應(yīng)對(duì)整個(gè)攻擊過(guò)程攻擊前、攻擊中和攻擊后

《應(yīng)對(duì)整個(gè)攻擊過(guò)程攻擊前、攻擊中和攻擊后》由會(huì)員上傳分享，免費(fèi)在線閱讀，更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)。

1、白皮書(shū)應(yīng)對(duì)整個(gè)攻擊過(guò)程：攻擊前、攻擊中和攻擊后啟用新的安全模式勢(shì)在必行當(dāng)前的威脅環(huán)境完全不同于10年前。那些損害可控的簡(jiǎn)單攻擊早已讓位于高度復(fù)雜、資金基礎(chǔ)雄厚且能對(duì)組織和國(guó)家基礎(chǔ)設(shè)施造成重創(chuàng)的現(xiàn)代網(wǎng)絡(luò)犯罪。這些高級(jí)攻擊不僅難以檢測(cè)，而且還會(huì)長(zhǎng)時(shí)間留在網(wǎng)絡(luò)內(nèi)，積累網(wǎng)絡(luò)資源，以便在其他地方發(fā)動(dòng)攻擊。完全依賴檢測(cè)與攔截來(lái)實(shí)現(xiàn)防護(hù)的傳統(tǒng)防御措施已經(jīng)遠(yuǎn)遠(yuǎn)不夠。目前的形勢(shì)要求啟用新的安全模式，在攻擊前、攻擊中和攻擊后的整個(gè)過(guò)程中提供保護(hù)。黑客活動(dòng)的產(chǎn)業(yè)化最早的電腦病毒出現(xiàn)距今已超過(guò)25年。當(dāng)時(shí)幾乎沒(méi)有人意識(shí)到，它們會(huì)成為黑客活動(dòng)產(chǎn)業(yè)化的開(kāi)端。近10

2、年來(lái)，病毒一直是主要的攻擊方式。隨著時(shí)間的推移，防御者在很大程度上能夠依靠攔截和防護(hù)能力來(lái)對(duì)抗這些病毒。隨著新漏洞不斷被發(fā)現(xiàn)和公布，攻擊者獲得了惡名，但也積累了越來(lái)越多的知識(shí)，這使得他們一直在不斷創(chuàng)新。隨之而來(lái)的，是清晰的威脅周期，也可以說(shuō)，這是一種“軍備競(jìng)賽”。大約每隔五年，攻擊者們就會(huì)推出新型的威脅（從宏病毒到蠕蟲(chóng)病毒，再到間諜軟件和rootkit），而防御者們則會(huì)快速創(chuàng)新，以保護(hù)網(wǎng)絡(luò)免受這些威脅的損害。毫無(wú)疑問(wèn)，我們可以把這些周期與那些帶來(lái)新攻擊載體的主要技術(shù)轉(zhuǎn)變對(duì)應(yīng)起來(lái)（見(jiàn)圖1）。早期的病毒主要是以操作系統(tǒng)為目標(biāo)，并通過(guò)“潛入者

3、網(wǎng)絡(luò)”進(jìn)行傳播。宏病毒利用用戶的文件共享進(jìn)行傳播。蠕蟲(chóng)類型的病毒利用企業(yè)網(wǎng)絡(luò)和不斷增加的互聯(lián)網(wǎng)活動(dòng)，在不同計(jì)算機(jī)之間傳播。間諜軟件和rootkit則伴隨新的應(yīng)用、設(shè)備和在線社區(qū)出現(xiàn)?，F(xiàn)在，我們面對(duì)的是高級(jí)惡意軟件、針對(duì)性攻擊和高級(jí)持續(xù)性威脅(APT)。這個(gè)時(shí)代與過(guò)去的不同在于攻擊背后的動(dòng)機(jī)與工具，這使得檢測(cè)、了解和阻止這些攻擊變得非常困難。圖1.黑客活動(dòng)的產(chǎn)業(yè)化?2014思科和/或其附屬公司。版權(quán)所有。本文檔所含內(nèi)容為思科公開(kāi)發(fā)布的信息。第1頁(yè)，共6頁(yè)黑客活動(dòng)的產(chǎn)業(yè)化正在創(chuàng)造一種更快、更有效且更高效的犯罪經(jīng)濟(jì)，他們會(huì)通過(guò)攻擊我們的IT基

4、礎(chǔ)設(shè)施獲取利益。有組織的漏洞交易非常猖獗且利益可觀，而開(kāi)放的市場(chǎng)更是推動(dòng)了從利用漏洞到盜竊、破壞和損毀數(shù)據(jù)的轉(zhuǎn)變。而且，隨著網(wǎng)絡(luò)罪犯意識(shí)到可以從中獲取巨額的資金，他們的工作變得越來(lái)越標(biāo)準(zhǔn)化、自動(dòng)化和流程化。攻擊者了解傳統(tǒng)安全技術(shù)的靜態(tài)特性及其相互獨(dú)立的部署，因此他們可以利用兩者之間的缺口及其內(nèi)部的漏洞。黑客集團(tuán)遵循軟件開(kāi)發(fā)流程甚至成了司空見(jiàn)慣的事情，比如他們會(huì)在發(fā)布自己的產(chǎn)品前針對(duì)安全技術(shù)進(jìn)行質(zhì)量保證測(cè)試或工作臺(tái)測(cè)試，以確保能夠繼續(xù)繞過(guò)常規(guī)防護(hù)?，F(xiàn)在，由于存在保密性方面的巨額經(jīng)濟(jì)獎(jiǎng)勵(lì)，許多“黑客活動(dòng)分子”團(tuán)隊(duì)因此會(huì)發(fā)動(dòng)能夠?yàn)樗麄儙?lái)經(jīng)濟(jì)

