Forsvarer IT-infrastruktur innebærer å forstå angrepstaktikker som er effektive i dag. Som du vurdere og forbedre informasjonssikkerhet program, bør du vurdere følgende karakteristikk av moderne datamaskin sikkerhetstrusler og anbefalingene for å håndtere dem.
Hvordan social engineering angrep omgår tekniske forsvar
Angripere stadig benytter sosiale prosjektering angrepstaktikker for å utnytte naturlige menneskelige predisposisjoner med mål om å omgå forsvar. Slike tilnærminger kan overtale ofrene til å klikke på ondsinnede lenker, åpne utnytte-laden vedlegg og installere skadelig programvare. De psykologiske faktorer angripere innlemme i social engineering angrep inkluderer følgende:
• Folk legger merke til personlig relevant meldinger.
For eksempel, en variant av Waledac ormen rettet sine potensielle ofre til en nettside som viste en nyhets utdrag om en eksplosjon. Meldingen ble tilpasset for å inkludere den besøkendes geografiske plassering som plasseringen av eksplosjonen å lokke personen til å installere en (Trojan) videospiller for visning av nyhetsartikkelen. I et annet eksempel, sendte angripere målrettede e-postmeldinger med ondsinnede vedlegg under dekke av en agenda for et kommende møte. Angriperen satse på sannsynligheten for at mottakeren hadde et møte kommer opp og ønsker å vise dagsorden.
• Personer holde sosiale normer, ser på andre for atferds signaler.
Et eksempel på dette problemet er folks tendens til å klikke på lenker som deles av sine venner på nettsamfunn som Facebook og Twitter. Den Koobface-ormen har vært svært vellykket på å overbevise folk til å besøke ondsinnede nettsteder ved å legge ut linker hjelp av ofrenes sosiale nettverk kontoer. I et annet eksempel, Nugache ormen brukes infiserte systemer for å laste ned skadelige komponenter fra en seriøs nedlastings-sporing nettsted, øker populariteten av filene for å tiltrekke seg nye ofre.
• Folk stoler sikkerhetsverktøy.
Mye som folk stoler på enkeltpersoner som ser ut som leger, brukere noen ganger blindt stole på de tiltak som treffes av hensyn til sikkerheten. Rogue antivirus-verktøy har vært svært vellykket ved spredning ved å overbevise ofrene sine datamaskiner er infisert og krever umiddelbar intervensjon. Angripere har også brukt digitale sertifikater for å signere ondsinnet kjør - slik tilfellet var med Stuxnet - med en forventning om at det å se en signert fil ville senke målets vakt
Slike social engineering angrep teknikker fusjonere linjen mellom ytre. og interne trusler, fordi social engineering vil tillate eksterne angripere å raskt få en intern utsiktspunkt. En gang inne i beskyttede omkrets, for eksempel, angripere har en tendens til å forfølge mål som er utilgjengelige fra utsiden. For å veie opp for denne trusselen vektor, innlemme social engineering konsepter inn i din bevissthet program for å gjøre de ansatte mer motstandsdyktig mot slike taktikker. Vurdere i hvilken grad de ansatte har lært sentrale begreper, gi tilbakemeldinger og justere trenings, hvis det er nødvendig.
Ansett sikkerhets forsvar forutsatt enkelte ansatte vil være sosial konstruert til tross for sikkerhetsbevissthet trening. Dette innebærer:
• Låse ned arbeidsstasjon
å begrense skaden en prosess som kjører med brukerens rettigheter kan føre til;
• Begrense de ansatte rettigheter har
for å få tilgang til nettverk og applikasjoner for å matche deres behov;
• Gjennomgang aktivitetslogger
å identifisere når brukerkontoer og tilgang blir misbrukt;
• vurdere effektiviteten av nettleseren sikkerhetsprogramvare
i sin evne til å begrense tilgangen til farlig innhold eller kode lastet ned av brukeren.
