人们通常说防火墙,防病毒程序等安全工具仅对随机,无目标的攻击有效。如果您是故意的,专业的攻击者(例如国家赞助,国家安全局,中国国家攻击者或试图窃取商业机密的竞争对手)专门针对的目标,那么这些保护中的大多数都是无用的。这是真的吗?

如果是真的,那么哪些工具或技术会使专业攻击者的针对性攻击不同?攻击者比我有明显优势吗?我可以采用哪些策略来降低成功攻击的风险?

评论

是的,真正的优势在于攻击者方面。与您相比,他有更多的预算,更多的时间和更多的人专用于攻击。另外,他只必须赢一次,但每次都必须赢。

看来,这个问题的至少一部分(特别是有关防御定向攻击的部分)与如何最好地防御定向攻击的副本相同。

如果我受到预算高昂的坚定攻击者的攻击,我将开始谈判。如果价格合适,他将把它交付。

我只想补充一下,有时将这类攻击称为高级持久威胁(APT)

如果考虑国家赞助的国家安全局等,则各种设备中的嵌入式芯片都有可能受损,从而有助于攻击者。这是一个很难量化的差异。

#1 楼

免责声明:我在一家开发安全软件的公司工作,以缓解针对性攻击。
我们使用的某些方法与攻击者使用的方法类似(当客户要测试其系统时)。
例如,一位客户要求我们通过针对性的[鱼叉式]网络钓鱼攻击来测试其安全性。我们仅向IT部门发送了2封电子邮件。一封电子邮件发给董事会的地址似乎有误,带有指向Executive bonus summary.pdf之类的Pdf的链接,另一封电子邮件则是该公司在奥运会期间使用的新外部门户(“请检查您的域凭据是否正常工作。 。”)。通过在社交媒体上进行快速搜索,我们可以制作针对特定用户的电子邮件,但这会很耗时,并且最终没有必要。
我们注册了一个与目标用户外观上相似的域名,然后使用了它来托管假页面(样式与真实页面相同)并发送DKIM签名的电子邮件(以避免垃圾邮件过滤器)。
在被攻击的技术人员中,有43%的人提供了他们的公司登录详细信息,54%的人试图下载假的pdf (该pdf文件只是垃圾字节,因此它看起来像是损坏的下载文件。一个人尝试使用Firefox,IE和wget尝试了5次)。但只有在给我们提供他们的证书之后。)
所以...进入公司并非没有可能。至于获取信息,我们的正常销售策略包括演示绕过公司防火墙/传统DLP的演示。我认为除非它们之间存在气隙或使用良好的数据二极管,否则我们不会失败(尽管渗透率会有所不同。在一种情况下,我们使用了限制性白名单防火墙,因此软件对文档进行编码成图像并不断更新Google上的个人资料图片。然后我们从外部观看个人资料并下载了每个区块)。
也就是说,我们一次又一次发现可以使用该软件,但是用户始终是最薄弱的环节。
因此,要回答您的问题,针对性攻击包括个人接触。旨在诱骗用户,研究使用哪种软件(和发行版)检查已知漏洞,对社交媒体进行调查,对社会工程学进行调查等的自定义网站。
尽管贿赂/勒索。如果您在谈论国家行为者,那是不可想象的。

评论


请告诉我,您严重匿名了此信息。

– djechlin
2014年10月7日在8:25

我不明白PDF的意义。如果它被称为.PDF.EXE,那么无论如何您都可以责怪人们尝试下载它,但是如果它只是“ PDF”,我会说对于他们来说这很正常。 (确保有时PDF中也存在漏洞利用,但这是我猜想的重点)

– o0'。
2014年10月7日在9:56

使用PDF的原因特别是因为它作为真正攻击的攻击媒介非常可靠。

–詹姆斯·斯内尔(James Snell)
2014年10月7日10:50

我曾经读过,一些Unicode字符反转了字符串的显示顺序。因此,当我读取文件名以“ exe”开头时,我以为这已在此处完成,而文件实际上以某种方式以“ .exe”结尾。我有些失望。

