監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 簽約案例 | 購(gòu)買(mǎi)價(jià)格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉

信息安全:未來(lái)的五種攻擊手段

申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114

文章來(lái)源:泛普軟件 至少僅僅靠安全意識(shí)上的加強(qiáng)是遠(yuǎn)遠(yuǎn)不夠的,而且很少有人將歷史教訓(xùn)放在心上。紅色代碼的爆發(fā)就充分地說(shuō)明人們常常即使已經(jīng)知道存在某種安全威脅,但卻事不關(guān)己,高高掛起,自己還沒(méi)有遭到攻擊就賴得補(bǔ)救。而企業(yè)有限的安全預(yù)算也制約著信息安全領(lǐng)域的發(fā)展。另外,一些人還會(huì)出于某種目的花費(fèi)大量的時(shí)間去研究新的攻擊方法和手段,盡管如此,我們還是可以嘗試著去預(yù)測(cè)隱伏著的可能的這些攻擊。   筆者時(shí)常被問(wèn)," 什么樣的潛在性網(wǎng)絡(luò)攻擊會(huì)使你在半夜醒來(lái)?" 筆者想可能下面的這些就足以使我半夜驚醒:   1.超級(jí)蠕蟲(chóng) 無(wú)論是手段的高明性,還是破壞的危害性,計(jì)算機(jī)網(wǎng)絡(luò)受到蠕蟲(chóng)的威脅都在激增。在我們的民意調(diào)查中顯示人們?nèi)耘f將這一威脅看作是計(jì)算機(jī)網(wǎng)絡(luò)將面臨的最大威脅之一,有超過(guò)36%的人認(rèn)為超級(jí)蠕蟲(chóng)的威脅應(yīng)該擺在第一位( 見(jiàn)圖3和4)。   超級(jí)蠕蟲(chóng),它一般被認(rèn)為是混合蠕蟲(chóng)。它通常能自我繁殖,并且繁殖速度會(huì)變得更快,傳播的范圍會(huì)變得更廣。更可怕的是它的一次攻擊就能針對(duì)多個(gè)漏洞。例如,超級(jí)蠕蟲(chóng)潛入系統(tǒng)后,不是僅僅攻擊某個(gè)漏洞,而是會(huì)嘗試某個(gè)已知漏洞,然后嘗試一個(gè)又一個(gè)漏洞。   超級(jí)蠕蟲(chóng)的一枚彈頭針對(duì)多個(gè)漏洞發(fā)動(dòng)攻擊,所以總有一個(gè)會(huì)有效果。如果它發(fā)現(xiàn)你未打補(bǔ)丁的地方,那你就在劫難逃了。而事實(shí)上沒(méi)有哪家公司的系統(tǒng)完全打上了所有的補(bǔ)丁。   很多安全專家逐漸看到的通過(guò)IM(即時(shí)消息)進(jìn)行傳播的蠕蟲(chóng)就可以說(shuō)是一種超級(jí)蠕蟲(chóng)。黑客將一個(gè)鏈接發(fā)給IM用戶后,如果用戶點(diǎn)擊鏈接,蠕蟲(chóng)就會(huì)傳播給該用戶的IM地址簿上的所有人。有了IM,用戶將隨時(shí)處于連接狀態(tài),所以也隨時(shí)會(huì)受到攻擊。(建議用戶參考安絡(luò)科技的專題文章: 八月震撼:點(diǎn)對(duì)點(diǎn)(p2p)通信對(duì)信息安全構(gòu)成嚴(yán)重威脅和前段段時(shí)間出現(xiàn)過(guò)的 “MSMessenger”病毒)。   為對(duì)付未來(lái)的超級(jí)蠕蟲(chóng)我們所能做的將是:   對(duì)外部可訪問(wèn)系統(tǒng)進(jìn)行安全加固, 像Web服務(wù)器,郵件服務(wù)器和DNS服務(wù)器等,盡量將它們所需要開(kāi)放的服務(wù)減少到最小。   給系統(tǒng)及時(shí)打上補(bǔ)丁、及時(shí)更新防病毒軟件,對(duì)員工進(jìn)行安全宣傳和教育。   