Targeting arbeidsstasjoner via nettleseren
Angripere har vært vellykket på trengende bedriften forsvar ved å utnytte feil i nettleseren eller i programvare webleseren kan starte. Slike klient-side utnyttelser har målrettet leseren tilleggsprogrammer som Flash og Java Runtime Environment (JRE), samt koden som er en del av nettleseren selv. De har også rettet dokumentet seere og redaktører, for eksempel Adobe Reader og Microsoft Office. De utnytter kan bli levert til ofre via e-post, i form av vedlegg eller linker, eller kan presenteres når offeret møter en ondsinnet webside mens du surfer på nettet.
Selv om klientsiden utnytter har vært en del av trussellandskap i flere år, er det flere faktorer som gjør arbeidsstasjoner et mer attraktivt mål enn noen gang før:
•
Defenders synes å bli stadig bedre på å låse ned serverinfrastrukturen
<. p> •
skifte i bedriftskultur og tilgjengeligheten av eksternt vert programmer gjør det mer vanlig for ansatte å arbeide utenfor det beskyttede nettverket omkretsen.
•
personer som omfavnet sosiale nettverk ser ut til å ha fått mer promiskuøse om deling og klikke på lenker.
en annen faktor som synes å være å gjøre angrep på arbeidsstasjoner hyppigere er den økte tilgjengeligheten av kraftige utnytte kits, som automatiserer utnyttelse av klient-side sårbarheter. Et viktig kjennetegn ved en utnytte kit er den enkle som det kan brukes selv av angripere som ikke er IT eller sikkerhetseksperter. En utnytte kit fungerer som en utskytningsplattform for å levere andre nyttelaster, som kan omfatte en bot, en bakdør, spyware eller annen type malware.
Angripere vil fortsette å arbeide for sårbarheter i arbeidsstasjoner som kan utnyttes gjennom ofrene ' nettlesere. Vurder følgende tiltak for å forbedre din evne til å tåle slike taktikker:
• Bruk enterprise management system (EMS) verktøy
, som for eksempel Group Policy, å sentralt administrere innstillingene i nettleseren, deaktivere unødvendige funksjoner , konfigurering proxyer, slå av risikable add-ons, og så videre.
• følge utviklingen av nye nettleserfunksjoner
, slik som sandkasser innlemmet i Internet Explorer og Google Chrome. Vurdere slike utviklende sikkerhetsfunksjoner når du bestemmer hvilke nettlesere til mandat eller anbefale for brukerne.
• Gjennomgå bruk av sikker samling praksis
, som ASLR og DEP, i programvare som kan være målrettet gjennom nettleseren. For eksempel utnytte en zero-day oppdaget i desember 2010 rettet en Internet Explorer DLL som ikke ble satt sammen for å støtte ASLR, slik at uvedkommende å trenge berørte arbeidsstasjoner. Microsofts Process Explorer og Enhanced Mitigation Experience Toolkit (EMET) verktøy kan hjelpe til med denne prosessen.
• Begrens lokale privilegier som brukere har på sine arbeidsstasjoner
, noe som gjør det vanskeligere for skadelig programvare for å nå sitt fulle potensial på verten. Dette innebærer ofte å fjerne administrative rettigheter fra brukere som ikke trenger dem, eller stripping de mer følsomme privilegier fra administrative grupper. User Account Control (UAC) funksjonene i Windows Vista og 7 tilbyr lignende fordeler, selv for brukere som er logget på med lokale administrative rettigheter.
• Vurdere mulighetene i sikkerhetsverktøy du bruker til å beskytte Web surfing aktiviteter
på nettverk og endepunkt nivåer. Tenk distribusjon av produkter som har funksjoner som er spesielt utformet for å identifisere ondsinnede aktiviteter i Web trafikk og beskytte nettleseren.