– M.Herzkamp
2014年10月8日,11:47

@ M.Herzkamp这是一个技巧,其中文件名以从右到左的语言定义,因此在视觉上它可能是exe.example.pdf。请参见unicode规范中的从右到左标记和从右到左覆盖。

–基本
14-10-8在16:10



#2 楼

可以将所有安全性归结为威胁建模,风险评估,风险管理和风险缓解。所以不,旨在防御非目标攻击的防御措施不可能很好地抵抗目标攻击。

是什么让目标攻击者(或您称为“专业攻击者”)与众不同?只是他们愿意专门用来攻击您的情报和金钱。

所以,是的,如果有人愿意花费金钱和时间和精力专门攻击您,那么他们就有优势。防御策略是认识到这类攻击是风险模型中的现实威胁场景,并实施控制措施来管理和缓解这些风险。

评论


此外,大型跨国公司的通常情况是假设这些攻击会成功(例如Lockheed Martin 2011),因此计划在未造成太大损害之前检测出它们,或限制攻击的影响(即通过隔离非常敏感的区域)完全)

–Rory Alsop♦
2014年10月5日在18:48

我看不到此答案中尚不明显的新信息。

–TomášZato-恢复莫妮卡
16年4月15日在8:49

#3 楼

可以很好地概括一下随机攻击和目标攻击之间的区别:


攻击者想要N个远程节点用于DDoSing /垃圾邮件/网络钓鱼/等。




攻击者希望在user2174870的计算机上专门获取XYZ数据。 ),那么通常比下一个家伙更难破解就足够了。我尝试拍摄难以破解的两个数量级,即使如此,我还是使用IDS来了解何时被破解。希望如此。

但是,如果攻击者明确想要您的数据,那么情况将成为军备竞赛,唯一的制胜法宝就是不参加(shutdown -h now)。除非关闭计算机,否则您必须假设攻击者根据其资源而具有应用程序堆栈的零日漏洞,网络嗅探器,访问目标设备的其他设备上的恶意软件,以及可能还需要5美元的扳手。哦,他的工作人员可能比您聪明50人,而且预算无限制。令人怀疑的是,如果您有商业秘密,国家秘密,或发表关于法治统治的贬低性言论。

老实说,您无法防御有针对性的攻击。您可能可以在[公司|个人]预算中预算很大一部分,以雇用可能有机会在短期内坚持下来的人,但即使这样也不会持续。最好拔掉机器的电源,即使那样也不能保证。

话说,不要“不要成为目标”。使国家安全局继续执政的人太多了,害怕成为目标。成为明智的目标。如果您的专长是政治异议,那么不要试图打一场技术战争。确认您的电子通讯不安全,并相应地计划您的异议。

评论


您的维基百科标题为“那不能保证”的链接似乎不合适,我不确定该链接到什么。它没有提及被拔出的黑客机器。

–梯形
2014年10月6日,下午2:31

阿佩尔鲍姆(Appelbaum)是一位著名的计算机安全积极分子,受到闯入他家访问他的计算机的政府等众多机构的攻击。

– dotancohen
14-10-6在5:34

如果您的商业秘密价值$ 50000,您是否可以通过花费少于$ 50000来为之辩护?

– djechlin
2014年10月7日在8:28

@djechlin:如果您的攻击者认为商业机密的价值为$ 50000 * N,而他愿意花费预期价值的1 / N,则不会。我不确定细节是否公开,但这使我想起了Tu 144的发展。这不是计算机违规,但是俄罗斯人有可能花费更多的钱来窃取Concode计划,而不是花在他们身上。

