1 新型威胁的应对之策
1.1 总体思路
2011年7月13日~14日,RSA与TechAmerica举办一次针对APT的闭门峰会。有大约100位CISO,CIO和CEO参加,涵盖政府、金融、制造、医药、技术、服务业等多个领域。在峰会上,与会专家总结了应对APT的10条共识:
1) 攻击手段已经从技术延伸到人。社会工程学是第一位的威胁向量。人成为了新的网络边界,只要给定恰当的上下文,任何人都可能成为钓鱼受害者。而传统的对人员进行安全意识培训的方法也不足以应付钓鱼攻击。
2) 组织必须学会在已经遭受攻击的情况下生存。阻止攻击者进来是不现实的,更现实的做法是规划好在攻击者已经进来后应该采取什么响应动作。组织应该将重点放在如何尽快关闭遭受破坏的时间窗口,降低损失上,例如隔离系统、阻止敏感信息外泄,以及回到诸如“最小特权”、“纵深防御”这些核心的IT安全原则上来。防御的关键在于找到本组织中最核心最的、最需要受到保护的资产,清楚地知道这些资产在哪儿,谁对他进行了访问,在出现攻击的时候如何将资产隔离(锁定);
3) 要提前监测出威胁必须依靠态势感知,尤其是需要更大范围的态势感知,不能只关注于自身网络中的态势,而要关注与自身网络相关的整个生态系统的态势。企业间合作共享十分重要。
4) 利用供应链发起攻击的情况正在抬头,供应链正在成为安全防御中的最薄弱环节,攻击者正在通过研究和收集可信供应商的弱点来发起攻击。而对供应商的安全检测是一个巨大的挑战。可以借助一些方法,例如信誉评级、第三方审计、外部监测等。
5) 突发事件响应应该是整个组织的事情,而非纯安全的事,并且要事先就制定好应对APT的突发事件响应程序/计划,并做好演练。
6) 定制化——作为APT的一个重要特点——是对传统的基于签名(特征)的检测方法的重大挑战。定制化即意味着攻击的目的性极强,并且利用0day包装出一个攻击的速度极快,而研究出这个漏洞的签名(特征)则慢得多。
7) 目前攻击方在实时情报共享方面做的比防御者更好。防御者在情报共享方面存在诸多障碍。而快速有效的情报共享是目前的第一要务。
8) 组织必须积极主动地去尽早发现攻击,并用各种方式破坏攻击链条(路径)。
9) 现在公开出来的APT攻击仅仅是冰山一角。同时,除了关注数据窃取,还要关注其他目的的APT攻击,例如poisoning, disruption,embarrassment 。
10) 简单的安全才是更好的安全。我们要简化我们的技术环境(IT基础架构),只有更好的理解资产、流程和端点(终端)才有机会进行真正的防御。使用最小的技术去达成一个目标。
2012年8月,RSA发布了著名的报告——《当APT成为主流》。报告提及了现在组织和企业中现有的安全防护体系存在一些缺陷,导致很难识别APT攻击。现有的防护体系包括FW,AV,IDS/IPS,SIEM/SOC,以及CERT和组织结构,工作流程等等。都存在不足。报告指出,应对APT需要采取一种与以往不同的信息安全策略,这种策略被称作“高级方法”。他与传统的方法相比,更加注重对核心资产的保护、技术手段上更加注重检测技术、以数据为中心、分析日志更多是为了检测威胁、注重攻击模式的发现和描述、从情报分析的高度来分析威胁。
《当APT成为主流》提出了7条建议:
1) 进行高级情报收集与分析 – 让情报成为战略的基石。
2) 建立智能监测机制 – 知道要寻找什么,并建立信息安全与网络监控机制,以寻找所要寻找之物。
3) 重新分配访问控制权 – 控制特权用户的访问。
4) 认真开展有实效的用户培训 – 培训用户以识别社会工程攻击,并迫使用户承担保证企业信息安全的个人责任。
5) 管理高管预期 – 确保最高管理层认识到,抗击高级持续性攻击的本质是与数字军备竞赛战斗。
6) 重新设计IT架构 – 从扁平式网络转变为分隔式网络,使攻击者难以在网络中四处游荡,从而难以发现最宝贵的信息。
7) 参与情报交换 – 分享信息安全威胁情报,利用其他企业积累的知识。
Verizon发布的《2013年数据破坏调查报告》中则更加简明扼要的概括了应对APT的最高原则——知己、更要知彼,强调真正的主动安全是料敌先机,核心就是对安全威胁情报的分析与分享。
1.2 技术手段分析
从具体的技术层面来说,为了应对APT攻击,新的技术也是层出不穷。
从监测和检测的角度,为了识别APT,可以从APT攻击的各个环节进行突破,任一环节能够识别即可断开整个链条。
