當(dāng)前位置:工程項(xiàng)目OA系統(tǒng) > 泛普各地 > 遼寧OA系統(tǒng) > 沈陽OA系統(tǒng) > 沈陽OA快博
信息安全:未來的五種攻擊手段
申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114
文章來源:泛普軟件 至少僅僅靠安全意識(shí)上的加強(qiáng)是遠(yuǎn)遠(yuǎn)不夠的,而且很少有人將歷史教訓(xùn)放在心上。紅色代碼的爆發(fā)就充分地說明人們常常即使已經(jīng)知道存在某種安全威脅,但卻事不關(guān)己,高高掛起,自己還沒有遭到攻擊就賴得補(bǔ)救。而企業(yè)有限的安全預(yù)算也制約著信息安全領(lǐng)域的發(fā)展。另外,一些人還會(huì)出于某種目的花費(fèi)大量的時(shí)間去研究新的攻擊方法和手段,盡管如此,我們還是可以嘗試著去預(yù)測(cè)隱伏著的可能的這些攻擊。 筆者時(shí)常被問," 什么樣的潛在性網(wǎng)絡(luò)攻擊會(huì)使你在半夜醒來?" 筆者想可能下面的這些就足以使我半夜驚醒: 1.超級(jí)蠕蟲 無論是手段的高明性,還是破壞的危害性,計(jì)算機(jī)網(wǎng)絡(luò)受到蠕蟲的威脅都在激增。在我們的民意調(diào)查中顯示人們?nèi)耘f將這一威脅看作是計(jì)算機(jī)網(wǎng)絡(luò)將面臨的最大威脅之一,有超過36%的人認(rèn)為超級(jí)蠕蟲的威脅應(yīng)該擺在第一位( 見圖3和4)。 超級(jí)蠕蟲,它一般被認(rèn)為是混合蠕蟲。它通常能自我繁殖,并且繁殖速度會(huì)變得更快,傳播的范圍會(huì)變得更廣。更可怕的是它的一次攻擊就能針對(duì)多個(gè)漏洞。例如,超級(jí)蠕蟲潛入系統(tǒng)后,不是僅僅攻擊某個(gè)漏洞,而是會(huì)嘗試某個(gè)已知漏洞,然后嘗試一個(gè)又一個(gè)漏洞。 超級(jí)蠕蟲的一枚彈頭針對(duì)多個(gè)漏洞發(fā)動(dòng)攻擊,所以總有一個(gè)會(huì)有效果。如果它發(fā)現(xiàn)你未打補(bǔ)丁的地方,那你就在劫難逃了。而事實(shí)上沒有哪家公司的系統(tǒng)完全打上了所有的補(bǔ)丁。 很多安全專家逐漸看到的通過IM(即時(shí)消息)進(jìn)行傳播的蠕蟲就可以說是一種超級(jí)蠕蟲。黑客將一個(gè)鏈接發(fā)給IM用戶后,如果用戶點(diǎn)擊鏈接,蠕蟲就會(huì)傳播給該用戶的IM地址簿上的所有人。有了IM,用戶將隨時(shí)處于連接狀態(tài),所以也隨時(shí)會(huì)受到攻擊。(建議用戶參考安絡(luò)科技的專題文章: 八月震撼:點(diǎn)對(duì)點(diǎn)(p2p)通信對(duì)信息安全構(gòu)成嚴(yán)重威脅和前段段時(shí)間出現(xiàn)過的 “MSMessenger”病毒)。 為對(duì)付未來的超級(jí)蠕蟲我們所能做的將是: 對(duì)外部可訪問系統(tǒng)進(jìn)行安全加固, 像Web服務(wù)器,郵件服務(wù)器和DNS服務(wù)器等,盡量將它們所需要開放的服務(wù)減少到最小。 給系統(tǒng)及時(shí)打上補(bǔ)丁、及時(shí)更新防病毒軟件,對(duì)員工進(jìn)行安全宣傳和教育。 使用基于主機(jī)的入侵檢測(cè)系統(tǒng)和預(yù)防工具, 例如Symantec的 Intruder Alert 3.6 可以阻斷或迅速發(fā)現(xiàn)蠕蟲的攻擊。 2. 隱秘攻擊(Stealthier Attacks) 現(xiàn)在越來越多的黑客把攻擊后成功地逃匿IDS的檢測(cè)看作是一種藝術(shù),有許多新工具將能使他們?cè)诠粲脩舻南到y(tǒng)后,不會(huì)留下任何蛛絲馬跡,有多種高級(jí)黑客技術(shù)將能使之成為可能,而這些技術(shù)已經(jīng)被廣泛地為專業(yè)黑客和一些高級(jí)的腳本菜鳥(Scripts Kids)所采用: 多變代碼 這些惡意軟件其本身可能是一種病毒,蠕蟲,后門或漏洞攻擊腳本,它通過動(dòng)態(tài)地改變攻擊代碼可以逃避入侵檢測(cè)系統(tǒng)的特征檢測(cè)(Signature-based detectio,也可稱為模式匹配)。