黑客不像你所想的那样神出鬼没
- 来源:计算机世界
- 关键字:黑客
- 发布时间:2010-04-13 13:44
Roger A. Grimes 《Infoworld》安全顾问
我所知道的几乎每家公司都遭到过黑客攻击――而且许多情况下是严重的黑客攻击。虽然这番话有夸大之嫌,但也并非完全不靠谱。不过,这番话让一些读者误以为检测黑客、预防攻击是不可能完成的任务。事实并非如此。
黑客从来没有高明到不留任何蛛丝马迹的地步,尽管黑客在电影上被拍得神乎其神。但事实上,即使是职业黑客也休想不露破绽地藏匿起来,只是大多数管理员根本没注意罢了。
Verizon公司在2008年发布的数据泄密调查报告迅速成了人们了解计算机犯罪现实情况的最权威来源之一,它概括得很精辟:“在受害组织实际受到危害之前,表明攻击事件的证据已摆在那里,只是没有引起注意罢了,82%的数据泄密事件是这样。不管使用哪一种类型的事件监测机制,结果都一样:有关攻击的信息不是没有引起注意,就是注意后没有采取行动。”
检测恶意活动的第一个工具就是你的日志文件。大多数管理员并不打开日志文件;就算打开了,通常也不监测它们。另外,许多公司只是在服务器上打开日志功能,尽管大多数恶意入侵事件发生在用户的工作站上。
每家公司都应该制定一项面向全企业的日志管理计划。简而言之,你需要在一个地方把所有日志事件都集中起来,对于需要响应的异常事件发出警报。千万不要成为这样的公司:启用的事件日志管理系统每天都发出少则几十条、多则几百条的“警报信息”,这么多警报信息保证没有一条会有相应的后续行动。精心设计的事件管理系统只会要求针对理应加以调查的事件采取行动。
另一个检测黑客的有效方法就是扫描查找常见的黑客工具:密码破解程序、中间人攻击工具、探测程序,诸如此类。大多数反恶意软件扫描工具会检测出通常使用的黑客工具。虽然不是所有黑客都使用同样的工具,但通常是这样。
我还竭力主张为网络流量情况建立基准线。大多数数据应该从服务器流向工作站及从工作站流向服务器。从服务器到服务器的意外流量应该进行调查,从工作站到工作站的意外流量同样要进行调查。另外,如果你有一台工作站在频频访问贵公司环境中的每台服务器,也要调查一下。许多内部攻击之所以被拦截下来,就是因为目光敏锐的网络流量分析人员注意到数量非常多的数据流向某一个员工的机器。
实施基于主机和基于网络的入侵检测系统(IDS)也值得尝试。每种系统都能发现另一种系统可能漏掉的恶意内容。我非常认同设置几个作为诱饵的蜜罐作为预警系统的做法。拿来几台准备扔掉的旧电脑,把它们连到网络上。打开日志功能或安装蜜罐软件。我青睐的蜜罐软件是Kfsensor和Honeyd。花几个小时或者一天,过滤掉合法流量。除此之外,登录到蜜罐系统的任何流量都应当调查一下。黑客也许功夫了得,但他们必须碰到机器才能搞破坏。如果他们碰到了你布下的蜜罐,就能逮住他们。
预防黑客攻击的首要方法就是阻止最终用户无意中执行特洛伊木马程序。有几个办法可以做到这点:你可以取消最终用户的过高权限、使用应用程序控制软件,或者单单加强教育,让用户清楚如今各种狡猾的安全威胁。
其次,确保所有软件(包括操作系统和应用程序)都打上了补丁,特别是浏览器插件。大多数软件都随带自动更新例行程序,但不是全部都随带。知名安全厂商Secunia刚宣布了面向家庭消费者的免费软件,有助于及时打上最新补丁。
第三,使用反恶意软件工具,包括基于主机的防火墙、反病毒软件、反网络钓鱼软件和反垃圾邮件软件。第四,清楚自己的数据在哪里,那样才能保护数据。第五,确保你拥有良好的安全控制机制和政策;确保员工在切实遵守;谁不遵守,就给予处罚。凡是可以用来提供更有效的深层防御机制的其他各种措施,都应当考虑,但也别让过多的精力和过多的产品让你无法更好地关注会带来实际成效的简单措施。
没有哪一招妙方挫败得了所有黑客。但并不是说只有一些防御水平特别高超的人才能挫败大多数黑客。你只要把精力花在少数几项最有可能带来防御效果的措施上。
Verizon的报告概括得很精辟:“如果借助合理的控制手段,得逞的黑客攻击中87%是可以避免的。”
关注读览天下微信,
100万篇深度好文,
等你来看……