服務(wù)項(xiàng)目
聯(lián)系方式
聯(lián)系人:楊先生
電話:0532-4634556
傳真:0532-4634556
郵箱:service@jialinwallclock.com
數(shù)據(jù)如何不翼而飛 |
編輯:青島正達(dá)電腦維修服務(wù)公司 時(shí)間:2013/06/25 字號(hào):大 中 小 |
摘要:數(shù)據(jù)如何不翼而飛 |
大多數(shù)人都認(rèn)為應(yīng)該防止黑客的入侵,但是一旦黑客進(jìn)入了內(nèi)部,又是如何將數(shù)據(jù)弄到外面的?Trustwav公司SpiderLab研究向我揭示的答案往往非常簡(jiǎn)單。 網(wǎng)絡(luò)犯罪分子在攻擊的方法上變得越來(lái)越復(fù)雜。也往往將此等同于數(shù)據(jù)潛回的方法。盡管移動(dòng)設(shè)備或物理盜賊也可以利用,但是數(shù)據(jù)的潛回或輸出通常都是網(wǎng)絡(luò)渠道的系統(tǒng)上復(fù)制數(shù)據(jù)過(guò)程中發(fā)生的 SpiderLab2009年對(duì)24個(gè)不同國(guó)家的200起數(shù)據(jù)違規(guī)事件進(jìn)行了調(diào)查。雖然網(wǎng)絡(luò)犯罪分子從違規(guī)環(huán)境中獲取數(shù)據(jù)的方法多種多樣,但是入侵某個(gè)環(huán)境的方法往往都是通過(guò)遠(yuǎn)程訪問(wèn)那些被目標(biāo)企業(yè)使用的應(yīng)用程序。SpiderLab調(diào)查中,45%違規(guī)事件是因?yàn)檫h(yuǎn)程訪問(wèn)應(yīng)用而使系統(tǒng)遭到違規(guī)的并且不是零日漏洞攻擊或復(fù)雜的應(yīng)用程序漏洞,攻擊現(xiàn)象看起來(lái)與IT員工和CEO外出過(guò)程中遠(yuǎn)程連接網(wǎng)絡(luò)并無(wú)太大差異。攻擊者也不需要通過(guò)蠻力獲得賬戶。SpiderLab發(fā)現(xiàn),90%攻擊事件得以成功因?yàn)楣?yīng)商違約或易被猜透的密碼,例如"temp:temp"或"admin:nimda" 一旦確立一個(gè)立足點(diǎn),攻擊者往往使用網(wǎng)絡(luò)列舉工具。網(wǎng)絡(luò)列舉工具往往被攻擊者用來(lái)挖掘同一環(huán)境中的其他目標(biāo)或檢索系統(tǒng)信息用,例如用戶名、組權(quán)限、網(wǎng)絡(luò)共享和可用服務(wù)。如果列舉工具收集到噪音就可以排除受到攻擊的可能。糟糕的發(fā)現(xiàn)多數(shù)機(jī)構(gòu)都沒(méi)有適當(dāng)?shù)貙?duì)自己的系統(tǒng)進(jìn)行監(jiān)測(cè),因此無(wú)法覺(jué)察到這些現(xiàn)象。 作為一種工具,可以讓攻擊者通過(guò)可信的私人電路進(jìn)入別的酒店物業(yè)系統(tǒng)。不法分子隨后利用內(nèi)部連接,最終導(dǎo)致那些物理分布比較分散的站點(diǎn)的數(shù)據(jù)被違規(guī)。 一旦攻擊者獲得目標(biāo)企業(yè)的訪問(wèn)權(quán)限,就會(huì)使用手動(dòng)或者自動(dòng)的方法獲取數(shù)據(jù)。使用手動(dòng)方法可以盜取有漏洞的數(shù)據(jù)庫(kù)和文件,使用特定的關(guān)鍵字進(jìn)一步確定數(shù)據(jù)就可進(jìn)行操作系統(tǒng)的搜索。 自動(dòng)的方法主要是編寫(xiě)專門(mén)的惡意軟件,利用處理機(jī)密信息的應(yīng)用程序的安全控件中的漏洞來(lái)達(dá)到目的一般來(lái)說(shuō),許多應(yīng)用的安全設(shè)計(jì)并不適用于別的控件,數(shù)據(jù)處理組件的報(bào)警功能也不明確。