– dotancohen
2014年10月7日在9:23

@djechlin:实际上,我是针对攻击者的攻击成本,而不是您的防御成本。在软件中,如在战争中一样,防御成本比攻击成本昂贵得多。

– dotancohen
2014年10月7日在9:25

#4 楼

如果您是国家赞助演员的目标,那将完全不同。如果您是一个高价值的目标,他们不仅可以利用零日恶意软件等黑客资源,还可以利用视频监控,窃听,贿赂您的朋友,电子邮件鱼叉式网络钓鱼,键盘记录,闯入您的房屋,甚至绑架和折磨您只是获得一些信息。

看一下即使中央情报局无法直接访问Internet或电话线,中央情报局用来追捕本·拉登的资源数量。唯一的策略是不要将自己描绘成目标。

#5 楼

通常最烦人的尝试是在完全自定义内核上的完全自定义系统(没有熟悉的命令,io范例,流程管理基础结构等)。这些东西当然以某种形式存在,但仅存在于一个系统上/ target,而您没有洞察力。幸运的是,穿透者很少在野外。

反面通常也是正确的:防御(甚至检测)最困难的攻击是完全习惯的攻击。出于可用性的考虑,几乎所有常用的系统都至少在其中的某个地方遵守“默认是”策略,因为用户拒绝任何实际安全的内容,因为“实际安全”也往往意味着“撕裂您的烦恼而使人沮丧” ”。这是既定的,而且也意味着大多数攻击者除了使用现有工具和框架外没有时间做任何事情,我们可以使用的通用安全工具是围绕大多数攻击案例构建的:基于商品破解工具的攻击。

完全自定义的攻击(执行良好)将缺少商品防御工具所寻找的所有迹象,从而使您经常有机会抓住基于攻击的狂风纯粹基于启发式(它们自己通常仅基于(您)对什么是“正常”历史网络或系统资源模式的最佳理解)。当然,一旦系统启动,该窗口就会关闭,因为所使用的检测工具通常是受到恶意升级的第一件事。

但是这种高级攻击的代价是巨大的。要成为这样的关注对象,您必须要么倒霉,要么就非常有价值。这笔费用可与部署完全自定义系统的费用相媲美(当然,自定义系统的费用通常会更高,但部署基础会有所改善-攻击的经济性恰恰与此相反)。安全成本始终可以通过以下方式保持平衡:


实际安全带来的烦恼
进行认真防御的财政/精力/时间成本



X型实际攻击的严重性

考虑到多少系统假设类似HTTP-> https重定向,DNS,IPSec ,IE中的任何兆兆伪造的CAs等都是不可能妥协的(har har!),显然,关键元素的权重很小。因此,带有最少检测工具的最新补丁的商品系统似乎已成为日常工作。除此之外,您能做的任何事情都会增加打击您的成本,甚至政府也将朝着更轻松的目标迈进,除非他们有特定的理由将您作为目标。我想这不是很高兴的建议,但是到目前为止,它是我们生活的世界。

#6 楼

我只想引用雅各布·阿佩尔鲍姆(Jacob Appelbaum)的话,我可能不必谈这些问题。

在瑞士EPFL举行的第一次隐私与监视大会期间,Applebaum说(我正在转录):


“如果NSA想要进入世界上的任何机器或系统,我们必须假定它们已经存在。”


#7 楼

“骇客”很容易。有一些工具可以为您提供漂亮的GUI,以供您运行漏洞利用库中的任何一个,可以侵入WiFi并运行MiTM等的工具,以及笨拙的网络钓鱼和其他社交尝试。工程,构成了非针对性攻击的很大一部分。简而言之,它们不是原创。这意味着大多数好的AV可以抵御大多数一般攻击-攻击者不介意,因为他们只需要找到没有AV的人即可。有针对性的单独攻击更加危险,因为熟练的攻击者不仅会检查您的网络拓扑并尝试了解您的安全措施,还将观察您的员工以找出如何攻击所谓的“第八层”(人)。凯文·米特尼克(Kevin Mitnick)是最臭名昭著的例子之一。我确信他在计算机领域很有才华,但他确实在社会工程领域表现出色-如此之多,以至于他一度闯入安全机构GOT CAUGHT,但仍然设法与安全卫士放手。 br />
AV公司拥有所有的“黑客工具”,并且尽其所能来消除对客户造成的风险。更有可能被采用的攻击是有人定制的攻击,它们可以越过您的防火墙,未被AV探测到,并在完成后清除您的日志。

