如何抵御大规模网络攻击
  • 发表时间:2018-06-12

安全公司Mandiant以其在遏制大公司安全漏洞方面的作用而闻名,包括索尼、Target和纽约时报的高调黑客攻击。

广告所以,公司事件响应者在最后周末的数字安全会议shmooconin Washington DC上发表的演讲引起了很大的兴趣,他们在演讲中描述了他们是如何应对“最大和最先进的”网络安全漏洞之一的。马特·邓伍迪和尼克·卡尔说,在高峰时期,这个漏洞每天在一个不具名的客户10万系统网络上感染多达10个系统。

「我们发现至少有五万封失窃的电子邮件,这可能只是他们实际收到的邮件的一小部分,」邓伍迪说,他和卡尔星期二也与Fast Company交谈。

这对夫妇说,他们花了8个月的时间来全面分析、控制和修复漏洞,这让他们学到了应对安全事件的一些关键经验。

一个令人惊讶的建议:尽可能让潜在受损的系统保持在线,直到您确定违规的程度。邓伍迪说,这有助于阻止攻击者意识到你意识到他们的存在,并改变策略来隐藏他们的方法。

「攻击者会知道你找到了他们,他们会知道你找到了什么,他们会知道你没有找到什么,他们会开始利用这些来对付你,让未来变得更加困难。」

通常情况下,就像在过去三年中发生的这一违规事件一样,攻击者首先通过一种经验证的技术(如恶意软件网络钓鱼电子邮件)访问网络。但如果安全团队行动太快,无法清理受损工作站,他们可能会错过攻击者更深入公司系统的地方。

广告“我们认为他们做了很多大声的活动,然后是很多有目的的偷偷摸摸的活动,”卡尔说,攻击者遇到了突破口。

两人拒绝详细评论攻击者的身份,卡尔说,攻击者在不同的目标机器上故意使用不同外观的恶意软件文件,每一个都从不同的web域接收命令,以避免容易被发现。

“这些域中的每一个都遭到了破坏,攻击者在它们的末端增选了合法的web基础设施,”他说。“例如,你有合法的SSL连接,可以连接到信誉良好的看似合法的网站。“

即使黑客删除了其他证据,该团队最终还是能够通过监控某些蛛丝马迹(如黑客安装的实用软件的Windows注册表条目)来跟踪漏洞。

Mandiant团队还增强了客户端监控网络流量和记录Windows PowerShell命令行环境使用情况的能力。他们还建立了工具来跟踪攻击者利用Windows管理仪器API危害系统的行为——工具卡尔说,他们在随后的调查中继续使用这些工具。他说,

这种自动化可以帮助调查人员快速行动,避免疲劳。

广告“所有的技术都是一个使能器,但双方都是一场资源之战,有这样的漏洞,”卡尔说。

这对夫妇建议,一旦发现安全漏洞,就与有处理安全漏洞经验的供应商合作——“你需要多年来每天都这样做的人,并有后端基础架构来支持他们”,邓伍迪说,并确保安全措施在很早以前就已经生效。

日志记录活动,如PowerShell命令,可以帮助检测漏洞,而采取限制工作站之间连接方式等步骤可以控制漏洞,他说。卡尔说,

一些安全措施,如维护许可应用程序的白名单,可以帮助检测漏洞,即使黑客设法规避它们。

「你让他们必须采取某些行动来规避你现有的系统,然后,有时候他们采取这些行动,你就有更高的机会去捕捉这些活动。」

广告