根据APT攻击过程,我们可以从防范钓鱼攻击、识别邮件中的恶意代码、识别主机上的恶意代码、识别僵尸网络(C&C)通讯、监测网络数据渗出等多个环节入手。
而不论从哪个环节入手,都主要涉及以下几类新型技术手段:
1.2.1 基于沙箱的恶意代码检测技术
要检测恶意代码,最具挑战性的就是利用0day漏洞的恶意代码。因为是0day,就意味着没有特征,传统的恶意代码检测技术就此失效。沙箱技术通俗的讲就是构造一个模拟的执行环境,让可疑文件在这个模拟环境中运行起来,通过可疑文件触发的外在行为来判定是否是恶意代码。
沙箱技术的模拟环境可以是真实的模拟环境,也可以是一个虚拟的模拟环境。而虚拟的模拟环境可以通过虚拟机技术来构建,或者通过一个特制程序来虚拟。
1.2.2 基于异常的流量检测技术
传统的IDS都是基于特征(签名)的技术去进行DPI分析,有的也用到了一些简单DFI分析技术。面对新型威胁,DFI技术的应用需要进一步深化。基于Flow,出现了一种基于异常的流量检测技术,通过建立流量行为轮廓和学习模型来识别流量异常,进而识别0day攻击、C&C通讯,以及信息渗出。本质上,这是一种基于统计学和机器学习的技术。
1.2.3 全包捕获与分析技术
应对APT攻击,需要做好最坏的打算。万一没有识别出攻击并遭受了损失怎么办?对于某些情况,我们需要全包捕获及分析技术(FPI)。借助天量的存储空间和大数据分析(BDA)方法,FPI能够抓取网络中的特定场合下的全量数据报文并存储起来,进行历史分析或者准实时分析。通过内建的高效索引机制及相关算法,协助分析师剖丝抽茧,定位问题。
1.2.4 信誉技术
信誉技术早已存在,在面对新型威胁的时候,可以助其他检测技术一臂之力。无论是WEB URL信誉库、文件MD5码库、僵尸网络地址库,还是威胁情报库,都是检测新型威胁的有力武器。而信誉技术的关键在于信誉库的构建,这需要一个强有力的技术团队来维护。
1.2.5 综合分析技术
所谓综合分析,就是在前述所有技术之上的,并且涵盖传统检测技术之上的,一个横向贯穿的分析。我们已经知道APT攻击是一个过程,是一个组合,如果能够将APT攻击各个环节的信息综合到一起,有助于确认一个APT攻击行为。
综合分析技术要能够从零散的攻击事件背后透视出真正的持续攻击行为,包括组合攻击检测技术、大时间跨度的攻击行为分析技术、态势分析技术、情境分析技术,等等。
1.2.6 人的技能
最后,要实现对新型攻击的防范,除了上述新的监测/检测技术之外,还需要依靠强有力的专业分析服务做支撑,通过专家团队和他们的最佳实践,不断充实安全知识库,进行即时的可疑代码分析、渗透测试、漏洞验证,等等。安全专家的技能永远是任何技术都无法完全替代的。#p#
2 新型威胁的最新技术发展动向
新型威胁自身也在不断发展进化,以适应新的安全监测、检测与防御技术带来的挑战。以下简要分析新型威胁采取的一些新技术。
2.1 精准钓鱼
精准钓鱼是一种精确制导的钓鱼式攻击,比普通的定向钓鱼(spear phishing)更聚焦,只有在被攻击者名单中的人才会看到这个钓鱼网页,其他人看到的则是404 error。也就是说,如果你不在名单之列,看不到钓鱼网页。如此一来,一方面攻击的精准度更高,另一方面也更加保密,安全专家更难进行追踪(因为你不知道名单,且不在名单之列)。
2.2 高级隐遁技术
高级隐遁技术这个术语最初源自2010年芬兰的Stonesoft公司(2013年5月被McAfee收购)的一个研究成果。高级隐遁技术(AET,Advanced Evasion Technology)是一种通过伪装和/或修饰网络攻击以躲避信息安全系统的检测和阻止的手段。
高级隐遁技术是一系列规避安全检测的技术的统称,可以分为网络隐遁和主机隐遁,而网络隐遁又包括协议组合、字符变换、通讯加密、0day漏洞利用等技术。
2.3 沙箱逃避
新型的恶意代码设计越来越精巧,想方设法逃避沙箱技术的检测。例如有的恶意代码只有在用户鼠标移动的时候才会被执行,从而使得很多自动化执行的沙箱没法检测到可疑行为。还有的沙箱用到了虚拟机方式来执行,那么恶意代码的制作者就会想办法去欺骗虚拟机。
2.4 水坑式攻击
所谓“水坑攻击”,是指黑客通过分析被攻击者的网络活动规律,寻找被攻击者经常访问的网站的弱点,先攻下该网站并植入攻击代码,等待被攻击者来访时实施攻击。这种攻击行为类似《动物世界》纪录片中的一种情节:捕食者埋伏在水里或者水坑周围,等其他动物前来喝水时发起攻击猎取食物。
3 结语
总之,在应对新型威胁的道路上,我们还有很多工作需要去做。
起到抗癌作用的食物有哪些?
