為應對數字威脅,一些有安全意識的組織建立了計算機事件響應小組(Computer Incident Response Team,CIRT)。這些單位可能由獨立的個人、小組或許多安全專業人士組成。如果你的組織中沒有人負責處理計算機入侵,在不久的將來,你將很有可能遭受破壞。不管你的組織規模有多大,投資至少一位安全專業人士完全抵得上你將支付的薪水。
本書假定你的組織至少有由一人組成的CIRT,他有充分的積極性和資源以對你企業中的入侵者採取行動。如果你是負責組織安全的唯一人選,恭喜!你就是正式的CIRT。謝天謝地,如果你在尋找一種代價不高或者費時較少且能為入侵者製造困難的方法,那麼NSM無疑是一種起步的強有力方法。
當CIRT使用NSM原理進行操作時,他們將受益於以下能力:
- ·CIRT收集大量源於網絡的數據,很可能超過由傳統安全系統收集的數據種類。
- ·CIRT分析這些數據以發現被攻陷的資產(例如筆記本電腦、個人計算機、服務器等),然後告知資產所有者。
- ·CIRT與計算設備的所有者合作以控制和挫敗對手。
- ·CIRT與計算機所有者使用NSM數據來進行危害評估,評估事件的損失和起因。
考慮一下NSM在企業安全進程中的角色。例如,圖1展示了各安全能力彼此間的差異,但不必展示它們如何與入侵者的過程相抗衡。
圖1企業安全週期
NSM並不涉及阻止入侵,因為阻止終將失敗。這個哲理的另一個版本是“安全漏洞不可避免”。實際上,任何網絡化組織都可能遭受不定時發生的或持續不斷的危害。(你自己的經歷可以很好地證實這個來之不易的格言。)
但是如果NSM不阻止對手,還有什麼意義呢?那就是:改變你看待入侵的方式,防禦者終將挫敗入侵者。換句話說,堅定的對手不可避免地會破壞你的防禦,但是他們可能無法實現他們的目標。
時間是這種策略中的關鍵因素,因為入侵者很少能在幾分鐘甚至幾小時的過程中執行他們的整個任務。實際上,最狡猾的入侵者力圖在目標網絡中獲得持久性勝利,即一次駐留幾個月甚至幾年。更何況幾乎沒有高級的入侵者能花費幾分鐘、幾小時甚至幾天就達成他們的目標。關鍵在於從最初未授權訪問到最終任務完成的時間窗,它在入侵者能夠完成他們來執行的任務之前,這種時間窗給了防禦者發現、響應和控制入侵者的機會。
試想,如果入侵者可以獲得對某個組織中進行計算機未授權的訪問,但是在還未取得他們需要的數據之前就被防禦者發現了,那麼他們真正達到了什麼目的呢?
我希望你因這樣的想法而激動,是的,對手能夠攻陷系統,但是如果CIRT在入侵者完成他們的任務之前發現、響應並控制入侵者,CIRT就能“獲勝”。但如果你能發現入侵,為什麼不能阻止它呢?
簡單的答案是系統和旨在保護我們的程序並不完美。保護機制能阻止一些惡意活動,但是隨著對手採取更加複雜的策略,組織進行自身防禦就愈加困難了。團隊能夠挫敗或抵抗入侵,但是時間和認知經常成為限制因素。
現實世界的一個例子說明了在防禦入侵者時時間的重要性。2012年11月,美國南卡羅來納州的地方長官發佈了公開版的Mandiant事件響應報告。
Mandiant是一家安全公司,它專門經營事件檢測和響應的服務及軟件。地方長官僱用Mandiant幫助南卡羅來納州處理這方面的情況。2012年早些時候,一名攻擊者攻陷了該州稅務局(Department of Revenue,DoR)運營的數據庫。上述報告提供了這次事件的細節,以下的縮略時間表有助於強調時間的重要性。這個例子只基於公開的Mandiant報告中的細節。
·2012年8月13日,入侵者向多名DoR僱員發送惡意(釣魚)電子郵件消息。至少一名僱員點擊了消息中的鏈接,不知不覺中執行了惡意軟件,從而在此過程中被攻陷。有效的證據表明,惡意軟件竊取了用戶的用戶名和口令。
·2012年8月27日,攻擊者使用竊取的DoR用戶憑證登入Citrix遠程訪問服務。攻擊者使用Citrxi門戶登錄進入用戶的工作站,然後有效利用用戶的訪問權來訪問其他DoR系統和數據庫。
·2012年8月29日~9月11日,攻擊者與多種DoR系統交互,包括域控制器、Web服務器以及用戶系統。他獲取了所有Windows用戶賬戶使用的口令,並在很多系統上安裝了惡意軟件。至關重要的是他設法訪問到存儲DoR支付費用信息的服務器。
