過去幾週裡,我們看到了勒索軟體CryptoLocker對許多使用者來說成為了一個重大的威脅。我們對於這威脅的監測已經揭露出它是如何散播,特別是它和垃圾郵件與ZeuS的關連。然而,這威脅出現的背後看來有比一開始所發現還要多的故事。
我們發現一個它如此增長的可能因素:黑洞漏洞攻擊包作者Paunch被逮捕。Paunch被逮捕導致使用這漏洞攻擊包的垃圾郵件攻擊活動大量地減少。明顯地,這樣會造成垃圾郵件發送的中空期,但垃圾郵件發送者不會突然就停止發送垃圾郵件。因此,他們需要一些替代品,那會是什麼?
其中一個替代品就是UPATRE。我們發現主要發送黑洞漏洞垃圾郵件的Cutwail 殭屍網路開始在十月左右夾帶UPATRE(最終會導致CryptoLocker),也就是Paunch被逮捕的當月。事實上,我們已經監測到多個IP地址和這轉移有關連 – 在作者被逮前寄送黑洞漏洞垃圾郵件,被逮後發送 CryptoLocker垃圾郵件。 繼續閱讀
Forrester:組織部署單一廠商模式可以:
- 減少60%需要被修復的安全問題
- 修復時間減少50%
- 每周減少120個最終使用者小時在安全相關的停機或緩慢問題
許多組織仍在沿用多年前所開發的安全模式,而無法反應解決今日挑戰所需的改變,包括威脅形勢的改變,經濟狀況的改變,以及需要以更少資源做更多事的改變。
威脅形勢已經從過去的病毒爆發、垃圾郵件(SPAM)和惡意軟體,到今日的網路犯罪分子會針對特定使用者、群組或組織來製造魚叉式網路釣魚(Phishing)攻擊,包含針對受害者所設計的客製化惡意軟體或客製化連結。如果組織沒有改變他們的安全模型以因應這些改變,成為下一個受害者的風險就會提高。
隨著世界市場繼續著全球性經濟衰退,預算也繼續受到限制,IT部門必須不斷地更少的資源來做更多的事。IT安全預算花費會基於舊的模式,正因為如此,很可能讓組織沒辦法利用規模經濟和商品化特定的解決方案。
在過去幾年間,我們看到需要有一種新的方法來面對這些改變,檢視你目前的安全模型,問問自己底下的問題以幫助你降低風險和成本。
我們在今日經常看到這些狀況,並且會建議一個不同的模型,來同時面對威脅形勢的轉變以及經濟狀況的改變。
趨勢科技委託Forrester研究公司採訪四家全球性的公司,以確定採不採用單一廠商模式會不會提高他們的安全投資 – 從更好的保護和修復角度,以及從投資回報率的角度來看。他們發現,組織部署單一廠商模式可以達到以下幾點:
更重要的是,Forrester計算出這些公司平均有146%對初始投資的回報率,平均投資回收期只需5.3個月。當今的威脅形勢需要能夠在最短時間內保護公司,對抗新的客製化攻擊。因此,可以整合攻擊期間內所需要面對的廠商數量,可以讓他們更快的去處理問題。將組織內所使用的安全解決方案整合成單一廠商解決方案,並使用單一的管理控制台,讓企業對於正在發生的事情更有能見度,花更少的時間去學習和處理多個廠商的解決方案。結果不言自明,這些企業現在可以用更少的資源做更多的事情,無論是用來管理整個解決方案的時間,或是用來識別並解決新威脅所所花費的時間。
趨勢科技一直都表現出自己是應對新威脅速度最快的安全廠商之一。
NSS實驗室是唯一在測試裡加入防護反應時間因子的測試單位。從三個獨立的測試中,趨勢科技顯示出最快的反應時間。
資料來源:NSS實驗室2009年消費者報告(防護反應時間結果)
正如我們在前面文章所提到的,我們可以利用OSSEC來偵測現有Hadoop和HBase系統檔案的完整性。OSSEC會產生紀錄,讓系統管理員用以檢查各種系統事件。
值得注意的是,各種巨量資料系統(Big Data System),不只是Hadoop和HBase,都會產生驚人數量的記錄資料。至少可以說,要安裝一個巨量資料叢集並不簡單,這些日誌對於幫助IT人員建立叢集和診斷系統問題上發揮至關重要的作用。巨量資料系統管理員實際上已經習慣於透過檢查日誌檔來找到潛在問題。
OSSEC可以監控的重要Hadoop安全事件有:
