商展示了新一代移动设备管理(MDM)和移动应用管理(MAM)产品,旨在帮助企业解决"携带自己设备到工作场所(BYOD)"环境中固有的安全风险.Citrix公司推出了企业级移动应用管理解决方案,它结合了XenMobile MDM(原Z