论文部分内容阅读
利用丰富的资源发现攻击,整顿松垮的基础设施。
据F-Secure的“2017年网络安全状况”报告,犯罪黑客使用基本的脚本式技术对维护不良的基础设施进行网络攻击。只要存在攻击脚本以及大量安全性不高的网络,这种情形就会持续下去。
SafeTreach首席技术官和联合创始人Itzik Kotler说,攻击脚本的数量正在攀升,因为黑客精英不断开发这类脚本并将其卖给其他人。这种趋势看起来没有任何停止的迹象。
那么什么是脚本?
脚本式攻击就是使用脚本。卡内基梅隆大学SEI CERT部门的团队负责人Michael Cook说:“脚本是一系列自动执行的命令或者计算机任务。”利用脚本,攻击者能够编排好很多同时进行的攻击,否则他们必须手动执行每一攻击,每次一个。
攻击者从几种脚本语言中选择他们的脚本,包括Bash、Ruby、Python、PowerShell、Visual Basic、JavaScript等。Cook说,所选择的语言可以是他们最熟悉的、最适合攻击路径中必要步骤的,也可以是与他们计划攻击的系统兼容的语言。因此,攻击者会在其攻击中使用多种脚本语言。Cook解释说,攻击者还可以使用打包器,使脚本在不兼容的环境中工作。
攻击者使用脚本自动完成攻击的每个阶段。Kotler说,一些脚本是扫描程序,执行ping扫描以确定某些IP地址范围是否存在并连接了网络;扫描程序还执行端口扫描以发现正在运行的服务是哪种类型。Kotler解释说,如果运行的服务版本有漏洞,脚本甚至可以启动适当的手段来攻击该漏洞。
脚本的功能不仅这些。据Kotler,脚本可以使用DNS枚举功能来列举出潜在的目标——这一过程识别DNS服务器并收集服务器信息,执行强力攻击,使用SSH或者远程桌面工具上的常用用户名和密码进行远程登录。
安全专业人士可以参考很多网络资源,以战胜脚本式攻击。可以在CERT上找到关于新攻击的提醒,并跟踪下去。OWASP会发布定制的Web应用程序攻击。可以使用CVE详细信息来跟踪新的漏洞。Kotler说,您可以关注推特和IRC渠道上的对话,以及GitHub上的项目和项目研讨。Kotler补充说:“SafeBreach维护着一本黑客手册,跟踪黑客使用的最新技术。”
黑帽黑客的目的
VMware的高级工程架构师Dennis Moreau说,脚本技术甚至可以使脚本小程序编排好网络攻击的整个生命周期,包括识别潜在的受害者、编排攻击、侦察、识别下一个受害者、偷取数据和攻击后清理。Moreau说:“旧金山MUNI攻击提供了一些实例,包括销毁证据(在票据终端)、勒索软件(勒索后恢复功能),以及偷窃和利用员工信息等。”
Cook说,脚本足以破坏计算机,构建出用于DDoS攻击的僵尸网络,收集信用卡信息或者其他PII,还能够在勒索软件攻击中对重要文件和系统进行加密。Cook指出:“攻击者付出一定的成本来编写攻击脚本,之后就能够成功地访问大量的系统,在攻击目标上获取其最大利益。”
黑帽黑客可以轻松地定制他们的脚本。当针对企业开发其基于脚本的攻击时,犯罪黑客可以采用新手段成功地完成攻击。Kotler解释道:“通过嵌入这些自动化的方法,并在其上添加一个未打补丁的新漏洞,例如,零日漏洞,黑帽黑客可以创建新的自我传播蠕虫。”
整顿您的基础设施,以对抗脚本式攻击
Kotler说,為整顿您的基础设施,可以采用与犯罪黑客所使用的相同的过程——即,自动化过程。Kotler说:“通过自动手段并模拟对手,公司能够了解攻击者的意图,预先主动找到问题,或者在无法修复时进行监控。”
Cook说,为准备好应对脚本式攻击,首先要了解您的网络。通过频繁的安全扫描、网络映射、帐户权限审核和渗透测试来发现漏洞。使用全面的补丁管理功能、正确地配置并强化系统来解决漏洞问题;重置权限,使用户和设备只拥有完成工作所需的最低权限。 所有这一切使企业能够关闭安全漏洞,减少漏洞,发现网络问题,并建立宝贵的安全环境,借助有限的资源做出明智的安全决策。进一步的工作步骤包括了解您的系统、组件和服务应该做什么,不应该做什么,在此基础上在防火墙、IPS和Web应用防火墙上实现最低权限安全策略,作为最基本的网络安全环境,同时定期检查这一策略。
Moreau说,您还应该对数据中心进行划分,以防止一次成功的攻击侵散到整个数据中心。把这种分段式的划分作为基础,实现数据中心(东/西流量)内双向数据流的可见性并进行控制。Moreau说:“结果的可见性将显示出攻击期间的异常行为,这些行为会尝试避开/击败您的端点保护措施;利用安全分析解决方案把显示出来的网络行为与正常行为以及潜在的恶意行为模式进行比较。”
CIS基准测试页面等可靠的网站提供了关于击败脚本技术的详细信息,针对各种平台提出了安全(强化)配置建议。其他可参考的网站包括提供免费安全评估的CERT、提供有关新攻击资料的Carnegie Mellon,而IEEE上有关于网络安全实现的文章。
据F-Secure的“2017年网络安全状况”报告,犯罪黑客使用基本的脚本式技术对维护不良的基础设施进行网络攻击。只要存在攻击脚本以及大量安全性不高的网络,这种情形就会持续下去。
SafeTreach首席技术官和联合创始人Itzik Kotler说,攻击脚本的数量正在攀升,因为黑客精英不断开发这类脚本并将其卖给其他人。这种趋势看起来没有任何停止的迹象。
那么什么是脚本?