西谚有云:一日一苹果,医生远离我。 适当的食物确有致病、防病之功效,例如蛋白质、锌、维生素C和E,这些营养都有助于巩固我们的免疫系统。 免疫系统十分脆弱,它不象心脏和循环系统那样坚强。 皮肤的免疫系统包含一系列的复杂屏障,防范病毒的侵犯。 举例说,皮肤、鼻孔和肺里的粘膜粘液是我们身体的第一道防线,抵抗细菌和病毒的侵袭。 在精神上备受压力或营养不良时期,我们的免疫系统会变弱,如维生素A不足,肺部粘膜功能减弱,让细菌和病毒肆无忌惮地进犯身体。 基本上,你的免疫系统约强壮你抵抗传染的防护越坚强,如果你生病或受伤,你也会比免疫能力低的人快些复原。 以下就是一些既能保证刺激你的味蕾,又能增强你健康的食品。 (1)西兰花和卷心菜:十字花科的植物,包括西兰花、卷心菜、椰菜花、芽甘蓝,都是抗癌的食物。 很多研究显示,常吃上述蔬菜可减少胃癌、乳癌、肠癌的威胁。 令人惊异的是,十字花科蔬菜里的治病物质既非维生素,又非矿物质,而是一系列被称为靛基质的复合物。 但靛基质会在煮的时候失去,所以不要煮得时间太长。 (2)柑橘橙类水果:除了青椒、木瓜外,柑橘橙类水果充满维生素C,可能是防止白内障形成的最佳方法。 因为白内障的形成,是眼球晶状体因吸烟和空气污染及长年氧化所致。 维生素C帮助阻止氧化引致的损害。 事实上,一项近期研究显示,每日吃多过三餐水果和蔬菜,患上白内障的危险会减低百分之二十。 维生素C亦能提高细胞的免疫能力。 (3)鱼:寒带冷水里的鱼,体内含有一种在严寒下仍保持液体状态的脂肪,我们吃下去能防范心脏病和癌症。 更有趣的发现是这些鱼体内的Omega-3脂酸对患有风湿性关节炎的人有好处,因为鱼油似乎能减轻风湿性关节炎这类自体免疫疾病的症状。 由于偏头疼部分成因也可能来自免疫反应,服用Omega-3脂酸可使病情减轻。 (4)蒜头和洋葱:蒜头和洋葱的疗效,在西方一早家传户晓,所以也引发研究者探索大蒜精可有抗癌和加强免疫系统之功效。 一般学者相信蒜头和洋葱含有的大蒜精,能阻止亚硝基胺形成。 亚硝基胺留在胃里而很有可能变成酿癌素。 专家发现中国人和意大利人常吃蒜头和洋葱,患胃癌的机会减少一半有多。 还有,只要每日吃大量蒜头(八瓣大蒜),可降低血液里的胆固醇,帮助避免血液凝结成块,对避免心脏病和中风有重要作用。 此外,大蒜精帮助身体对抗霉菌和细菌的感染。 (5)绿茶:绿茶含有阻止癌生长、降血压和降胆固醇的成分。 绿茶茶叶分解出来的特别复合物ECGC,能有效抑制动物的癌细胞生长。 日本东京的国家癌症研究中心研究日本的癌症死亡率时,发现饮茶多的静冈县人民患癌症机会较少。 洋人饮的红茶中,ECGC的含量较少,故没有绿茶的防癌功效高。 (6)螺:螺含有大量锌,这种矿物质是构成免疫细胞的重要元素。 可是,很多人的日常饮食之中,颇为缺乏锌。 在一般老年人中,锌的吸收量明显低于每日15毫克的标准。 结果,老年人对传染性疾病,如感冒和肺炎,便抵抗力不足。 大部分海鲜包含的锌量至少达到美国食物及药物管理局所定标准的四分之一,至于蔬菜如豆、豌豆、豆荚中含的锌,比标准所定为多。 所以,多吃豆类能摄取充足的锌。 (7)麦芽和全麦包以及谷物、植物油和果仁:这些全都提供丰富的抗氧化剂维生素E。 维生素E保护细胞免受氧化破坏,对癌细胞有较强的抵抗能力。 另外,维生素E加速白血球的生长,进一步提高免疫力。 (8)甜瓜类和蔬菜:南瓜、葫芦属甜瓜类,连同黄色和绿叶类蔬菜都含有丰富的乙型胡萝卜素,这是一种象维生素E那样的抗氧化剂,能减少几种癌病(子宫癌、肺癌、胃癌)的发病率。 另外,吃含有乙型胡萝卜素的食物,亦可减低患白内障的危险。 乙型胡萝卜素一被消化,便会转化成维生素A,维持一个健全的免疫系统。 当你身体缺乏维生素A,免疫系统会减弱,呼吸系统和眼睛变得特别脆弱,难以对抗入侵的细菌,此时就算吞下大量维生素A,也不能避开疾病。 所以应该每日多吃含乙型胡萝卜素的蔬菜。
