大多数人都认为应该防止黑客的入侵,但是一旦黑客进入了你们内部,他们又是如何将数据弄到外面的?Trustwave公司SpiderLabs的研究向我们揭示的答案往往非常简单。
网络犯罪分子在攻击的方法上变得越来越复杂。我们也往往将此等同于数据潜回的方法。尽管移动设备或物理盗贼也可以利用,但是数据的潜回或输出通常都是在网络渠道的系统上复制数据过程中发生的。
SpiderLabs 2009年对24个不同国家的200起数据违规事件进行了调查。虽然网络犯罪分子从违规环境中获取数据的方法多种多样,但是他们入侵某个环境的方法往往都是通过远程访问那些被目标企业使用的应用程序。在SpiderLabs的调查中,45%的违规事件是因为远程访问应用而使系统遭到违规的。并且不是零日漏洞攻击或复杂的应用程序漏洞,攻击现象看起来与IT员工和CEO在外出过程中远程连接网络并无太大差异。攻击者也不需要通过蛮力获得账户。SpiderLabs发现,90%的攻击事件得以成功因为供应商违约或易被猜透的密码,例如"temp:temp"或"admin:nimda" 。
一旦确立一个立足点,攻击者往往使用网络列举工具。网络列举工具往往被攻击者用来挖掘同一环境中的其他目标或检索系统信息用,例如用户名、组权限、网络共享和可用服务。如果列举工具收集到了噪音就可以排除受到攻击的可能。糟糕的是,我们发现多数机构都没有适当地对自己的系统进行监测,因此无法觉察到这些现象。
作为一种工具,它可以让攻击者通过可信的私人电路进入别的酒店物业系统。不法分子随后利用内部连接,最终导致那些物理分布比较分散的站点的数据被违规。
一旦攻击者获得目标企业的访问权限,他们就会使用手动或者自动的方法获取数据。使用手动方法可以盗取有漏洞的数据库和文件,使用特定的关键字进一步确定数据就可进行操作系统的搜索。
自动的方法主要是编写专门的恶意软件,利用处理机密信息的应用程序的安全控件中的漏洞来达到目的。一般来说,许多应用的安全设计并不适用于别的控件,数据处理组件的报警功能也不明确。虽然数据是由目标系统处理的,但可接收、储存加密数据并将数据传输到上游主机的目标系统易受到数据违规。这是因为系统处理数据必须被解密为RAM,以便应用程序可以使用。在这一过程中,2009年网络犯罪分子多次使用RAM解析器。67%的SpiderLabs调查与恶意软件有关,说明自动工具被用来获取非RAM的数据。
如何应对
平均来说,网络犯罪分子获取目标系统或数据访问权限的时间是156天。在这段时间内,攻击者进入环境,设置他们的工具来移动数据,并在IT人员或部门对他们的行动采取行动之前获取数据。2009年的一些调查显示,一些网络犯罪分子经常在三年内频繁活动。2009年比较典型的长期的检测,似乎还运用了一些知识,网络犯罪分子的活动不是隐形的。
在38个案例中,网络犯罪分子使用远程访问程序方便第一次进入提取数据。其他的现有服务,如本地FTP和HTTP客户端功能,也经常被用来进行数据渗漏。尤其是当恶意软件被用来数据渗漏的时候,FTP、SMTP和IRC功能就会被定期观察。在对特制恶意软件进行逆向分析的过程中,二进制会泄露FTP功能的存在,包括硬编码IP地址和证书。有了现成的恶意软件,如按键记录器,攻击者往往用内置的FTP和邮件功能渗漏数据。当邮件服务被用来提取数据的时候,攻击者往往会直接安装恶意的SMTP服务器到遭受违规的系统中,以确保数据可以正常地传送。
只有个别情况的数据渗漏使用了加密渠道,进一步表明犯罪分子不关注警报是否存在。由于本地可用网络服务的存在,以及缺乏适当的出口过滤并且使用了不适当的系统检测做法,犯罪分子往往使用可用的网络服务或安装他们自己的基础服务。
很显然,在所有的案例中,敏感数据被输送到了目标环境之外。在这一过程中,IT安全团队根本不会监测到数据泄漏的发生。
在寻找攻击迹象的时候,IT安全团队似乎期望情况时复杂的。而攻击者往往非常简单,甚至可能在例行的日志审查中表现为“良性”。数据没有离开目标环境之前,不会有迹象表明遭到了违规。密切关注“标准”系统的“正常”活动行为是避免亡羊补牢的重要措施。应该用怀疑的视角审视每一个不正常的行为并通过内部调查的做法解决问题,如果必要的话还应该请外部专家进行再审。
