人们常说,防火墙、防病毒程序等安全工具只对随机的、无针对性的攻击有效。如果您是故意的、专业的攻击者(例如,国家资助、国家安全局、中国国家攻击者或希望窃取商业机密的竞争对手)的特定目标,那么这些保护措施中的大部分都是无用的。这是真的?
如果这是真的,那么有哪些工具或技术使专业攻击者的定向攻击与众不同?攻击者是否比我有明显优势?我可以采用哪些策略来降低成功攻击的风险?
人们常说,防火墙、防病毒程序等安全工具只对随机的、无针对性的攻击有效。如果您是故意的、专业的攻击者(例如,国家资助、国家安全局、中国国家攻击者或希望窃取商业机密的竞争对手)的特定目标,那么这些保护措施中的大部分都是无用的。这是真的?
如果这是真的,那么有哪些工具或技术使专业攻击者的定向攻击与众不同?攻击者是否比我有明显优势?我可以采用哪些策略来降低成功攻击的风险?
免责声明:我在一家开发安全软件以减轻针对性攻击的公司工作。
我们使用的一些方法与攻击者使用的方法相似(当客户想要测试他们的系统时)。
例如,一位客户要求我们通过有针对性的 [spear] 网络钓鱼攻击来测试他们的安全性。我们只向 IT 部门发送了 2 封电子邮件。一封是发给董事会的明显错误地址的电子邮件,其中包含指向类似 Pdf 的链接,另一封Executive bonus summary.pdf
据称是公司在奥运会期间使用的新外部门户(“请检查您的域凭据是否正常工作...... ”)。通过在社交媒体上快速搜索,我们可以制作特定于用户的电子邮件,但这会很耗时,而且最终没有必要。
我们注册了一个在视觉上与目标相似的域名,然后用它来托管虚假页面(样式与真实页面相同)并发送DKIM签名的电子邮件(以避免垃圾邮件过滤器)。
在目标技术人员中,43% 向我们提供了他们的公司登录详细信息,54% 试图下载伪造的 pdf(pdf 只是垃圾字节,所以看起来像一个损坏的下载。一个人使用 Firefox、IE 和最后 wget 尝试了 5 次) .
我们被告知只有一名用户检测到了攻击并将其报告给管理层(但只有在向我们提供了他们的凭据之后)。
所以... 进入公司并非不可能。至于获取信息,我们的正常销售宣传包括我们绕过公司防火墙/传统DLP的演示。我不相信我们曾经失败过,除非它们是气隙或使用良好的数据二极管(尽管渗透率各不相同。在一种情况下,我们有一个限制性的白名单防火墙,软件编码文件也是如此进入图片并不断更新谷歌上的个人资料图片。然后我们在外部观看了个人资料并下载了每个块)。
也就是说,我们一次又一次地发现可以解决软件问题,但用户始终是最薄弱的环节。
因此,要回答您的问题,有针对性的攻击包括个人接触。旨在欺骗用户的自定义网站,研究用于检查已知漏洞的软件(和版本),对社交媒体的调查,社会工程等。
另一个值得考虑但不太常见的是贿赂/勒索。如果您谈论的是国家演员,那并非不可想象。
所有的安全都可以归结为威胁建模、风险评估、风险管理和风险缓解。所以不,旨在防止非目标攻击的防御措施不太可能很好地抵御目标攻击。
是什么让有针对性的攻击者(或您所说的“专业攻击者”)与众不同?只是他们愿意用来专门攻击你的智力和金钱。
所以,是的,如果有人愿意花金钱、时间和精力专门攻击你,那么他们就有优势。防御策略是认识到这些类型的攻击是您的风险模型中的现实威胁场景,并实施控制来管理和减轻这些风险。
可以很好地总结随机攻击和有针对性的攻击之间的区别:
或者
如果攻击者只是想建立一个僵尸网络(>99% 的攻击),那么通常比下一个攻击者更难破解就足够了。我尝试将破解难度提高两个数量级,即便如此,我还是使用 IDS 来知道我什么时候被破解了。希望。
但是,如果攻击者特别想要您的数据,那么情况就会变成军备竞赛,唯一的获胜举措就是不玩(shutdown -h now
)。除了关闭机器之外,您还必须假设攻击者拥有(取决于他的资源)应用程序堆栈的零日漏洞、网络嗅探器、访问目标机器的其他设备上的恶意软件,以及可能还有5 美元的扳手。哦,他的员工可能比你聪明 50 人,而且预算不受限制。如果您有商业机密、国家机密,或发表贬低统治者的评论,那就更是如此。
老实说,您无法防御有针对性的攻击。您可以将 [公司|个人] 预算的很大一部分编入预算,以雇用可能有机会在短期内坚持下去的人,但即使到那时也不会持续下去。最好把机器拔掉,即使这样也不能保证。
也就是说,不要“不是目标”。太多人害怕成为目标是美国国家安全局继续掌权的原因。成为一个聪明的目标。如果你的专长是持不同政见者,那么不要试图赢得一场技术战争。认识到您的电子通信是不安全的,并相应地计划您的异议。
如果你是国家资助的演员的目标,那将是完全不同的。如果您是高价值目标,他们不仅可以使用零日恶意软件等黑客资源,还可以使用视频监控、窃听、贿赂您的朋友、电子邮件鱼叉式网络钓鱼、键盘记录、闯入您的房子,甚至绑架和折磨你只是为了获取一些信息。
看看 CIA 使用多少资源来追捕奥萨马·本·拉登,即使他无法直接访问互联网或电话线。唯一的策略是不要将自己描绘成目标。