Kompromiss webapplikasjoner
Som vår infrastruktur sikkerhetsrutiner modne, angriperne er å snu oppmerksomheten til web-applikasjoner . I noen tilfeller, 'er målet å inngå kompromisser nettsteder, slik at de kan brukes til å målrette klientsiden sikkerhetsproblemene via endes angriplesere. Angripere også ofte forfølge webapplikasjoner som behandler eller lagre verdifulle data. Slike program-nivå angrep, som har vært svært vellykket i omgåelsen forsvar, inkluderer følgende taktikk:
• SQL-injeksjon angrep
, som omgår programmets inngangsfilter for å få uhemmet tilgang til den underliggende database.
• forretningslogikk feil
, som utnytter svakheter i arbeidsflyten gjennomført av program, for eksempel en måte å identifisere alle gyldige brukernavn ved å bruke tilbakestille passordet.
< p> • Passord brute-tvang metoder
, som bruker automatiserte verktøy for å gjette passord som bruker kjente ordbok ord eller som ellers er forutsigbar.
• Cross-site scripting (XSS) angrep
, som omgår programmets input eller output filtrene til å kjøre ondsinnet skript i nettleseren for programmets brukeren.
listen over effektive program-nivå angrepsvektorer er for lang til å være med her. For mer informasjon, ta en titt på OWASP Top Ten Project. Hvorfor er så mange programmer sårbare for slike taktikker? Delvis fordi mange utviklere er ikke opplært til å skrive angrepsbestandig kode; dessuten utviklernes insentiver prioritere funksjoner og frister over programmets defensiv holdning. Enda en grunn er infrastrukturen fokus for mange sikkerhetsprogrammer, som ikke gir det nødvendige fokus på programnivå problemer
Her er noen forslag for å takle utfordringene i program-nivå trusler og sårbarheter.
• Bryt ned veggen mellom infrastruktur og applikasjonssikkerhet lag
i organisasjonen, oppmuntrende samarbeid og gjør at selskapet betaler tilbørlig hensyn til applikasjonsnivå sikkerhetsspørsmål.
< b> • Forstå hensikten med operasjonen av programmene
, og kombinerer denne kunnskapen med detaljene om hvordan sensitive data flyter gjennom programmene og infrastruktur. Bruk denne informasjonen til å prioritere sikkerhetstiltak.
• Inkluder programkomponentene i dine penetrasjonstesting prosjekter
å etterligne de sannsynlige handlinger av angripere som søker å omgå forsvaret ditt. Sørg for å innlemme manuell testing, fordi helautomatisk teknikker er sannsynlig å produsere mange falske positive og falske negative.
• Inkluder applikasjonslogger som en del av loggen ledelse eller sikkerhetsinformasjon og event management (SIEM) innsats.
innlemme sikkerhet varsling og logging specs inn dine applikasjonsutvikling krav for å støtte dette.
• Innlemme applikasjonsrelaterte skritt inn ditt hendelsen respons plan.
Altfor ofte, organisasjoner fokusere på bare system eller nett-nivå handlinger når forbereder å håndtere sikkerhetshendelser.
• Etablere en praktisk og omfattende web-applikasjon sikkerhetsprogram
, som skal omfatte sikkerhet koding og program arkitektur retningslinjer, utvikler opplæring for sikker koding praksis og automatiserte metoder for å identifisere minst noen sårbarheter under kode skapelse, testing og distribusjon.
Angripere med langsiktige interesser
Mens en rettferdig rekke innbrudd fortsatt kan klassifiseres som raske hit-and-run hendelser, har mange angripere demonstrert vilje og evne til å investere i langsiktige kampanjer for å oppnå økonomisk, og i noen tilfeller, politiske mål. Slike fokuserte aktiviteter er vanligvis består av en serie av hendelser som er spredt over en periode på flere måneder og kanskje år. Nylig, angrep med langsiktige interesser tok på følgende former:
• Angripere distribuere malware som fungerer som en crimeware plattform
ulike aktiviteter, inkludert data exfiltration fordelt denial-of-service ( DDoS) angrep og spam-kampanjer. For eksempel Conficker-ormen spres raskt uten en "business" formål som i utgangspunktet var observerbar; den for malware ble senere brukt til ulike penger for å lage ordninger.