脚本式攻击就是使用脚本。卡内基梅隆大学SEI CERT部门的团队负责人Michael Cook说:“脚本是一系列自动执行的命令或者计算机任务。”利用脚本,攻击者能够编排好很多同时进行的攻击,否则他们必须手动执行每一攻击,每次一个。
攻击者从几种脚本语言中选择他们的脚本,包括Bash、Ruby、Python、PowerShell、Visual Basic、JavaScript等。Cook说,所选择的语言可以是他们最熟悉的、最适合攻击路径中必要步骤的,也可以是与他们计划攻击的系统兼容的语言。因此,攻击者会在其攻击中使用多种脚本语言。Cook解释说,攻击者还可以使用打包器,使脚本在不兼容的环境中工作。
攻击者使用脚本自动完成攻击的每个阶段。Kotler说,一些脚本是扫描程序,执行ping扫描以确定某些IP地址范围是否存在并连接了网络;扫描程序还执行端口扫描以发现正在运行的服务是哪种类型。Kotler解释说,如果运行的服务版本有漏洞,脚本甚至可以启动适当的手段来攻击该漏洞。
脚本的功能不仅这些。据Kotler,脚本可以使用DNS枚举功能来列举出潜在的目标——这一过程识别DNS服务器并收集服务器信息,执行强力攻击,使用SSH或者远程桌面工具上的常用用户名和密码进行远程登录。
安全专业人士可以参考很多网络资源,以战胜脚本式攻击。可以在CERT上找到关于新攻击的提醒,并跟踪下去。OWASP会发布定制的Web应用程序攻击。可以使用CVE详细信息来跟踪新的漏洞。Kotler说,您可以关注推特和IRC渠道上的对话,以及GitHub上的项目和项目研讨。Kotler补充说:“SafeBreach维护着一本黑客手册,跟踪黑客使用的最新技术。”
黑帽黑客的目的
VMware的高级工程架构师Dennis Moreau说,脚本技术甚至可以使脚本小程序编排好网络攻击的整个生命周期,包括识别潜在的受害者、编排攻击、侦察、识别下一个受害者、偷取数据和攻击后清理。Moreau说:“旧金山MUNI攻击提供了一些实例,包括销毁证据(在票据终端)、勒索软件(勒索后恢复功能),以及偷窃和利用员工信息等。”
Cook说,脚本足以破坏计算机,构建出用于DDoS攻击的僵尸网络,收集信用卡信息或者其他PII,还能够在勒索软件攻击中对重要文件和系统进行加密。Cook指出:“攻击者付出一定的成本来编写攻击脚本,之后就能够成功地访问大量的系统,在攻击目标上获取其最大利益。”
黑帽黑客可以轻松地定制他们的脚本。当针对企业开发其基于脚本的攻击时,犯罪黑客可以采用新手段成功地完成攻击。Kotler解释道:“通过嵌入这些自动化的方法,并在其上添加一个未打补丁的新漏洞,例如,零日漏洞,黑帽黑客可以创建新的自我传播蠕虫。”
整顿您的基础设施,以对抗脚本式攻击
Kotler说,為整顿您的基础设施,可以采用与犯罪黑客所使用的相同的过程——即,自动化过程。Kotler说:“通过自动手段并模拟对手,公司能够了解攻击者的意图,预先主动找到问题,或者在无法修复时进行监控。”
Cook说,为准备好应对脚本式攻击,首先要了解您的网络。通过频繁的安全扫描、网络映射、帐户权限审核和渗透测试来发现漏洞。使用全面的补丁管理功能、正确地配置并强化系统来解决漏洞问题;重置权限,使用户和设备只拥有完成工作所需的最低权限。 所有这一切使企业能够关闭安全漏洞,减少漏洞,发现网络问题,并建立宝贵的安全环境,借助有限的资源做出明智的安全决策。进一步的工作步骤包括了解您的系统、组件和服务应该做什么,不应该做什么,在此基础上在防火墙、IPS和Web应用防火墙上实现最低权限安全策略,作为最基本的网络安全环境,同时定期检查这一策略。
Moreau说,您还应该对数据中心进行划分,以防止一次成功的攻击侵散到整个数据中心。把这种分段式的划分作为基础,实现数据中心(东/西流量)内双向数据流的可见性并进行控制。Moreau说:“结果的可见性将显示出攻击期间的异常行为,这些行为会尝试避开/击败您的端点保护措施;利用安全分析解决方案把显示出来的网络行为与正常行为以及潜在的恶意行为模式进行比较。”
CIS基准测试页面等可靠的网站提供了关于击败脚本技术的详细信息,针对各种平台提出了安全(强化)配置建议。其他可参考的网站包括提供免费安全评估的CERT、提供有关新攻击资料的Carnegie Mellon,而IEEE上有关于网络安全实现的文章。