这位NSA针对性入侵行动领导者极其罕见地由幕后走向台前
你敢扫上图的二维码吗?
美国国家安全局(简称NSA)向来以行踪诡秘而著称,但此次其精英针对性入侵行动(简称TAO)黑客团队领导者直接走上Usenix的Enigma会议舞台,讲述了安全专家们的工作如何有效阻碍其日常工作。
Rob Joyce在过去二十五年中一直效力于这个“并不存在”的机构,并于2013年被晋升为TAO团队负责人。他的职责是入侵由海外企业及政府运营的非美国计算机网络。Joyce在此次网络安全大会上的发言可以总结为以下一句忠告:
“如果大家希望切实保护自己的网络,那么首先需要对其拥有透彻了解,包括存在于其中的全部设备及技术方案,”他表示。“在多数情况下,我们对于网络环境的理解程度甚至高于设计并运行这些网络的人员。”
国安局的这支精英团队在尝试突破目标时会采取一套六步式流程,他解释称。这六个步骤分别为侦察、初步突破、建立持久性根据地、安装工具、横向移动,最后对数据进行收集、筛选与利用。
在侦察阶段,各特勤人员会检查网络的电路供给,并在特定情况下与其进行物理接触。他们会探寻相关体系的关键负责人、掌握重要的电子邮件账户、网络的扩展边界以及持续监控机制,直到发现可资利用的入侵漏洞。
“我们首先需要找到一道裂缝,我们会认真观察以找出合适的下手位置,”他指出。“这也正是业界将此称为先进持续性威胁的原因所在——我们会一直等待、耐心等待,直到找出适合自己的可乘之机。”
他们的目标是找出薄弱环节——无论其源自网络架构还是在家中工作的员工所使用的未授权设备。另外,目标网络可能还会与其它计算机系统相对接,例如温控系统与通风设备,而这些都可能作为潜在的攻击跳板加以利用。
各企业还需要高度关注云服务供应商,他建议称。一旦大家与云厂商建立合作关系,也就相当于把自己的数据交由其打理,并依赖于供应商的安全保障体系,因此对其进行尽职调查在重要性上甚至高于内部调查工作。
在漏洞利用阶段,初期关键性攻击微量就是隐藏在电子邮件当中的恶意附件、来自网站的注入攻击载体以及便携式存储介质——这最后一样往往能够穿越时空的阻隔,甚至能够在未接入互联网的设施体系当中发挥作用;伊朗已经用沉重的代价证明了Stuxnet的这种能力。
另一类常见攻击向量则为尚未得到补丁修复的常规安全漏洞披露(简称CVE),他解释称。各企业都需要利用自动化补丁修复规范来保护自身免受国家支持型黑客活动的危害,他警告道。
“很多人认为由国家支持的攻击活动往往将着眼点放零日漏洞身上,但这种作法反而不太常见,”他指出。“面向大型企业网络的攻击活动呈现出持久性与针对性,这意味着无需零日漏洞亦可实现入侵;目前可资利用的低难度、低风险、高效率攻击向量还有很多。”
关于国安局自行收集到的零日漏洞,Joyce表示事实上该机构掌握的此类信息非常有限,而且每项新近被发现的漏洞都会由外部委员会进行评估,并审查相关软件开发商何时需要得到通知并为其构建补丁。国安局方面对此并未最终决策权,他强调称。
为了保护管理员尽可能免受锁定困扰我们需要使用白名单应用、权限锁定机制并尽快安装修复补丁,同时通过声誉管理工作降低后续影响。如果某位看似合法的用户进行异常操作,例如首次访问某些网络数据,那么相关账户很可能已经被恶意人士所掌握,他表示。
以声誉系统为基础的管理工具在对抗恶意软件时拥有出色的表现,Joyce解释称。基于签名的杀毒软件则无法保护大家在特定攻击代码片段中幸存下来,不过其与声誉系统数据库配合使用时则能够发挥效果——如果特定代码或者域名此前从未出现过,那么其很有可能属于恶意活动的组成部分。
那些简单攻击手段出现并得以接入目标网络的状况发生频率之高简直令人震惊,他解释道。很多机构会将管理员登录凭证嵌入至脚本当中,很多网络体系根本不具备任何隔离机制,亦有大量已经被报告至网络日志中的异常活动根本没有引起足够的重视。
他举例称,美国国安局的黑客们曾经执行过一次渗透测试,并针对相关安全漏洞提交了报告——但在两年之后再度进行测试时,他们发现同样的问题仍未得到解决。他回忆称,当国安局的黑客团队再次回归时,第一项任务就是检查此前曾被披露的漏洞,而令人惊讶的是多数情况下其仍未接受补丁修复——即使有关各方已经收到了早期警告。
一旦接入网络之内,下一阶段的任务就是建立永久根据地,这主要通过建立软件运行线或者突破其它应用程序来实现。根据他的说法,应用程序白名单是应对这一攻击阶段的关键性手段。
是时候收割你的数据了
接下来,攻击者需要安装工具以入侵网络并收割数据。攻击者工具箱中的第一款软件就是信标编码,其能够以调用方式呼叫更多可怕的工具。IT管理者需要通过服务器日志关注这些蛛丝马迹,并认真审查当前正被浏览的域名及网络流量以收集警示信号。
有了接入能力与实施恶意活动的工具,下一阶段在网络中横向移动以获取目标信息。管理员可以通过锁定网络内包含有敏感数据之分区的办法解决这类问题,同时认真管理用户的访问权限。
除了确保各位用户只能接触到与自身职责相对应的网络区域之外,大家还需要考虑他们的实际位置以及正在使用的设备类型。即使是受到严格保护的网络,一旦我们允许员工将家中安全性存在问题的笔记本处理工作,整套体系也将瞬间土崩瓦解——他提醒称,允许自带设备办公的企业尤其需要注意。
最后,由国家支持的黑客需要在不被发现的前提下收集、筛选并利用数据。在这方面,网络分区将成为决定安全命运的关键,因为长期存在的监控机制与网络日志检查流程能够确保攻击者无法在不被发现的情况下获取任何网络流量信息。
异地备份也遵循此理——沙特阿拉伯的Aramco石油公司与索尼影业都因为未加重视而付出惨痛代价,他表示。考虑到国家性黑客活动对数据造成的严重破坏,定期备份应被各企业视为必要的优先级事项处理,他指出。
最后,了解与网络相关的一切是最重要的总结性论点,他表示,同样重要的是IT管理员应始终保持怀疑论态度以审视潜在攻击行为。Joyce的上一份工作是效力于信息安全局(简称IAD),旨在保护美国国内基础设施免受攻击侵扰,而他承认SCADA安全漏洞的存在一直让他寝食难安。
本文转自d1net(转载)