使用基于主機(jī)的入侵檢測(cè)系統(tǒng)和預(yù)防工具, 例如Symantec的 Intruder Alert 3.6 可以阻斷或迅速發(fā)現(xiàn)蠕蟲(chóng)的攻擊。   2. 隱秘攻擊(Stealthier Attacks) 現(xiàn)在越來(lái)越多的黑客把攻擊后成功地逃匿IDS的檢測(cè)看作是一種藝術(shù),有許多新工具將能使他們?cè)诠粲脩舻南到y(tǒng)后,不會(huì)留下任何蛛絲馬跡,有多種高級(jí)黑客技術(shù)將能使之成為可能,而這些技術(shù)已經(jīng)被廣泛地為專業(yè)黑客和一些高級(jí)的腳本菜鳥(niǎo)(Scripts Kids)所采用:   多變代碼   這些惡意軟件其本身可能是一種病毒,蠕蟲(chóng),后門(mén)或漏洞攻擊腳本,它通過(guò)動(dòng)態(tài)地改變攻擊代碼可以逃避入侵檢測(cè)系統(tǒng)的特征檢測(cè)(Signature-based detectio,也可稱為模式匹配)。攻擊者常常利用這種多變代碼進(jìn)入互聯(lián)網(wǎng)上的一些帶有入侵偵測(cè)的系統(tǒng)或IDSes入侵者警告系統(tǒng)。   Antiforensics   攻擊者可操作文件系統(tǒng)的特性和反偵測(cè)伎倆進(jìn)行攻擊來(lái)逃避IDS的檢測(cè)。   例如通過(guò)利用像Burneye這樣一個(gè)工具,可以掩蓋黑客對(duì)系統(tǒng)的攻擊企圖,使用Defiler的工具Toolkit可以覆蓋黑客對(duì)目標(biāo)文件系統(tǒng)所做的修改留下的蛛絲馬跡。   隱蔽通道   為了和后門(mén)或者惡意軟件進(jìn)行通訊,攻擊者必須建立一條非常隱蔽的通信通道。為此,攻擊者常常將通訊端口建立在一些非常常用的通信協(xié)議端口上,像HTTPS或者SSH。   內(nèi)核級(jí)后門(mén)(Kernel-level root kits)   通過(guò)從系統(tǒng)內(nèi)核控制一個(gè)系統(tǒng),攻擊者獲得對(duì)目標(biāo)系統(tǒng)的完全控制權(quán)限,而對(duì)受害者來(lái)說(shuō)卻一切都似乎風(fēng)平浪靜。   嗅探式后門(mén)(Sniffing backdoors)   通過(guò)將后門(mén)和用戶使用的嗅探器捆綁在一起,攻擊者能夠巧妙地繞過(guò)用戶使用的傳統(tǒng)的通過(guò)查看正在監(jiān)聽(tīng)的端口來(lái)發(fā)現(xiàn)后門(mén)的檢測(cè)方法,使受害者被種了后門(mén)卻還一直蒙在鼓里。   反射式/跳躍式攻擊   與其直接像目標(biāo)系統(tǒng)發(fā)送數(shù)據(jù),很多攻擊者覺(jué)得還不如利用TCP/IP欺騙技術(shù)去以誤導(dǎo)正常的檢測(cè),隱蔽攻擊者的真實(shí)地址。象反射式D.o.S攻擊就是例證。有關(guān)反射式D.o.S攻擊的詳細(xì)信息,請(qǐng)參見(jiàn)安絡(luò)科技七月巨獻(xiàn):網(wǎng)絡(luò)攻擊機(jī)制和技術(shù)發(fā)展綜述。   針對(duì)以上這些詭秘的攻擊,作為用戶又該如何防范和阻止呢?   如果你的系統(tǒng)遭到這種攻擊,你需要能夠迅速地檢測(cè)出來(lái),而且要知道攻擊者具體在你的系統(tǒng)上干了寫(xiě)什么。為了能夠察覺(jué)出這種入侵,需要同時(shí)使用基于網(wǎng)絡(luò)和基于主機(jī)上的入侵檢測(cè)系統(tǒng)和防病毒產(chǎn)品,并仔細(xì)檢查你的系統(tǒng)日志。一般用戶可能不具備這種專業(yè)能力,可以尋找一家高專業(yè)水準(zhǔn)的信息安全簽約服務(wù)商,為您提供高水平的反入侵服務(wù)。   