攻擊者利用合法使用者的身分認證和信任關係,持續待在你最敏感網路內很長一段時間,可以自由自在地去通過鬆散的安全技術。防火牆告訴我一切正常,IPS告訴我一切正常,防毒軟體告訴我一切乾淨;所以一切就都正常,對吧?錯了,這種短視的安全作法就是讓APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)/目標攻擊在世界各地如此成功的原因之一。
作者:趨勢科技資深安全分析師Rik Ferguson
曾經,安全技術所必須避免的重點就是產生一連串的事件通知。將系統調整到只會去通報已經確定的惡意攻擊事件是首要任務。你的防火牆必須非常肯定這些流入封包不屬於已建立的網路連線,或是入侵防禦系統(IPS)需要能夠明確指出這些封包是在嘗試做漏洞攻擊才能提出警報。
在廿世紀,甚至是廿一世紀初,我們習慣防禦就是將一切弄得清清楚楚;防火牆告訴我一切正常,IPS告訴我一切正常,防毒軟體告訴我一切乾淨;所以一切就都正常,對吧?錯了,這種短視的安全作法就是讓針對性攻擊在世界各地如此成功的原因之一。
在現實裡,那句見樹不見林的古諺說得再生動不過了。我們太過於注重「已知的惡意」,因為想要更加精簡和集中分析而對「正常」的處理,讓我們忽略脈絡而陷於危險中。
想像一下,在你伺服器機房外的走廊上一個安全監視器照到一個人,讓我們叫他戴夫。利用步態辨識和臉部識別都可以確認戴夫的身分,系統甚至可以指出他穿著清潔工的制服,這很不錯,因為戴夫是名清潔工。戴夫接近伺服器機房大門,使用他的NFC卡去開門,因為安全監視器和門禁系統已經進行連線,所以可以打開。在伺服器機房內的第二個監視器也確認的確是戴夫走進門來,一切都很好。
根據短視模型,這些事件都將被棄用,放進即將被清除的日誌資料夾內,因為「這裡沒什麼可看的」,但是這些事件所呈現出的脈絡對我們想監視的事情非常珍貴……
分隔線
如果戴夫在伺服器機房內不是在做清潔地板這類已知良好的行為,而是坐在一台伺服器前開始敲鍵盤呢。這顯然不是件好事,應該在某處敲響警鐘。但如果我們去掉我們聰明的大腦所記得和關連出的所有脈絡,那還剩下什麼?一個人在伺服器機房使用電腦?警備隊退下,這事件當然也屬於「這裡沒什麼可看的」資料夾。
在APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)的年代,安全事件監控準則也產生了變化。除非我們開始利用海量資料管理和事件關聯所帶來的機會,除非我們開始擴大可供我們安全資訊和事件管理系統使用的資料,不然高度針對性目標攻擊還是會繼續逃脫我們的監視。攻擊者利用合法使用者的身分認證和信任關係,去持續待在你最敏感網路內很長一段時間,可以自由自在地去通過鬆散的安全技術。
除非你學會退兩步來看事件,不然你還是只會見樹而不見林。脈絡才是王道。
@原文出處:Perspective Matters: Contextual Security
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
◎延伸閱讀
《趨勢專家談雲端運算》VMworld的熱門話題:為什麼安全團隊喜歡虛擬化桌面架構
小型企業是網路犯罪者的大事業-每個小型企業都應知道的五件關於網路犯罪的事
關於雲端之旅的六個好處和風險(2012年趨勢科技雲端安全調查)
會攻擊VMware虛擬機器的新病毒:Crisis(又稱為Morcut)
《趨勢專家談雲端運算》軟體定義網路重新洗牌:VMware收購Nicira,Oracle收購Xsigo
◎ 歡迎加入趨勢科技社群網站
