資源描述:
《應(yīng)對整個攻擊過程攻擊前��、攻擊中和攻擊后》由會員上傳分享�����,免費在線閱讀�����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫����。
1、白皮書應(yīng)對整個攻擊過程:攻擊前�����、攻擊中和攻擊后啟用新的安全模式勢在必行當前的威脅環(huán)境完全不同于10年前�����。那些損害可控的簡單攻擊早已讓位于高度復(fù)雜����、資金基礎(chǔ)雄厚且能對組織和國家基礎(chǔ)設(shè)施造成重創(chuàng)的現(xiàn)代網(wǎng)絡(luò)犯罪����。這些高級攻擊不僅難以檢測�����,而且還會長時間留在網(wǎng)絡(luò)內(nèi)����,積累網(wǎng)絡(luò)資源,以便在其他地方發(fā)動攻擊���。完全依賴檢測與攔截來實現(xiàn)防護的傳統(tǒng)防御措施已經(jīng)遠遠不夠���。目前的形勢要求啟用新的安全模式,在攻擊前��、攻擊中和攻擊后的整個過程中提供保護����。黑客活動的產(chǎn)業(yè)化最早的電腦病毒出現(xiàn)距今已超過25年����。當時幾乎沒有人意識到���,它們會成為黑客活動產(chǎn)業(yè)化的開端。近10
2�����、年來����,病毒一直是主要的攻擊方式。隨著時間的推移���,防御者在很大程度上能夠依靠攔截和防護能力來對抗這些病毒�����。隨著新漏洞不斷被發(fā)現(xiàn)和公布����,攻擊者獲得了惡名�����,但也積累了越來越多的知識,這使得他們一直在不斷創(chuàng)新����。隨之而來的,是清晰的威脅周期��,也可以說����,這是一種“軍備競賽”。大約每隔五年���,攻擊者們就會推出新型的威脅(從宏病毒到蠕蟲病毒����,再到間諜軟件和rootkit)���,而防御者們則會快速創(chuàng)新����,以保護網(wǎng)絡(luò)免受這些威脅的損害�。毫無疑問,我們可以把這些周期與那些帶來新攻擊載體的主要技術(shù)轉(zhuǎn)變對應(yīng)起來(見圖1)���。早期的病毒主要是以操作系統(tǒng)為目標�,并通過“潛入者
3�、網(wǎng)絡(luò)”進行傳播。宏病毒利用用戶的文件共享進行傳播�����。蠕蟲類型的病毒利用企業(yè)網(wǎng)絡(luò)和不斷增加的互聯(lián)網(wǎng)活動���,在不同計算機之間傳播�����。間諜軟件和rootkit則伴隨新的應(yīng)用�����、設(shè)備和在線社區(qū)出現(xiàn)?,F(xiàn)在���,我們面對的是高級惡意軟件�、針對性攻擊和高級持續(xù)性威脅(APT)���。這個時代與過去的不同在于攻擊背后的動機與工具�����,這使得檢測�����、了解和阻止這些攻擊變得非常困難�����。圖1.黑客活動的產(chǎn)業(yè)化?2014思科和/或其附屬公司�����。版權(quán)所有�����。本文檔所含內(nèi)容為思科公開發(fā)布的信息��。第1頁����,共6頁黑客活動的產(chǎn)業(yè)化正在創(chuàng)造一種更快��、更有效且更高效的犯罪經(jīng)濟���,他們會通過攻擊我們的IT基
4�、礎(chǔ)設(shè)施獲取利益。有組織的漏洞交易非常猖獗且利益可觀�����,而開放的市場更是推動了從利用漏洞到盜竊�、破壞和損毀數(shù)據(jù)的轉(zhuǎn)變。而且��,隨著網(wǎng)絡(luò)罪犯意識到可以從中獲取巨額的資金����,他們的工作變得越來越標準化、自動化和流程化����。攻擊者了解傳統(tǒng)安全技術(shù)的靜態(tài)特性及其相互獨立的部署,因此他們可以利用兩者之間的缺口及其內(nèi)部的漏洞���。黑客集團遵循軟件開發(fā)流程甚至成了司空見慣的事情��,比如他們會在發(fā)布自己的產(chǎn)品前針對安全技術(shù)進行質(zhì)量保證測試或工作臺測試���,以確保能夠繼續(xù)繞過常規(guī)防護?����,F(xiàn)在�,由于存在保密性方面的巨額經(jīng)濟獎勵�,許多“黑客活動分子”團隊因此會發(fā)動能夠為他們帶來經(jīng)濟