一旦你發(fā)現(xiàn)自己的系統(tǒng)有什么異常,你必須確保你的事件緊急響應(yīng)小組在取證分析上有豐富的經(jīng)驗(yàn),能夠熟練使用像@stake的免費(fèi)TASK工具或者Guidance Software的商業(yè)軟件EnCase,因?yàn)檫@兩個(gè)工具都能非常仔細(xì)對(duì)系統(tǒng)進(jìn)行分析,并且非常精確地隔離攻擊者的真實(shí)破壞活動(dòng)。重點(diǎn)部門(mén)的事件響應(yīng)小組可以和專業(yè)安全服務(wù)商共建,明確分工,及時(shí)處理。   3. 利用程序自動(dòng)更新存在的缺陷 主流軟件供應(yīng)商,像Microsoft和Apple Computer等都允許用戶通過(guò)Internet自動(dòng)更新他們的軟件。通過(guò)自動(dòng)下載最新發(fā)布的修復(fù)程序和補(bǔ)丁,這些自動(dòng)更新工具可以減少配置安全補(bǔ)丁所耽誤的時(shí)間。   但是程序允許自動(dòng)更新的這個(gè)特征卻好比一把雙刃劍,有有利的一面,也有不利的一面。攻擊者能夠通過(guò)威脅廠商Web站點(diǎn)的安全性,迫使用戶請(qǐng)求被重定向到攻擊者自己構(gòu)建的機(jī)器上。然后,當(dāng)用戶嘗試連接到廠商站點(diǎn)下載更新程序時(shí),真正下載的程序卻是攻擊者的惡意程序。這樣的話攻擊者將能利用軟件廠商的自動(dòng)更新Web站點(diǎn)傳播自己的惡意代碼和蠕蟲(chóng)病毒。   在過(guò)去的六個(gè)月中,Apple 和 WinAmp 的Web站點(diǎn)自動(dòng)更新功能都被黑客成功利用過(guò),所幸的是發(fā)現(xiàn)及時(shí)(沒(méi)有被報(bào)道)。Apple 和 WinAmp 后來(lái)雖然修復(fù)了網(wǎng)站的緩沖溢出缺陷,并使用了代碼簽名(Code Signing)技術(shù),但基于以上問(wèn)題的攻擊流一直沒(méi)有被徹底清除。   為了預(yù)防這種潛在的攻擊威脅,需要嚴(yán)格控制和管理安裝在你的內(nèi)部網(wǎng)機(jī)器上的軟件,禁止公司職員隨意地安裝任何與工作無(wú)關(guān)的應(yīng)用軟件。在這里,你可以使用軟件管理工具來(lái)強(qiáng)迫執(zhí)行,像 Microsoft 的 SMS,LANDesk SOFTware 的 LANDesk。這兩個(gè)工具只要二者擇其一,你就可以配置你的內(nèi)部升級(jí)服務(wù)器,如通過(guò)在工具中對(duì)微軟軟件升級(jí)服務(wù)器相關(guān)選項(xiàng)進(jìn)行配置,你可以具體選擇哪個(gè)修復(fù)程序和補(bǔ)丁允許被安裝。為保護(hù)你的網(wǎng)絡(luò),可使用sniffer測(cè)試所有的補(bǔ)丁,如發(fā)現(xiàn)網(wǎng)絡(luò)流量不正常或發(fā)現(xiàn)開(kāi)放了陌生的端口則需引起警覺(jué)。   4. 針對(duì)路由或DNS的攻擊 Internet主要由兩大基本架構(gòu)組成:路由器構(gòu)成Internet的主干,DNS服務(wù)器將域名解析為IP地址。如果一個(gè)攻擊者能成功地破壞主干路由器用來(lái)共享路由信息的邊界網(wǎng)關(guān)協(xié)議(BGP),或者更改網(wǎng)絡(luò)中的DNS服務(wù)器,將能使Internet陷入一片混亂。   攻擊者通常會(huì)從頭到腳,非常仔細(xì)地檢查一些主流路由器和DNS服務(wù)器的服務(wù)程序代碼,尋找一些能夠使目標(biāo)程序或設(shè)備徹底崩潰或者取得系統(tǒng)管理權(quán)限的緩沖溢出或其它安全缺陷。路由代碼非常復(fù)雜,目前已經(jīng)發(fā)現(xiàn)并已修復(fù)了許多重要的安全問(wèn)題,但是仍舊可能存在許多更嚴(yán)重的問(wèn)題,并且很可能被黑客發(fā)現(xiàn)和利用。