本文讲的是 伊拉利法则:满足这8条的都称不上是复杂高端式网络攻击,被黑客入侵的公司也许有各种理由将所遭受的攻击定义为“sophisticated”(复杂高端的),但网络攻击不是你说它复杂它就复杂的。
两位安全研究人员伊拉·温克勒尔和艾瑞思利·格姆认为,判断一次攻击是否复杂高端需要避免以下的8个特征。方便起见,我们称之为伊拉利法则(伊拉和艾瑞思利)。这8条特征同时也是一份不错的安全规程指南。
如果网络攻击中有以下情形出现,那它就不应该被称之为复杂高端式的网络攻击:
· 攻击中使用的恶意软件可以被检测到
· 攻击针对的是已知漏洞
· 目标系统没有采用多因子身份验证
· 攻击利用了关键服务器上的静态密码
· 目标针对网络钓鱼的防范不到位
· 检测机制不到位或被忽视了
· 缺乏合适的网络划分
· 被利用的用户账户和管理员账户拥有过高的权限
如果一家银行在大厅里放上一袋子钱,那它是被犯罪高手还是街头混混偷走的并不重要。任何有企图的人都能拿走那袋钱,不需要多高深的犯罪技巧。如果一家公司宣称其遭受的网络攻击是复杂高端的,它不过是在暗示要避免此次攻击很难。但是,一次又一次的案例中,尽管攻击的组织看起来可能比较复杂,实际的攻击手段却往往是相当基本的。(相关阅读:《APT没你想像的那么高端》)
就算美国联邦调查局(FBI)将去年索尼影业遭受的网络攻击定义为复杂高端的,但别被他们骗了。是的,表面上管理员的登录凭证是被硬编码到了恶意软件里面。但尽管如此,恶意软件的存在还是应该被检测到的。而且,管理员凭证的存在显示出多种可能性,但其中没有任何一种可能性表明这是一次复杂高端的攻击。理由如下:
1)黑客依赖网络钓鱼攻入索尼系统,而网络钓鱼攻击是只要稍加警醒就可以防范的;
2)密码没有经常更换,或者说根本没换过;
3)其关键系统中缺乏多因素身份验证。因此,即使攻击者真的是全世界技术最娴熟的黑客,也不能否认同样的结果可以被任何肯花时间的菜鸟黑客达成。
索尼黑客攻击事件是如今的新常态。任何人稍微具备一丁点儿技术以及一点点时间和资源就可以搜寻到明显漏洞。所有公司企业都有可能被这种低级黑客盯上。那么,从这种新常态升级为真正复杂高端的攻击还需要具备什么特性呢?
首先,让我们看看明显属于复杂攻击的案例。方程式小组,被认为与美国国家安全局有关的黑客组织,隐身暗处从未暴露长达14年。它用来利用零日漏洞的恶意软件根本无法检测,而且很难清除,与控制端进行通信的数据通道也非常隐蔽难以发现。方程式小组甚至对顶级安全程序发起几乎是不可阻挡的攻击。这类攻击的本质就与袭击了索尼和塔吉特的那些大为不同。(相关阅读:方程小组恶意软件细节披露 新线索直指美国国家安全局)
关于方程式小组的攻击形式,从我们所了解到的情况看,没有任何一条伊拉利法则适用,它们绝对属于复杂高端式攻击。
下面,我们详细描述一下伊拉利法则的这8条特征。
- 所用的恶意软件可以被检测到
如果所用的恶意软件臭名远洋到能被反恶意软件或反病毒软件检测出来,那这攻击就不能被归类为复杂攻击。合理配置维护良好的现有工具是有可能检测出网络攻击的。即使攻击者是个资深黑客,使用能被检测出来的恶意软件进行攻击也是对受害者安全程序的蔑视。
- 利用了有现成补丁的漏洞
如果一次攻击利用的是本可以打上补丁的漏洞,那这次攻击也就算不上复杂。真正复杂的攻击永远不会依赖于有可能被阻止的漏洞。被利用系统上存在已知漏洞的事实就已经表明了任何人都能发起这种攻击。
- 关键服务器上没有设置多因素身份验证
多因素身份验证是高级安全程序的普遍对策。它能预防多种多样的潜在攻击,包括社会工程和密码猜解攻击。对没在关键服务器上应用多因子身份验证的公司进行攻击可谈不上什么复杂不复杂。
- 对关键服务器的攻击中使用了静态密码
即使采用了多因子身份验证,密码也应该定期更换。关键账户使用静态密码根本就是相当糟糕的安全措施,也代表着所采用的安全程序一点都不高级,看到静态密码的身影也就基本排除了是复杂攻击的可能性。
- 网络钓鱼是入侵手段之一
如果牵涉到网络钓鱼,就说明公司根本没有超出网络钓鱼模拟和电脑培训之外的防范意识训练。尽管我们也承认确实有些鱼叉式网络钓鱼邮件编造得相当精巧,即使最警惕的人也有可能落入陷阱,但这毕竟是极少数。更为常见的,是公司的安全意识训练项目相当糟糕,甚至根本没有这种培训。只专注在电脑培训和网络钓鱼模拟上的安全意识训练就是相当糟糕的意识训练项目的典型。
- 监控机制无效
本可以阻碍攻击的检测监控机制不到位或者被无视了。塔吉特黑客事件中,管理员明显报告了他们的火眼系统检测到非正常网络活动,却被管理层授意无视检测结果。索尼黑客事件中,可被检测的恶意软件却没有被检测出来。而且,索尼最有价值的数据竟然被神不知鬼不觉地偷传出去上万亿字节。当你拥有如此宝贵的数据,却毫无监控潜在攻击的机制,简直是不可饶恕。
- 网络划分问题
网络划分太差,以致攻击者可以从低价值网络跳转到关键系统。公司企业总想通过对所有系统进行无缝衔接来节省开支。塔吉特黑客事件因攻击者从供货商网络跳转到零售终端系统而恶名昭彰,但这还不是个案。许许多多的事件都表明:工业控制系统,甚至,或者说特别是关键基础设施,都处于漏洞百出的商业网络之上。
- 被攻入的用户账户拥有过高权限
标准用户账户拥有他们不需要的数据访问权和系统权限是非常普遍的事。很多企业的员工在他们的电脑上都有管理员权限。这一疏漏会导致本应是很容易调查的有限侵入最终演变为大事件。而这,同样是糟糕安全措施的标志。
安全牛评
衡量攻击复杂度的标准是基于攻击所需越过的安全层级。对攻击进行恰当的分类十分重要,因为若宣称攻击是复杂高端的,就可以转移批判的声音,模糊做出改善的需要,并逃避部署糟糕安全措施的责任。
指出这一点并非是为了指责受害者。遭受攻击的公司不是坏人,但直面网络攻击新常态的公司企业确实有责任挡下那些能够被挡下的攻击,就像业主应该给自己的门窗加锁一样。
实际上,更复杂更高端的安全措施才应该成为最“新”的新常态。