設定OSSEC代理程式來監控一個或多個Hadoop日誌檔,需要將日誌檔案目錄路徑加入代理程式的ossec.conf檔案。對於HDFS NameNode,我們希望監控hadoop-hdfs-namenode-{host}.log檔,{host}是NameNode名稱或IP地址。這檔案通常位在/var/log/hadoop-hdfs/目錄。同樣地,對於HMASTER節點,我們會想要監控/var/log/hbase目錄下的hbase-hbase-master-{host}.log。這樣就可以從OSSEC代理程式取得我們Hadoop和HBase的日誌檔案到伺服器上。
下一步就是撰寫解碼規則來解析日誌,還有警報規則來根據日誌內容生成警報。解碼器用正規表示法組成,讓OSSEC伺服器用來找到感興趣的內容,以及將文字對應到伺服器所能辨認的標準欄位。規則讓伺服器可以檢驗解碼後的欄位來找到指示重要安全事件的內容。當一個給定規則找到來自某一解碼器的事件資料,伺服器會生成一個由規則定義的警報。
視覺化Hadoop的安全事件
視覺化OSSEC安全警報最簡單的方法是不斷地顯示警報日誌檔。雖然這也行,但它就像是在看表格內的原始資料。很難或幾近不可能去從資料中找出趨勢。
OSSEC可以透過syslog來發送警報資料給任何安全資訊和事件管理程式(SIEM),提供syslog相容性。我們喜歡用的一個SIEM是Splunk,和一個開放原始碼應用程式稱Splunk for OSSEC。這可以直接從Splunk的應用程式主控台來安裝到OSSEC伺服器上。
Splunk for OSSEC是設計用來取得OSSEC警報,然後歸納總結跟進行趨勢分析。下面顯示的是Splunk上OSSEC儀表板的例子。你可以在這裡看到事件隨著時間推移的摘要,包括之前所討論到的HBase和HDFS事件。
圖二、Splunk for OPSSEC
多年來,Hadoop開發社群逐步地增加 Hadoop 和HBase 的功能,以提高運作的安全性。這些功能包括Kerberos使用者身份驗證,加密叢集節點間的資料傳輸,和HDFS檔案加密。趨勢科技在Hadoop的公開生態系內貢獻了數個安全性功能(參考我們之前的文章保護巨量資料和Hadoop以了解更多詳情)。
雖然這些安全功能都很重要,但它們主要集中在保護Hadoop資料。並沒有讓IT人員擁有他們Hadoop叢集內安全事件的能見度。這裡就是一個良好的主機入侵偵測系統可以發揮的地方。我們一直致力於運用OSSEC,我們的開放原始碼主機入侵偵測系統(HIDS)來提供巨量資料的安全性,為Hadoop和HBase系統加入安全監控能力。在這篇文章裡,我們會解析OSSEC的功能。
OSSEC概述
OSSEC提供許多重要的安全功能,包括文件完整性檢查、系統日誌分析和警報生成。OSSEC具備一個代理/伺服器架構。代理程式處理日誌、檔案和(Windows系統上)註冊碼的監控,然後用UDP將相關日誌以加密的形式送回伺服器。代理程式系統上的入侵通常可以透過檔案變動或是安全事件記錄而加以偵測。
圖一、用OSSEC保護Hadoop安全
(圖片來自https://vichargrave.com/securing-hadoop-with-ossec/)
在伺服器上,日誌透過解碼器加以解析,並用內建規則加以解譯以產生安全警報。OSSEC內建了大量的解碼器和規則,可以支援廣泛種類的系統和事件。OSSEC的覆蓋率也可以透過自行定義的日誌解碼器及安全警報規則來加以擴展。
Hadoop的檔案完整性檢查
Hadoop和HBase系統依賴大量的設定檔案和Java檔案才能正常運作。任何對這些檔案未經授權的變更都會對叢集產生不好的影響。對Hadoop系統內的HDFS Namenode和HBase系統內的HMASTER節點尤其如此。前者控制HDFS的運作,後者則涉及HMASTER和地區伺服器間的I/O。