5、或政治收益而又極少會(huì)招致懲罰或起訴的攻擊。新的攻擊方法（例如：端口和協(xié)議跳躍、加密隧道、植入程序、以及使用社交工程和零日攻擊的復(fù)合型威脅和技術(shù)）使得黑客能夠更加輕松迅速地入侵，且成本更低，同時(shí)也增加了防御者檢測(cè)和攔截攻擊的難度。另外，這些方法還具有巧妙逃避的特性，因此，攻擊能夠自己在入侵企業(yè)后迅速變化，尋找穩(wěn)固的立足點(diǎn)并竊取重要數(shù)據(jù)?！叭婊ネā碧魬?zhàn)現(xiàn)代的擴(kuò)展網(wǎng)絡(luò)及其組件在不斷地變化，并造就了新的攻擊媒介。其中包括移動(dòng)設(shè)備、具備網(wǎng)絡(luò)功能的移動(dòng)應(yīng)用、虛擬機(jī)監(jiān)控程序、社交媒體、網(wǎng)絡(luò)瀏覽器和嵌入式計(jì)算機(jī)，以及我們初步構(gòu)想的由萬(wàn)物互聯(lián)所帶來(lái)的數(shù)

6、量激增的各種設(shè)備和服務(wù)。人們需要使用各種設(shè)備、訪問(wèn)各種應(yīng)用并使用許多不同的云，因此總是與網(wǎng)絡(luò)息息相關(guān)。這種普及性就是所謂的“全面互通”挑戰(zhàn)。這些動(dòng)態(tài)性在方便我們的通信的同時(shí)，也增加了可讓黑客用以入侵的入口點(diǎn)和方法。遺憾的是，大多數(shù)組織處理安全問(wèn)題的方法尚未實(shí)現(xiàn)統(tǒng)一。大多數(shù)組織采用相互獨(dú)立的技術(shù)來(lái)保護(hù)擴(kuò)展網(wǎng)絡(luò)，這些技術(shù)不會(huì)也無(wú)法協(xié)同工作。他們還可能過(guò)分地依賴云安全服務(wù)供應(yīng)商和托管公司來(lái)保護(hù)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施。在這一新的現(xiàn)實(shí)情況下，安全管理員往往對(duì)訪問(wèn)企業(yè)網(wǎng)絡(luò)的設(shè)備和應(yīng)用具有較低的可視性和可控性，而且能力不足以應(yīng)對(duì)新的威脅形勢(shì)。新的安全動(dòng)態(tài)面對(duì)

7、高級(jí)攻擊和任意點(diǎn)對(duì)點(diǎn)基礎(chǔ)設(shè)施共同帶來(lái)的挑戰(zhàn)，安全專業(yè)人員提出了三大問(wèn)題：1.伴隨著新的業(yè)務(wù)模式和攻擊媒介的出現(xiàn)，我們?nèi)绾卧贗T形勢(shì)不斷變化時(shí)保持安全性和合規(guī)性？那些為了獲得云、虛擬化或移動(dòng)技術(shù)所提供的工作效率、靈活性與效率而過(guò)渡到這些設(shè)備的組織，必須對(duì)其安全基礎(chǔ)設(shè)施進(jìn)行相應(yīng)地調(diào)整。2.在不斷變化的威脅形勢(shì)下，我們?nèi)绾翁岣吣芰?lái)持續(xù)防御新的攻擊媒介和日益復(fù)雜的威脅？攻擊者不會(huì)區(qū)別對(duì)待；他們會(huì)抓住該鏈條中的任何薄弱環(huán)節(jié)。他們會(huì)頻繁使用專為規(guī)避目標(biāo)所選擇的安全基礎(chǔ)設(shè)施而開(kāi)發(fā)的工具，毫不留情地攻擊相應(yīng)環(huán)節(jié)。他們會(huì)使用那些危害表現(xiàn)極其細(xì)微的技術(shù)和

8、方法，在規(guī)避檢測(cè)方面竭盡全力。3.我們?nèi)绾尾拍軌蚪鉀Q前兩個(gè)問(wèn)題并同時(shí)降低安全解決方案的復(fù)雜性與凌亂性？留下可被當(dāng)今經(jīng)驗(yàn)豐富的攻擊者利用的防護(hù)缺口，將會(huì)給組織帶來(lái)難以承受的代價(jià)。同時(shí)，由于未進(jìn)行集成的不同安全