• Angripere forskning folket og teknologier som utgjør målrettede organisasjoner.
Dette bidrar til å sikre suksess for den første kompromiss og oppfølgingstiltak. Klientsiden angrep kan være rettet mot bestemte personer til å målrette programvaren installert på sine arbeidsstasjoner i sammenheng som ikke ville vekke mistanke. En annen illustrasjon av kjemikaliet utstilt ved angripere var tydelig i hendelsen Stuxnet.
• Angripere justere taktikk som svar på Forsvarere handlinger.
For eksempel, gruppen bak Koobface-ormen endret hvordan det malware bruker sosiale nettverk for å justere for disse nettstedenes sikkerhetsforbedringer. Lignende egenskaper ble utstilt av angripere i identifisert avansert vedvarende trussel (APT) hendelser.
• Angripere opprettholde vedvarende tilstedeværelse i den kompromitterte miljø.
Som et resultat, selv om organiseringen oppdager noen av de kompromitterte systemer, er den angriper i stand til å fortsette å operere i organisasjonen infrastruktur. Disse egenskapene har blitt beskrevet i sammenheng med APT scenarier
vurdere følgende anbefalinger for å forberede seg på å håndtere hendelser som kan henføres til angripere med langsiktige hendelser.
• endre perspektivet til sikkerhets innsats fra å forsøke å hindre brudd Z - som urealistisk i møte med mest målrettede angrep - til motsette
inntrenging. Endringen innebærer å akseptere at et kompromiss vil oppstå, og vurdere hvordan du vil oppdage og reagere på det.
• Forstå hvor verdifulle data ligger Hotell og justere defensiv utgifter tilsvarende, noe som gjør det mer dyrt for angripere å oppnå deres sannsynlige mål.
• Identifisere personer som er mest sannsynlig å være målrettet
, kanskje fordi de er i offentlighetens søkelys, eller fordi de har tilgang til verdifulle data. Gi dem ekstra sikkerhet opplæring og sikkerhetsmekanismer for å bedre motstå angrep rettet mot dem.
• Utdanne ansatte om risikoen for data lekket utilsiktet på offentlige fora
, for eksempel sosiale nettverk og blogger. Forklar hvordan angripere som profilvirksomheten over tid kan samle betydning og praktisk intelligens fra biter av data som kan være ufarlige for seg selv.
Moderne dataangrep forstå svakhetene i sine mål 'defensive evner, noen ganger bedre enn målrettede organisasjonene selv. Inntrengere ofte inkorporere elementer av social engineering å overtale ofrene til å utføre handlinger ønsket av angriperne, som for eksempel klikke på lenker, sprer URLer eller leverer påloggingsinformasjon. Angripere ofte målrette klientsiden sårbarheter, erkjenner at bedriftene har en hard tid holde arbeidsstasjoner oppdatert på sikkerhetsoppdateringer.
Nettkriminelle også målrette sårbarheter i webapplikasjoner for å få tilgang til verdifulle data, og for å få en plattform for å angripe nettstedet besøkende. Mange angripere er en del av velorganiserte profittmotiverte grupper, som er villige til å investere tid og penger mot å oppnå sine mål. Som et resultat, organisasjoner må være forberedt på å håndtere angrep kampanjer som kan spenner måneder og år. Motstå angrepstaktikker som er omtalt ovenfor innebærer å forstå truslene, slik at du kan bygge og justere forsvar tilsvar
Om forfatteren:.
Lenny Zeltser fører sikkerheten rådgivning teamet på Savvis og underviser klasser på bekjempelse og analysere malware på SANS Institute. Han diskuterer jevnlig informasjon sikkerhetsaspekter på sin blogg og på Twitter.