攻擊者常常利用這種多變代碼進(jìn)入互聯(lián)網(wǎng)上的一些帶有入侵偵測(cè)的系統(tǒng)或IDSes入侵者警告系統(tǒng)。 Antiforensics 攻擊者可操作文件系統(tǒng)的特性和反偵測(cè)伎倆進(jìn)行攻擊來逃避IDS的檢測(cè)。 例如通過利用像Burneye這樣一個(gè)工具,可以掩蓋黑客對(duì)系統(tǒng)的攻擊企圖,使用Defiler的工具Toolkit可以覆蓋黑客對(duì)目標(biāo)文件系統(tǒng)所做的修改留下的蛛絲馬跡。 隱蔽通道 為了和后門或者惡意軟件進(jìn)行通訊,攻擊者必須建立一條非常隱蔽的通信通道。為此,攻擊者常常將通訊端口建立在一些非常常用的通信協(xié)議端口上,像HTTPS或者SSH。 內(nèi)核級(jí)后門(Kernel-level root kits) 通過從系統(tǒng)內(nèi)核控制一個(gè)系統(tǒng),攻擊者獲得對(duì)目標(biāo)系統(tǒng)的完全控制權(quán)限,而對(duì)受害者來說卻一切都似乎風(fēng)平浪靜。 嗅探式后門(Sniffing backdoors) 通過將后門和用戶使用的嗅探器捆綁在一起,攻擊者能夠巧妙地繞過用戶使用的傳統(tǒng)的通過查看正在監(jiān)聽的端口來發(fā)現(xiàn)后門的檢測(cè)方法,使受害者被種了后門卻還一直蒙在鼓里。 反射式/跳躍式攻擊 與其直接像目標(biāo)系統(tǒng)發(fā)送數(shù)據(jù),很多攻擊者覺得還不如利用TCP/IP欺騙技術(shù)去以誤導(dǎo)正常的檢測(cè),隱蔽攻擊者的真實(shí)地址。象反射式D.o.S攻擊就是例證。有關(guān)反射式D.o.S攻擊的詳細(xì)信息,請(qǐng)參見安絡(luò)科技七月巨獻(xiàn):網(wǎng)絡(luò)攻擊機(jī)制和技術(shù)發(fā)展綜述。 針對(duì)以上這些詭秘的攻擊,作為用戶又該如何防范和阻止呢? 如果你的系統(tǒng)遭到這種攻擊,你需要能夠迅速地檢測(cè)出來,而且要知道攻擊者具體在你的系統(tǒng)上干了寫什么。為了能夠察覺出這種入侵,需要同時(shí)使用基于網(wǎng)絡(luò)和基于主機(jī)上的入侵檢測(cè)系統(tǒng)和防病毒產(chǎn)品,并仔細(xì)檢查你的系統(tǒng)日志。一般用戶可能不具備這種專業(yè)能力,可以尋找一家高專業(yè)水準(zhǔn)的信息安全簽約服務(wù)商,為您提供高水平的反入侵服務(wù)。 一旦你發(fā)現(xiàn)自己的系統(tǒng)有什么異常,你必須確保你的事件緊急響應(yīng)小組在取證分析上有豐富的經(jīng)驗(yàn),能夠熟練使用像@stake的免費(fèi)TASK工具或者Guidance Software的商業(yè)軟件EnCase,因?yàn)檫@兩個(gè)工具都能非常仔細(xì)對(duì)系統(tǒng)進(jìn)行分析,并且非常精確地隔離攻擊者的真實(shí)破壞活動(dòng)。重點(diǎn)部門的事件響應(yīng)小組可以和專業(yè)安全服務(wù)商共建,明確分工,及時(shí)處理。 3. 利用程序自動(dòng)更新存在的缺陷 主流軟件供應(yīng)商,像Microsoft和Apple Computer等都允許用戶通過Internet自動(dòng)更新他們的軟件。通過自動(dòng)下載最新發(fā)布的修復(fù)程序和補(bǔ)丁,這些自動(dòng)更新工具可以減少配置安全補(bǔ)丁所耽誤的時(shí)間。 但是程序允許自動(dòng)更新的這個(gè)特征卻好比一把雙刃劍,有有利的一面,也有不利的一面。攻擊者能夠通過威脅廠商Web站點(diǎn)的安全性,迫使用戶請(qǐng)求被重定向到攻擊者自己構(gòu)建的機(jī)器上。然后,當(dāng)用戶嘗試連接到廠商站點(diǎn)下載更新程序時(shí),真正下載的程序卻是攻擊者的惡意程序。這樣的話攻擊者將能利用軟件廠商的自動(dòng)更新Web站點(diǎn)傳播自己的惡意代碼和蠕蟲病毒。 在過去的六個(gè)月中,Apple 和 WinAmp 的Web站點(diǎn)自動(dòng)更新功能都被黑客成功利用過,所幸的是發(fā)現(xiàn)及時(shí)(沒有被報(bào)道)。