雖然數(shù)據(jù)是由目標(biāo)系統(tǒng)處理的但可接收、儲(chǔ)存加密數(shù)據(jù)并將數(shù)據(jù)傳輸?shù)缴嫌沃鳈C(jī)的目標(biāo)系統(tǒng)易受到數(shù)據(jù)違規(guī)。這是因?yàn)橄到y(tǒng)處理數(shù)據(jù)必須被解密為RA M以便應(yīng)用程序可以使用。這一過(guò)程中,2009年網(wǎng)絡(luò)犯罪分子多次使用RA M解析器。67%SpiderLab調(diào)查與惡意軟件有關(guān),說(shuō)明自動(dòng)工具被用來(lái)獲取非RA M數(shù)據(jù)。 如何應(yīng)對(duì) 平均來(lái)說(shuō),網(wǎng)絡(luò)犯罪分子獲取目標(biāo)系統(tǒng)或數(shù)據(jù)訪問(wèn)權(quán)限的時(shí)間是156天。這段時(shí)間內(nèi),攻擊者進(jìn)入環(huán)境,設(shè)置他工具來(lái)移動(dòng)數(shù)據(jù),并在IT人員或部門(mén)對(duì)他行動(dòng)采取行動(dòng)之前獲取數(shù)據(jù)。2009年的一些調(diào)查顯示,一些網(wǎng)絡(luò)犯罪分子經(jīng)常在三年內(nèi)頻繁活動(dòng)。2009年比較典型的長(zhǎng)期的檢測(cè),似乎還運(yùn)用了一些知識(shí),網(wǎng)絡(luò)犯罪分子的活動(dòng)不是隱形的 38個(gè)案例中,網(wǎng)絡(luò)犯罪分子使用遠(yuǎn)程訪問(wèn)程序方便第一次進(jìn)入提取數(shù)據(jù)。其他現(xiàn)有服務(wù),如本地FTP和HTTP客戶端功能,也經(jīng)常被用來(lái)進(jìn)行數(shù)據(jù)滲漏。尤其是當(dāng)惡意軟件被用來(lái)數(shù)據(jù)滲漏的時(shí)候,F(xiàn)TPSMTP和IRC功能就會(huì)被定期觀察。對(duì)特制惡意軟件進(jìn)行逆向分析的過(guò)程中,二進(jìn)制會(huì)泄露FTP功能的存在包括硬編碼IP地址和證書(shū)。有了現(xiàn)成的惡意軟件,如按鍵記錄器,攻擊者往往用內(nèi)置的FTP和郵件功能滲漏數(shù)據(jù)。當(dāng)郵件服務(wù)被用來(lái)提取數(shù)據(jù)的時(shí)候,攻擊者往往會(huì)直接安裝惡意的SMTP服務(wù)器到遭受違規(guī)的系統(tǒng)中,以確保數(shù)據(jù)可以正常地傳送。 只有個(gè)別情況的數(shù)據(jù)滲漏使用了加密渠道,進(jìn)一步表明犯罪分子不關(guān)注警報(bào)是否存在由于本地可用網(wǎng)絡(luò)服務(wù)的存在以及缺乏適當(dāng)?shù)某隹谶^(guò)濾并且使用了不適當(dāng)?shù)南到y(tǒng)檢測(cè)做法,犯罪分子往往使用可用的網(wǎng)絡(luò)服務(wù)或安裝他自己的基礎(chǔ)服務(wù)。 很顯然,所有的案例中,敏感數(shù)據(jù)被輸送到目標(biāo)環(huán)境之外。這一過(guò)程中,IT安全團(tuán)隊(duì)根本不會(huì)監(jiān)測(cè)到數(shù)據(jù)泄漏的發(fā)生。 尋找攻擊跡象的時(shí)候,IT安全團(tuán)隊(duì)似乎期望情況時(shí)復(fù)雜的而攻擊者往往非常簡(jiǎn)單,甚至可能在例行的日志審查中表現(xiàn)為“良性”數(shù)據(jù)沒(méi)有離開(kāi)目標(biāo)環(huán)境之前,不會(huì)有跡象表明遭到違規(guī)。密切關(guān)注“標(biāo)準(zhǔn)”系統(tǒng)的正?!被顒?dòng)行為是避免亡羊補(bǔ)牢的重要措施。應(yīng)該用懷疑的視角審視每一個(gè)不正常的行為并通過(guò)內(nèi)部調(diào)查的做法解決問(wèn)題,如果必要的話還應(yīng)該請(qǐng)外部專家進(jìn)行再審。 |
上一條:特殊內(nèi)存故障的解決 | 下一條:如何讓你的電腦百毒不侵 |