提到網(wǎng)絡(luò)安全，很多公司會(huì)著重于防御，的而且確當(dāng)你擁有充足的防御，要突破網(wǎng)絡(luò)攻擊生命週期的 6 個(gè)步驟亦會(huì)變得容易;而那些沒有作好充足準(zhǔn)備的組織，當(dāng)然就會(huì)成為黑客的天堂。這種針對(duì)網(wǎng)絡(luò)攻擊的 6 步，對(duì)于企業(yè)來說亦愈來愈重要。所謂的網(wǎng)絡(luò)攻擊周期是指黑客組織從調(diào)查到滲透，以及提取數(shù)據(jù)的程序;面對(duì)網(wǎng)絡(luò)攻擊的生命周期，企業(yè)需要擁有全方位的防御方案才可應(yīng)付每一層的攻擊。早前，我們便與來自 Palo Alto Networks 的系統(tǒng)工程師兼副總裁 Joseph Green 探討可行的方式以打破攻擊生命周期，主要可分為 6 種方法：

　　步驟一：偵測(cè) (Reconnaissance)

　　攻擊者常常會(huì)利用一些釣魚攻擊的手法又或者直接從企業(yè)員工的社交網(wǎng)絡(luò)帳戶或公司網(wǎng)絡(luò)之中揪取用戶資料，通過充分利用這些資料，攻擊者可製造出一些看似信任度極高的內(nèi)容、連結(jié)，并從而誘使企業(yè)內(nèi)的員工按下有關(guān)連結(jié)。當(dāng)員工按下有關(guān)連結(jié)后，很多時(shí)會(huì)不知不覺的下載了惡意軟件，而這些惡意軟件主要會(huì)自動(dòng)偵測(cè)目標(biāo)企業(yè)網(wǎng)絡(luò)內(nèi)的所有漏洞及弱點(diǎn)，以便于黑客日后進(jìn)行攻擊。

　　要突破步驟一的攻擊者偵測(cè)行為，組織需要採用一些 URL 過濾方案，通過這些方案以預(yù)防釣魚網(wǎng)站及惡意連結(jié)，同時(shí)企業(yè)亦應(yīng)該持續(xù)的採用入侵及防御等相關(guān)方案，持續(xù)監(jiān)測(cè)網(wǎng)絡(luò)流量以預(yù)測(cè)及預(yù)防不知名的 port scan 及 host sweeps 等動(dòng)作。

　　步驟二：植入惡意代碼

　　攻擊者亦會(huì)利用各種方法將一些惡意編碼植入郵件或文件之中，并通過採用一些近期熱門話題的方式引誘用戶開啟。

　　面對(duì)上述方式，企業(yè)可採用一些新一代防火墻(Next-generation firewalls)進(jìn)行預(yù)防。新一代防火墻將能為企業(yè)提供最全面的監(jiān)控資訊，包括網(wǎng)絡(luò)流量及封鎖高風(fēng)險(xiǎn)應(yīng)用等;同時(shí)企業(yè)更可配合其他不同的方案以便採取更進(jìn)一步的預(yù)防工作，包括部署 IPS、反惡意軟件方案、anti-CnC、DNS 監(jiān)控以及 sink holing 等技術(shù);而最后再配合上檔案及內(nèi)容防御等方案，便可將一切已知的風(fēng)險(xiǎn)、惡意程式以及 inbound 的 C&C 通訊封鎖。

　　步驟三：開發(fā)并奪取控制權(quán)

　　如果上述兩個(gè)步驟順利找出企業(yè)弱點(diǎn)，黑客便可進(jìn)一步于企業(yè)網(wǎng)絡(luò)之中啟用攻擊代碼并同時(shí)透過 C&C 伺服器控制目標(biāo)系統(tǒng)。針對(duì)這方面，市面上有些終端防御方案(Endpoint protection)便足以應(yīng)付。通過采用 Endpoint Protection 技術(shù)，大部份已知及未知的漏洞均可被封鎖到。這些 Endpoint protection 方案主要會(huì)通過采用一種名為 Sandboxing 技術(shù)，此技術(shù)制造出一個(gè)獨(dú)立的虛擬環(huán)境，所有惡意軟件會(huì)在這獨(dú)立的空間之中開啟并完成分析，從而讓防御系統(tǒng)了解到該惡意軟件的動(dòng)作，并就此作封鎖及進(jìn)一步的防御工作。

　　步驟四：安裝

　　攻擊者通過取得最高的權(quán)限又或者是 root kit 等，提升自己于目標(biāo)系統(tǒng)之中的權(quán)限，并讓監(jiān)控軟件永久潛藏于系統(tǒng)之中。企業(yè)可以做的，就是採用 endpoint protection 技術(shù)，從而預(yù)防內(nèi)部員工「貪方便」啟用了最高權(quán)限的帳戶而被黑客有機(jī)可乘。新一代防火墻可定立獨(dú)立的安全區(qū)域，并強(qiáng)制進(jìn)行用戶監(jiān)控，同時(shí)亦可全方位監(jiān)視進(jìn)出流量，并分析流量是否出現(xiàn)異常。

　　步驟五：C&C(Command and control)

　　攻擊者于目標(biāo)系統(tǒng)安裝 C&C 伺服器，以便于隨時(shí)與黑客的電腦進(jìn)行連接并發(fā)動(dòng)最新入侵及攻擊行為。面對(duì)上述情況，現(xiàn)時(shí)有幾種方法可以使用。企業(yè)可通過 anti-CnC signatures 直接封鎖 outbound 的連線;而採用 URL 過濾則可封鎖已知的惡意網(wǎng)址以及與企業(yè)系統(tǒng)與 C&C 之間的連線;同時(shí)亦可將惡意的連線轉(zhuǎn)移至內(nèi)部預(yù)先製造好的 Honeypot 之中，從中分析以更新資料庫及實(shí)時(shí)封鎖。

　　步驟六：黑客最終目的

　　攻擊者有很多不同目的，但大多數(shù)都是通過入侵目標(biāo)而進(jìn)行進(jìn)一步的入侵行為。例如入侵目標(biāo)系統(tǒng)并從中取得用戶資料、破壞主要基建等。企業(yè)可通過制定檔案?jìng)鬏斦�策并將之套用到防御方案上，這樣至少可防止黑客採用指令或非企業(yè)允許的工具傳輸檔案。通過采用適當(dāng)?shù)姆阑饓�、anti-malware 以及 endpoint protection 將可突破黑客網(wǎng)絡(luò)攻擊生命周期，并可針對(duì)惡意連結(jié)、C&C 服務(wù)器等進(jìn)行防御工作。

本文鏈接：http://m.51huadong.com/cloundnews/11000563.html