提到網(wǎng)絡(luò)安全，很多公司會著重于防御，的而且確當你擁有充足的防御，要突破網(wǎng)絡(luò)攻擊生命週期的 6 個步驟亦會變得容易;而那些沒有作好充足準備的組織，當然就會成為黑客的天堂。這種針對網(wǎng)絡(luò)攻擊的 6 步，對于企業(yè)來說亦愈來愈重要。所謂的網(wǎng)絡(luò)攻擊周期是指黑客組織從調(diào)查到滲透，以及提取數(shù)據(jù)的程序;面對網(wǎng)絡(luò)攻擊的生命周期，企業(yè)需要擁有全方位的防御方案才可應(yīng)付每一層的攻擊。早前，我們便與來自 Palo Alto Networks 的系統(tǒng)工程師兼副總裁 Joseph Green 探討可行的方式以打破攻擊生命周期，主要可分為 6 種方法：

　　步驟一：偵測 (Reconnaissance)

　　攻擊者常常會利用一些釣魚攻擊的手法又或者直接從企業(yè)員工的社交網(wǎng)絡(luò)帳戶或公司網(wǎng)絡(luò)之中揪取用戶資料，通過充分利用這些資料，攻擊者可製造出一些看似信任度極高的內(nèi)容、連結(jié)，并從而誘使企業(yè)內(nèi)的員工按下有關(guān)連結(jié)。當員工按下有關(guān)連結(jié)后，很多時會不知不覺的下載了惡意軟件，而這些惡意軟件主要會自動偵測目標企業(yè)網(wǎng)絡(luò)內(nèi)的所有漏洞及弱點，以便于黑客日后進行攻擊。

　　要突破步驟一的攻擊者偵測行為，組織需要採用一些 URL 過濾方案，通過這些方案以預(yù)防釣魚網(wǎng)站及惡意連結(jié)，同時企業(yè)亦應(yīng)該持續(xù)的採用入侵及防御等相關(guān)方案，持續(xù)監(jiān)測網(wǎng)絡(luò)流量以預(yù)測及預(yù)防不知名的 port scan 及 host sweeps 等動作。

　　步驟二：植入惡意代碼

　　攻擊者亦會利用各種方法將一些惡意編碼植入郵件或文件之中，并通過採用一些近期熱門話題的方式引誘用戶開啟。

　　面對上述方式，企業(yè)可採用一些新一代防火墻(Next-generation firewalls)進行預(yù)防。新一代防火墻將能為企業(yè)提供最全面的監(jiān)控資訊，包括網(wǎng)絡(luò)流量及封鎖高風(fēng)險應(yīng)用等;同時企業(yè)更可配合其他不同的方案以便採取更進一步的預(yù)防工作，包括部署 IPS、反惡意軟件方案、anti-CnC、DNS 監(jiān)控以及 sink holing 等技術(shù);而最后再配合上檔案及內(nèi)容防御等方案，便可將一切已知的風(fēng)險、惡意程式以及 inbound 的 C&C 通訊封鎖。

　　步驟三：開發(fā)并奪取控制權(quán)

　　如果上述兩個步驟順利找出企業(yè)弱點，黑客便可進一步于企業(yè)網(wǎng)絡(luò)之中啟用攻擊代碼并同時透過 C&C 伺服器控制目標系統(tǒng)。針對這方面，市面上有些終端防御方案(Endpoint protection)便足以應(yīng)付。通過采用 Endpoint Protection 技術(shù)，大部份已知及未知的漏洞均可被封鎖到。這些 Endpoint protection 方案主要會通過采用一種名為 Sandboxing 技術(shù)，此技術(shù)制造出一個獨立的虛擬環(huán)境，所有惡意軟件會在這獨立的空間之中開啟并完成分析，從而讓防御系統(tǒng)了解到該惡意軟件的動作，并就此作封鎖及進一步的防御工作。

　　步驟四：安裝

　　攻擊者通過取得最高的權(quán)限又或者是 root kit 等，提升自己于目標系統(tǒng)之中的權(quán)限，并讓監(jiān)控軟件永久潛藏于系統(tǒng)之中。企業(yè)可以做的，就是採用 endpoint protection 技術(shù)，從而預(yù)防內(nèi)部員工「貪方便」啟用了最高權(quán)限的帳戶而被黑客有機可乘。新一代防火墻可定立獨立的安全區(qū)域，并強制進行用戶監(jiān)控，同時亦可全方位監(jiān)視進出流量，并分析流量是否出現(xiàn)異常。

　　步驟五：C&C(Command and control)

　　攻擊者于目標系統(tǒng)安裝 C&C 伺服器，以便于隨時與黑客的電腦進行連接并發(fā)動最新入侵及攻擊行為。面對上述情況，現(xiàn)時有幾種方法可以使用。企業(yè)可通過 anti-CnC signatures 直接封鎖 outbound 的連線;而採用 URL 過濾則可封鎖已知的惡意網(wǎng)址以及與企業(yè)系統(tǒng)與 C&C 之間的連線;同時亦可將惡意的連線轉(zhuǎn)移至內(nèi)部預(yù)先製造好的 Honeypot 之中，從中分析以更新資料庫及實時封鎖。

　　步驟六：黑客最終目的

　　攻擊者有很多不同目的，但大多數(shù)都是通過入侵目標而進行進一步的入侵行為。例如入侵目標系統(tǒng)并從中取得用戶資料、破壞主要基建等。企業(yè)可通過制定檔案傳輸政策并將之套用到防御方案上，這樣至少可防止黑客採用指令或非企業(yè)允許的工具傳輸檔案。通過采用適當?shù)姆阑饓�、anti-malware 以及 endpoint protection 將可突破黑客網(wǎng)絡(luò)攻擊生命周期，并可針對惡意連結(jié)、C&C 服務(wù)器等進行防御工作。

本文鏈接：http://m.51huadong.com/cloundnews/11000563.html