DNS軟件過(guò)去經(jīng)常發(fā)生緩沖溢出這樣的問(wèn)題,在以后也肯定還可能發(fā)生類(lèi)似的問(wèn)題。如果攻擊者發(fā)現(xiàn)了路由或DNS的安全漏洞,并對(duì)其進(jìn)行大舉攻擊的話,大部分因特網(wǎng)將會(huì)迅速癱瘓。   為了防止遭到這種攻擊,確保你的系統(tǒng)不會(huì)被作為攻擊他人的跳板,應(yīng)采取如下措施:   對(duì)公共路由器和外部DNS服務(wù)器進(jìn)行安全加固。如果公司的DNS服務(wù)器是為安全敏感的機(jī)器提供服務(wù),則應(yīng)為DNS服務(wù)器配置防火墻和身份驗(yàn)證服務(wù)器。   確保DNS服務(wù)器安裝了最新補(bǔ)丁,對(duì)DNS服務(wù)器嚴(yán)格監(jiān)控。   如果你認(rèn)為是由ISP的安全缺陷造成的威脅,確保你的事件緊急響應(yīng)小組能夠迅速和你的ISP取得聯(lián)系,共同對(duì)付這種大規(guī)模的網(wǎng)絡(luò)攻擊。   5. 同時(shí)發(fā)生計(jì)算機(jī)網(wǎng)絡(luò)攻擊和恐怖襲擊 這可以說(shuō)是一場(chǎng)雙重噩夢(mèng):一場(chǎng)大規(guī)模的網(wǎng)絡(luò)攻擊使數(shù)百萬(wàn)的系統(tǒng)不能正常使用,緊接著,恐怖分子襲擊了一個(gè)或者更多城市,例如一次類(lèi)似9/11的恐怖爆炸事件或者一次生化襲擊。在9/11恐怖襲擊事件后,美國(guó)東部的幾個(gè)海岸城市,電話通信被中斷,驚恐萬(wàn)分的人們不得不通過(guò)E-MAIL去詢問(wèn)同事或親人的安全。由于這次襲擊,人們發(fā)現(xiàn) Internet 是一種極好的傳媒(還有電視傳媒)。但是我們不妨假設(shè)一下,如果此時(shí)爆發(fā)超級(jí)蠕蟲(chóng),BGP和DNS被遭到大舉攻擊,那么在我們最需要它的時(shí)候它也將離我們而去,可以想象將是一種什么樣的糟糕場(chǎng)面。但是這又并不是不可能發(fā)生的。   我們要居安思危,為這種災(zāi)難的可能發(fā)生作好應(yīng)急準(zhǔn)備是相當(dāng)困難的:   作好計(jì)算機(jī)的備份工作;   除給緊急響應(yīng)小組配備無(wú)線電話外,還需配備全雙工傳呼設(shè)備;   要確保你的計(jì)算機(jī)緊急響應(yīng)小組有應(yīng)付恐怖襲擊的能力;   要假想可能出現(xiàn)的恐怖襲擊場(chǎng)面以進(jìn)行適當(dāng)?shù)难萘?xí),以確保真正同時(shí)發(fā)生網(wǎng)絡(luò)攻擊和恐怖襲擊時(shí),他們能夠迅速、完全地進(jìn)入角色。   也許有人會(huì)認(rèn)為我們這樣做可能都是杞人憂天,但是,筆者有理由相信這樣的事情在未來(lái)的5年中是完全有可能發(fā)生的,只不過(guò)所使用的攻擊技術(shù)可能是我們?cè)谏厦嫠信e出來(lái)的,可能是我們所沒(méi)有預(yù)計(jì)到的。   來(lái)源:信息安全
發(fā)布:2007-04-22 10:13    編輯:泛普軟件 · xiaona    [打印此頁(yè)]    [關(guān)閉]
相關(guān)文章:

泛普沈陽(yáng)OA快博其他應(yīng)用

沈陽(yáng)OA軟件 沈陽(yáng)OA新聞動(dòng)態(tài) 沈陽(yáng)OA信息化 沈陽(yáng)OA快博 沈陽(yáng)OA行業(yè)資訊 沈陽(yáng)軟件開(kāi)發(fā)公司 沈陽(yáng)門(mén)禁系統(tǒng) 沈陽(yáng)物業(yè)管理軟件 沈陽(yáng)倉(cāng)庫(kù)管理軟件 沈陽(yáng)餐飲管理軟件 沈陽(yáng)網(wǎng)站建設(shè)公司