#8 楼

我没有在答案中找到另一个角度。 http://lasec.epfl.ch/keyboard/


我们发现了4种不同的方法(包括Kuhn攻击)来从有线键盘中完全或部分地恢复击键距离,最长可达20米,甚至穿过墙壁。我们测试了2001年至2008年之间购买的12种不同的有线和无线键盘型号(PS / 2,USB和笔记本电脑)。他们都很容易受到我们4种攻击中至少一种的攻击。在此处研究列出的屏蔽标准http://www.wikiwand.com/zh_CN/Tempest_(代号)。

评论


暴风雨已经存在了很长时间。我在90年代就曾受过这样的教育(那时,您可以在CRT上阅读图像)

–基本
2014年12月16日下午0:42

#9 楼

从技术上讲,可以放置足够的控件以确保您不会从IT角度受到损害。

极端情况是关闭并卸下所有计算机设备。看到?没有计算机意味着没有计算机会受到威胁。好的,那我们允许计算机但没有网络呢:一切都是空白。我们不能保证它是无敌的,但是我们已经接近了。好的,那我们如何允许网络,但只能在没有敏感内容且没有任何类型的持久性存储的机器上进行。无需下载或执行未签名的代码。或者也许允许下载保留应用程序白名单。依此类推。

在“绝对不可穿透且完全无用”到“极其方便且不安全的地狱”之间存在着连续的安全性,而安全性总是与便利性格格不入。如果安全措施与便利不冲突,那么它就不被认为是“安全性”,您可以将其称为“标准做法”。家得宝级灾难,您最薄弱的部分是您的人员,而不是您的系统。安全性只有在实际实施后才能发挥作用,并且公司的系统很少符合公司自身的标准。

此外,社会工程学总是赢家。迄今为止,网络钓鱼是对已硬化目标的最有效攻击,而为减轻这种威胁所做的工作很少。攻击者一直拥有优势;攻击者只需赢一次,而防御者每次都必须赢才能保持安全。社会工程意味着攻击者可以摆脱IT的束缚,利用人机交互来赢得胜利。

是的,您可以安全,但这意味着将您的技术视为敌对的,将您的员工视为攻击者。这意味着为交互和互操作设置障碍。这意味着不允许人们认为理所当然的小事。这意味着您的操作将为此安全付出巨大的代价。但是有可能。

评论


我不知道没有网络可以使您接近无敌。棉花堡,有人吗? ;-)

– Graham Hill
2014年10月6日13:54

关闭系统对于某些类型的攻击也是一个积极的目标。

–詹姆斯·斯内尔(James Snell)
2014年10月6日在17:07

#10 楼

针对预防的防火墙,防病毒和其他防御措施只能有效地阻止被证明是有害的攻击。 IE如果某种类型的流量或某个文件在100%的时间内是错误的,则可以有效地将其阻止。虽然预防工具可能无法帮助解决更高级的威胁,但它们可用于阻止已知的不良流量。为了有效保护您的组织,需要阻止很多不良流量/文件。这非常有价值,但不能抵御高级威胁。可以创建看起来不错的文件,并在正常流量中隐藏不良流量。这需要差异防御来检测。

进入国家赞助和高级攻击时,您需要整体上进行处理。如果数据位于其他位置,他们可能不需要直接定位您即可获取数据。如果与您合作的第三方是较容易成为攻击目标的目标,那么它们很可能是第一个被攻击的目标。这取决于您确定获取数据的最简单方法,并采取缓解措施来管理该风险。