5、或政治收益而又極少會招致懲罰或起訴的攻擊��。新的攻擊方法(例如:端口和協(xié)議跳躍����、加密隧道、植入程序�、以及使用社交工程和零日攻擊的復(fù)合型威脅和技術(shù))使得黑客能夠更加輕松迅速地入侵,且成本更低�����,同時也增加了防御者檢測和攔截攻擊的難度���。另外�����,這些方法還具有巧妙逃避的特性�����,因此�����,攻擊能夠自己在入侵企業(yè)后迅速變化����,尋找穩(wěn)固的立足點并竊取重要數(shù)據(jù)�����?!叭婊ネā碧魬?zhàn)現(xiàn)代的擴展網(wǎng)絡(luò)及其組件在不斷地變化,并造就了新的攻擊媒介����。其中包括移動設(shè)備、具備網(wǎng)絡(luò)功能的移動應(yīng)用�����、虛擬機監(jiān)控程序、社交媒體�、網(wǎng)絡(luò)瀏覽器和嵌入式計算機,以及我們初步構(gòu)想的由萬物互聯(lián)所帶來的數(shù)
6��、量激增的各種設(shè)備和服務(wù)����。人們需要使用各種設(shè)備、訪問各種應(yīng)用并使用許多不同的云���,因此總是與網(wǎng)絡(luò)息息相關(guān)�����。這種普及性就是所謂的“全面互通”挑戰(zhàn)�。這些動態(tài)性在方便我們的通信的同時����,也增加了可讓黑客用以入侵的入口點和方法。遺憾的是�,大多數(shù)組織處理安全問題的方法尚未實現(xiàn)統(tǒng)一。大多數(shù)組織采用相互獨立的技術(shù)來保護擴展網(wǎng)絡(luò),這些技術(shù)不會也無法協(xié)同工作��。他們還可能過分地依賴云安全服務(wù)供應(yīng)商和托管公司來保護互聯(lián)網(wǎng)基礎(chǔ)設(shè)施����。在這一新的現(xiàn)實情況下,安全管理員往往對訪問企業(yè)網(wǎng)絡(luò)的設(shè)備和應(yīng)用具有較低的可視性和可控性����,而且能力不足以應(yīng)對新的威脅形勢。新的安全動態(tài)面對
7�����、高級攻擊和任意點對點基礎(chǔ)設(shè)施共同帶來的挑戰(zhàn)�,安全專業(yè)人員提出了三大問題:1.伴隨著新的業(yè)務(wù)模式和攻擊媒介的出現(xiàn)�����,我們?nèi)绾卧贗T形勢不斷變化時保持安全性和合規(guī)性����?那些為了獲得云、虛擬化或移動技術(shù)所提供的工作效率�、靈活性與效率而過渡到這些設(shè)備的組織,必須對其安全基礎(chǔ)設(shè)施進行相應(yīng)地調(diào)整。2.在不斷變化的威脅形勢下�,我們?nèi)绾翁岣吣芰沓掷m(xù)防御新的攻擊媒介和日益復(fù)雜的威脅?攻擊者不會區(qū)別對待�;他們會抓住該鏈條中的任何薄弱環(huán)節(jié)。他們會頻繁使用專為規(guī)避目標所選擇的安全基礎(chǔ)設(shè)施而開發(fā)的工具�,毫不留情地攻擊相應(yīng)環(huán)節(jié)。他們會使用那些危害表現(xiàn)極其細微的技術(shù)和
8����、方法,在規(guī)避檢測方面竭盡全力���。3.我們?nèi)绾尾拍軌蚪鉀Q前兩個問題并同時降低安全解決方案的復(fù)雜性與凌亂性��?留下可被當今經(jīng)驗豐富的攻擊者利用的防護缺口����,將會給組織帶來難以承受的代價��。同時�����,由于未進行集成的不同安全