OSSEC可以偵測這些重要Hadoop檔案的變動。當OSSEC代理程式啟動時,它會遞迴地掃描使用者指定的目錄,計算每一個檔案的MD5和SHA1雜湊值。檔案名稱和雜湊值儲存在OSSEC伺服器的資料庫內。代理程式會根據使用者指定的時間間隔(通常每隔幾個小時)來重複此作業。當伺服器收到某一給定檔案的雜湊值和之前所儲存的不同,伺服器會生成一個安全警報。OSSEC伺服器會在自己的警報日誌檔中記錄每個安全警報。 繼續閱讀
通常孩子們不是網路犯罪分子的主要目標,但駭客和身份竊賊在網路上佈陷阱時,他們也在網上。這裡有四種他們可能會落入這些陷阱的方式,以及如何能阻止這些攻擊的建議:
1. 熱門搜尋關鍵字:大新聞發生時, 滑鼠先移到熱門關鍵字搜尋結果連結上方檢查網址
在網路上使用Google這樣的搜尋引擎來找資料是最快的方式了。當有大新聞或有大事即將發生或剛剛發生時,孩子們可能會急著到網路上找尋更多相關消息。但這同時也是網路犯罪分子上工的時候。他們會注意有哪些焦點會聚集網路流量,並且加以利用。很多時候,他們會建立假網站以及連到這些網站的網址讓人們點擊、下載或開啟檔案,但實際上是騙人去下載惡意軟體,好來偷看你的上網習慣,或在你的電腦裡開後門,以及竊取個人資料。
建議:點入搜尋結果前要先想一想。滑鼠先移到連結上方以確定所顯示的網址是你認為的那一個。盡量去那些你已經知道的網站,並且避開你不大熟悉的網站。
2. 網路廣告:信賴網站也可能有惡意廣告,別被好康放送迷失了理智
孩子們可能會被網路上所提供的東西所吸引,像是流行的產品、電影、音樂、活動門票或遊戲,這些全都是由網路犯罪分子所偽造的。他們所提供的好康太過誘人,所以會讓他們點入、下載或輸入個人資料(自己或你的)來得到它。
有時這些精心設計的廣告會出現在本來值得信賴的網站上。然而,廣告可能來自和網站不同的來源,所以網路犯罪份子只需要針對廣告放置的地方,而不需要入侵網站代管的地方。
他們也可能會收到看似正常的電子郵件和包含連結的內容。如果點入,會將他們帶到一個看似正常的網站,要求他們輸入個人資料或下載一個檔案。最終他們可能會將資料交到駭客或身份竊賊之手。
建議:如果提供的好康好得太不真實,那通常就是假的。要去懷疑這些好康,並學會相信自己的直覺。不要點入或打開任何看起來奇怪的東西。將可疑郵件標記為垃圾郵件。
3.人氣應用程式:受歡迎的行動應用程式,可能是山寨版,下載前先做足功課
隨著行動應用程式驚人的普及,網路犯罪份子會想假造受歡迎的應用程式來進入智慧型手機也就不令人意外了。在應用程式商店上,有時很難分辨出哪些可能是假的,因為他們偽裝的如此之好。趨勢科技的研究人員發現過假版本的熱門應用程式,像是Instagram和Angry Birds Space憤怒鳥上太空星際版/太空版。這些假應用程式可以做很多事情,像是騙你輸入個人資料或下載惡意軟體到你的手機上以竊取你的資料。
建議:下載和開始使用應用程式前要先做好功課。選擇你確知來自原公司,而且已經很公開的版本,或在你下載前先到網路上找一找。
如果沒有特定理由,不要讓應用程式自動使用你的其他資料(像實體位置或聯絡人列表)。
考慮使用趨勢科技安全達人,它可以掃描應用程式,並在發現是偽造或會竊取它們所不該碰觸資料時發出警告。
4. 人氣文章:朋友按的讚未必是真的,高人氣推薦也可能是假的,請再三確認
網路犯罪分子有時會潛入社群網路,人們在那裏相互交流,會閱讀自己所認識和相信人們張貼的連結或內容。他們可以騙某人對一篇實際上是假的文章或連結按「讚」,他們也可能會去滲透那些我們越來越常在社群網頁上所看到的廣告內容。
建議:不要點入那些看起來可疑的連結,即使它似乎是你的朋友所張貼或以某種方式推薦的內容。用其他方式問問你的朋友,以確保他們在社群網路上對某東西按「讚」的真正意思。
網路犯罪分子有很多種方法在網路上偽裝自己,這裡是四種孩子們最有可能遇到的途徑。如果你教導孩子們可以對他們所看到、點入、下載和網路發表的一切都抱持著懷疑的態度,並且遵循著下列所介紹的技巧,那就可以在大多數情況下,讓網路犯罪分子無功而返。
除了以上意見外,這裡有更多可以遵循和教導孩子的技巧:
