1. Location:
  2. / Computer learning >> Datamaskin læring >> cyber security >> skadelig programvare >>

Operasjon Aurora: Tips for å sperre zero-day angrep, ukjent malware

Det mest tankevekkende reter angrepene Operation Aurora er at selv organisasjoner med betydelige ressurser sikkerhets kan fortsatt bli utsatt. Hvis noen av de mest avanserte og potensielt godt finansiert IT-sikkerhetsorganisasjoner kan bli hacket, vil mindre organisasjoner med færre ressurser har en enda tøffere tid beskytter mot slike angrep. Men var det noen viktige lærdommer å trekke fra Operation Aurora, og i dette tipset vil vi dekke hva bedrifter trenger å vite om angrepene og hvordan du best kan forsvare seg mot lignende angrep i fremtiden.


Mer om Operasjon Aurora
Siste zero-day angrep bare målrette IE 6, sier Microsoft Hackere brukt IE zero-day i Google, Adobe-angrep, McAfee sier


Operasjon Aurora: Bakgrunnen
La oss se på noen av tekniske detaljer som har blitt rapportert om angrepene Aurora og hvordan en organisasjon kan ha stoppet dem. Google rapporterte at den, sammen med minst 20 andre store selskaper, ble rettet i Operasjon Aurora angrepene i midten av desember 2009. Google antas angrepene, som resulterte i tyveri av åndsverk, var rettet mot Gmail-kontoer til kinesiske menneskerettighetsaktivister .

Ifølge rapporter utgitt etter angrepene Operation Aurora, en zero-day Internet Explorer sårbarhet og utnytte ble brukt sammen med ukjent malware. Disse angrepene ble ansett som vellykket på den delen av hackere på grunn av den høyprofilerte natur målene og på grunn av den brede rapportering som fulgte. Det var også vellykket på grunn av de avanserte teknikkene som brukes sammen med de mer vanlige zero-day angrep og ukjent malware. Angriperne, senere fastslått å være fra Kina, brukt flere lag med kryptering på nettverkstrafikk for å kunne skjule sine angrep fra gjenkjenning.

Operasjon Aurora angrepsvektorer
Mens en zero-day Internet Explorer sårbarhet og utnytte seg selv er ikke det mest sofistikerte angrep, det kan (og gjorde, i Operation Aurora) lar angripere å ta helt over datasystemer. Men for en angriper å kunne gjøre det, den innloggede brukeren trenger å ha forhøyede tilgangsrettigheter, eller angriper må dra nytte av en utnytte for å få forhøyet tilgang. Noen malware vil infisere et system når den innloggede brukeren bare har vanlig brukertilgang, men dette gjør det mye vanskeligere å ta over et system. Mange organisasjoner unødvendig at alle brukere administrator-nivå privilegier, som tillater dem å installere programmer, gjør konfigurasjoner endringer og utføre handlinger uten noen begrensning. Men når en angriper finner sin vei inn på et system med utvidede rettigheter, det er ingenting å hindre hacker misbruker disse privilegiene. Ved å gi brukerne kun nødvendig tilgang, blir det vanskeligere for en vellykket utnytte til å forårsake omfattende skader.

Aldri før har sett malware er en ganske vanlig angrepsvektor, som ofte brukes til å gjøre noe som umiddelbart vil bli innbringende av en vanlig kriminell. I tilfelle av angrepene Operation Aurora, hackere fått tilgang til høyprofilerte kontoer. Den umiddelbare profittmotivet fra angrepene Aurora er ukjent, men langsiktig tilgang til sensitive data kan være verdifulle, i det minste som et overvåkings taktikk.

Forsvar mot Operasjon Aurora-lignende angrep
Selv om disse angrepsmåter er sikkert plagsom, er det mange måter å forsvare seg mot dem for å sikre at en tilsvarende angrep ikke ville være vellykket. For det første, kan en alternativ nettleser eller operativsystem brukes for å unngå Internet Explorer zero-day angrep, avhengig av risikonivået anses utholdelig for miljøet, hvor mange forsvarsdybdesikkerhetskontroller blir gjennomført, og verdien av målet. Imidlertid kan ikke-Microsoft-programvare være mer komplisert og tidkrevende (og dermed dyrere) å administrere, en betydelig ulempe, avhengig av størrelsen på miljø og applikasjons patching og støtte infrastruktur.

En annen mulighet er å kjøre Internet Explorer med reduserte privilegier samtidig som Data Execution Prevention (DEP) er i bruk, selv om det ble angivelig forbigått av denne utnytte. DEP er ment å stoppe angrepene fra utførende kode fra ikke-kjørbare minneplasser, som (i teorien) skal gjøre det betydelig vanskeligere for angripere å lykkes med angrep som Operation Aurora. Internet Explorer 8 har også ekstra beskyttelse mot denne type angrep.

Flere lag med kryptering eller proxy-servere kan brukes til å skjule nettverkskommunikasjon av kompromitterte datamaskiner og kilden til kommunikasjon fra gjenkjenning. For å oppdage og stoppe kommunikasjon, bør nettverkstilkoblinger skal overvåkes, særlig de som går utenfor bedriftens nettverk. Det er mulig at denne overvåkingen kan være ganske ineffektiv på grunn av mangfoldet av eksterne tilkoblinger, men overvåking spesielt for en høyere enn normalt volum av data går ut fra en datamaskin er en måte å identifisere en kompromittert datamaskin. En sofistikert organisasjon kan også være lurt å fordeler sitt nettverk ved hjelp av brannmurer for å begrense risikoen for angripere hopper fra en del til en annen.

trinnene som organisasjoner må ta for å sikre at en Aurora-type angrep ikke skjer igjen fører tilbake til det grunnleggende informasjonssikkerhet. Selskaper bør vurdere sine nettverk og finne ut hvor de høyeste risikoen er, og deretter bruke egnede beskyttelsestiltak for å håndtere disse risikoene. For eksempel, i sin første kunngjøring, Google anbefalt at bedrifter bruker anerkjente antimalware programvare, patch dilligently og oppdatere nettlesere på en jevnlig basis.

Ikke alle anbefalingene i denne artikkelen er nødvendig for alle organisasjoner og en organisasjon bør først få det grunnleggende på plass før du prøver å forsvare seg mot sofistikerte angripere. Ved å bruke et forsvar-in-depth strategi, kan en organisasjon minimere virkningen av lignende angrep ved bedre å forebygge en zero-day angrep fra helt å ta over et mål datamaskin og fra effektivt gjemmer gjenkjenning.