注意自2012年8月13日通過釣魚電子郵件消息進行最初攻陷後的四周。入侵者訪問了多個系統,安裝了惡意軟件,並對其他目標進行了偵察,但是迄今為止尚未竊取任何數據。時間表繼續:
·2012年9月12日,攻擊者將數據庫備份文件複製到一個過程(staging)目錄
·2012年9月13日和14日,攻擊者將數據庫備份文件壓縮到(總計15箇中的)14個加密的7-Zip檔案文件中。然後,攻擊者將這些7-Zip檔案文件從數據庫服務器轉移到另一臺服務器,並將數據發送到因特網上的系統。最終,攻擊者刪除備份文件和7-Zip檔案文件。(Mandiant並未報告入侵者將文件從過程服務器複製到因特網所需的時間量。)
從9月12日到14日,入侵者完成了他的任務。在花費一天時間為竊取數據做準備之後,入侵者用接下來的兩天時間轉移數據。
·2012年9月15日,攻擊者使用被攻陷的賬戶與10個系統交互並進行偵察。
·2012年8月16日~10月16日,並沒有攻擊者活動的跡象,但是在2012年10月10日這一天,執法機構用三個人中已遭竊的個人驗證信息(Personally Identifiable Information,PII)這一證據與DoR進行了聯繫。DoR對數據進行了檢查並判定它已從其數據庫中被竊取。在2012年10月12日,DoR聯繫Mandiant以尋求事件響應援助。
在入侵者竊取數據,然後州相關人員從第三方得知並僱用一個專業的事件響應團隊之後,大約四周的時間已經過去。然而,故事還沒有結束。
·2012年10月17日,攻擊者使用2012年9月1日安裝的後門檢查到服務器的連接,沒有額外活動的跡象。
·2012年10月19日和20日,DoR試圖基於Mandiant的建議為攻擊進行補救。補救的目標是清除攻擊者的訪問,並檢測任何新的攻陷跡象。
·2012年10月21日~11月20日,補救之後沒有惡意的活動跡象。DoR發佈了Mandiant關於此次事件的報告。
Mandiant顧問、政府工作人員以及執法機構最終能夠控制入侵者,圖2概述了此次事件。
從這個案例研究中汲取的主要思想在於最初的入侵併不是安全過程的結束;它只是開始。如果DoR在這次攻擊前4周內的任何時間能夠控制攻擊者,就意味著攻擊者的失敗。儘管DoR失去了對多個系統的控制,但他阻止了對個人信息的盜竊,在此過程中至少為政府挽救了1200萬美元。
很容易將一個獨立事件作為一個數據點而不予理會,但是最近的統計數據證實了案例研究的關鍵要素。舉例來說,從入侵開始到事件響應的中值時間超過240天;也就是說,大部分情況下,受害者在有人注意到之前保持被攻陷的狀態很長時間。在與Mandiant聯繫尋求幫助的組織中,只有1/3的組織自己發現了入侵。
圖2 編輯後的美國南卡羅來納州稅務局事件的時間軸
持續監控(Continuous Monitoring,CM)在美國聯邦政府圈子中是一個熱門話題。安全專業人士常常混淆CM和NSM。他們認為如果他們的組織實行了CM,NSM就是不必要的。
不幸的是,CM幾乎與NSM沒有任何關係,甚至與試圖檢測和響應入侵無關。NSM以威脅為中心(threat-centric),這意味著對手是NSM操作的焦點。CM以脆弱性為中心(vulnerability-centric),它重點關注配置和軟件缺陷。
美國國土安全部(Department of Homeland Security,DHS)和國家標準技術研究院(National Institute of Standards and Technology,NIST)是負責在聯邦政府各處促進CM的兩個機構。他們被CM觸動,而且將其視為對認證和認可(Certification and Accreditation,C&A)活動的一種改進,C&A大約每三年對系統配置進行一次審計。對於CM的倡導者而言,“持續”意味著更頻繁地檢查系統配置,通常至少每月一次,相對於以前的方法,這是一個巨大的進步。“監控”部分意味著確定系統是否服從控制,即確定系統較標準偏離的程度。
雖然這些是值得讚賞的目標,但CM應當被看作是對NSM的補充,而不是NSM的替代品或NSM的變體。CM能夠幫助你提供更好的數字防護,但它絕對是不夠的。
閱讀更多 社會學堂 的文章