防御高级威胁的最佳方法是专注于检测。攻击者将获得预防性防御,但您在网络上的行为一次应该对您可见。这就是防守者发挥优势的地方。进攻具有介入的优势,因为他们只需要找到一个漏洞就可以利用。防御在网络内部具有优势。这是您的主场,您应该非常了解,应该有适当的防御层来降低攻击者的速度,让您有时间检测,隔离和阻止它们。再次进行整体思考,您应该知道组织中可能的目标和弱点。它们周围应有多层缓解措施。

检测归结为发现和检测异常行为。在其他警报中可能没有发现有关攻击的警报。攻击者不应在您的网络中删除其踪迹。他们的活动在您的基础结构中的某个位置,您需要眼睛才能看到该活动以及对基础结构的了解,才能知道在哪里查看。组织应拥有资产清单,以了解何时添加新设备,基线以了解什么行为是正常现象,从而突出异常行为,配置管理/监视以了解何时系统文件被篡改,基于网络和主机的监视以查看流量​​和活动,强大的访问控制来减缓基础架构内的横向移动,我想您明白了。您拥有的控件越多,可见性就越好。请参阅SANS关键安全控制。在您的网络内部,任何攻击者都必须留下其活动的证据。您需要拥有适当的工具来查看这些活动并知道要查找的位置。

关于攻击者一无所知,您可以假设他们一旦进入,找到数据并泄露数据,便会希望建立持久性。入侵是防御工具的用武之地。需要允许有效的流量,让您专注于如何暴露正在寻找数据和泄露数据的攻击者。观察可能的目标数据和出口点。这些将是最容易找到它们的点,因为高级攻击者将尽一切可能融合到有效流量中并使其不可见。

#11 楼

为了使它尽可能简短和甜美:(不过,如果社区要求,我可以稍后添加详细信息)


随机攻击

通常针对的是特定的漏洞特定软件的特定版本。此处的目标是尝试对所有可能的计算机进行攻击,并且并非每台计算机都将具有此漏洞,并且IDS / IPS解决方案将不允许在检测到其他客户端后立即对其余客户端执行相同类型的攻击。这种“冰雹玛丽”攻击会很快被好家伙阻止。

针对性攻击

关于最终目标,通常是少数几个计算机的目标全部属于一个特定实体。急于想要您的攻击者将花费时间和金钱来收集有关所有硬件和软件的信息。他们将根据需要购买与您的工厂相同的设备。他们将花费无数小时来寻找系统每一部分中的缺陷。一旦他们发现了该漏洞并在其副本或系统仿真中对其进行了测试,他们将执行一次该漏洞并迅速采取行动,因为他们知道自己要做什么。这在日志中可能不会引起注意,因为它并没有在全球数百台计算机上弹出,也没有针对ISP进行检测的大范围IP地址扫描。从本质上讲,除非您密切注意日志并注意到某些重要数据是从终端上传的,否则根本不会发生攻击。


此外:除非您非常重视值得这样做的攻击是不可能发生的,但是如果确实如此,您似乎唯一可以做的就是检测而不是阻止它。但是再说一次,总有绕过检测的方法。

#12 楼

这些技术与随机的,无目标的攻击相同。
恕我直言,真正区别出这类攻击的是:


可用时间
有钱购买未公开的漏洞利用
努力花费
攻击表面
后剥削工程

通常会受到随机的,非针对性的攻击:


其在时间方面的努力将主要限于一次尝试

它将尝试利用整个攻击面的一个方面

一旦攻击成功,工作将主要完成
,这样会更容易清理攻击的目标

而不是专业的有针对性的攻击:


随着时间的推移,它在时间上的努力会更长且持续不断

攻击者可能涉及多个人




目标攻击面将是整个攻击面

攻击面的弱点将被测试


一旦它能够闯入您的身体r边界将无法完成

攻击将在内部继续进行,以确保进一步方便地访问


很难拒绝进一步访问系统/ networks进入后:

后门将被放置在各处
凭据将被盗
内部弱点,并且对网络/系统的进一步了解将增加攻击面(即商业伙伴的WAN等)