防御ddos 有哪些注意事项
1、保证服务器系统的安全
首先要确保服务器软件没有任何漏洞,防止攻击者入侵。 确保服务器采用最新系统,并打上安全补丁。 在服务器上删除未使用的服务,关闭未使用的端口。 对于服务器上运行的网站,确保其打了最新的补丁,没有安全漏洞。
2、隐藏服务器的真实IP地址不要把域名直接解析到服务器的真实IP地址,不能让服务器真实IP泄漏,服务器前端加CDN中转(免费的CDN一般能防止5G左右的DDOS),如果资金充裕的话,可以购买高防的盾机,用于隐藏服务器真实IP,域名解析使用CDN的IP,所有解析的子域名都使用CDN的IP地址。 此外,服务器上部署的其他域名也不能使用真实IP解析,全部都使用CDN来解析。
3、使用防护软件
以DDos为主的攻击,传统的防护就是用高防服务器,但是高防服务器有防护上线。 比如,机房有400G的防护,黑客攻击超过了400G,高防就没有用了,网络就会瘫痪,游戏就打不开,黑客停止攻击或者服务器解封后才能运行。 我们的产品就是打不死,不掉线,一个机房被打死,还有无数的机房,会智能切换,无缝衔接。 产品使用的分布式架构,无数的节点,打死一个节点,还有很多节点智能切换。 隐藏真实IP,让别人找不到你的服务器IP。 自带防攻击能力。 智能路由是优先选择离你最近的电信网络访问,起到加速的作用。
如何防范web页面里的木马?
前几天,微软定期发布修补程序,但却于第二天就出现了最新的IE7.0零时差漏洞攻击,此弱点也让我成为黑客下手的肉鸡之一。 电脑频繁重启,而且系统运行出奇的慢。 之后,我使用了三个杀毒软件,金山、瑞星等都没有解决我的问题。 最后,通过一个朋友介绍,下载了一个趋势科技的2009TIS试用版。 真没想到,杀出了十几种病毒。 虽然我不清楚每一个病毒是怎么回事,但通过这次的亲身经历,明白了趋势科技云安全技术是如何防范网页病毒木马的。 在趋势科技云安全技术中,每一位用户都成为“云”中的一份子。 当其中的一位用户受到病毒的侵害,趋势科技云中的34,000台服务器群就会瞬间进行收集和更新。 无论云端之下有多少用户,在Web世界里都将不会有第二人受到此病毒的侵害,真正做到与Web病毒的实时对抗。 此时的Web世界,每一个人都是识别安全威胁的贡献者,同样每个人也都是“云安全”的受益者。 趋势科技云安全技术通过对互联网上海量信息源进行分析整理,构建出庞大的云端服务器群,并将高风险信息源保存到云端数据库中。 通过云安全的自动反馈机制等技术,在终端用户与趋势科技云端服务器群之间实现不间断通信,通过检查网页信誉来确定各种新型威胁,实现实时探测和及时的“共同智能”保护,让每个互联网用户都成为了反病毒事业的贡献者。 当一位云安全用户访问一个网页时,访问请求就被发送到趋势科技的“云”数据库中,对该网页的风险级别进行查询,这个过程仅需几十毫秒,让终端用户丝毫察觉不到,只是在访问含到有威胁的网页时会收到提示。 如果用户访问的网页在云端数据库中没有记录,趋势科技的2000多部在线服务器就会把网页信息源收集起来,再进行分布式计算,得出网页的信誉等级。 这个计算时间最多只需15分钟。
发表评论