Apple 和 WinAmp 后來雖然修復(fù)了網(wǎng)站的緩沖溢出缺陷,并使用了代碼簽名(Code Signing)技術(shù),但基于以上問題的攻擊流一直沒有被徹底清除。 為了預(yù)防這種潛在的攻擊威脅,需要嚴(yán)格控制和管理安裝在你的內(nèi)部網(wǎng)機(jī)器上的軟件,禁止公司職員隨意地安裝任何與工作無關(guān)的應(yīng)用軟件。在這里,你可以使用軟件管理工具來強(qiáng)迫執(zhí)行,像 Microsoft 的 SMS,LANDesk SOFTware 的 LANDesk。這兩個(gè)工具只要二者擇其一,你就可以配置你的內(nèi)部升級(jí)服務(wù)器,如通過在工具中對(duì)微軟軟件升級(jí)服務(wù)器相關(guān)選項(xiàng)進(jìn)行配置,你可以具體選擇哪個(gè)修復(fù)程序和補(bǔ)丁允許被安裝。為保護(hù)你的網(wǎng)絡(luò),可使用sniffer測(cè)試所有的補(bǔ)丁,如發(fā)現(xiàn)網(wǎng)絡(luò)流量不正?;虬l(fā)現(xiàn)開放了陌生的端口則需引起警覺。 4. 針對(duì)路由或DNS的攻擊 Internet主要由兩大基本架構(gòu)組成:路由器構(gòu)成Internet的主干,DNS服務(wù)器將域名解析為IP地址。如果一個(gè)攻擊者能成功地破壞主干路由器用來共享路由信息的邊界網(wǎng)關(guān)協(xié)議(BGP),或者更改網(wǎng)絡(luò)中的DNS服務(wù)器,將能使Internet陷入一片混亂。 攻擊者通常會(huì)從頭到腳,非常仔細(xì)地檢查一些主流路由器和DNS服務(wù)器的服務(wù)程序代碼,尋找一些能夠使目標(biāo)程序或設(shè)備徹底崩潰或者取得系統(tǒng)管理權(quán)限的緩沖溢出或其它安全缺陷。路由代碼非常復(fù)雜,目前已經(jīng)發(fā)現(xiàn)并已修復(fù)了許多重要的安全問題,但是仍舊可能存在許多更嚴(yán)重的問題,并且很可能被黑客發(fā)現(xiàn)和利用。DNS軟件過去經(jīng)常發(fā)生緩沖溢出這樣的問題,在以后也肯定還可能發(fā)生類似的問題。如果攻擊者發(fā)現(xiàn)了路由或DNS的安全漏洞,并對(duì)其進(jìn)行大舉攻擊的話,大部分因特網(wǎng)將會(huì)迅速癱瘓。 為了防止遭到這種攻擊,確保你的系統(tǒng)不會(huì)被作為攻擊他人的跳板,應(yīng)采取如下措施: 對(duì)公共路由器和外部DNS服務(wù)器進(jìn)行安全加固。如果公司的DNS服務(wù)器是為安全敏感的機(jī)器提供服務(wù),則應(yīng)為DNS服務(wù)器配置防火墻和身份驗(yàn)證服務(wù)器。 確保DNS服務(wù)器安裝了最新補(bǔ)丁,對(duì)DNS服務(wù)器嚴(yán)格監(jiān)控。 如果你認(rèn)為是由ISP的安全缺陷造成的威脅,確保你的事件緊急響應(yīng)小組能夠迅速和你的ISP取得聯(lián)系,共同對(duì)付這種大規(guī)模的網(wǎng)絡(luò)攻擊。 5. 同時(shí)發(fā)生計(jì)算機(jī)網(wǎng)絡(luò)攻擊和恐怖襲擊 這可以說是一場(chǎng)雙重噩夢(mèng):一場(chǎng)大規(guī)模的網(wǎng)絡(luò)攻擊使數(shù)百萬的系統(tǒng)不能正常使用,緊接著,恐怖分子襲擊了一個(gè)或者更多城市,例如一次類似9/11的恐怖爆炸事件或者一次生化襲擊。在9/11恐怖襲擊事件后,美國東部的幾個(gè)海岸城市,電話通信被中斷,驚恐萬分的人們不得不通過E-MAIL去詢問同事或親人的安全。由于這次襲擊,人們發(fā)現(xiàn) Internet 是一種極好的傳媒(還有電視傳媒)。但是我們不妨假設(shè)一下,如果此時(shí)爆發(fā)超級(jí)蠕蟲,BGP和DNS被遭到大舉攻擊,那么在我們最需要它的時(shí)候它也將離我們而去,可以想象將是一種什么樣的糟糕場(chǎng)面。但是這又并不是不可能發(fā)生的。 我們要居安思危,為這種災(zāi)難的可能發(fā)生作好應(yīng)急準(zhǔn)備是相當(dāng)困難的: 作好計(jì)算機(jī)的備份工作; 除給緊急響應(yīng)小組配備無線電話外,還需配備全雙工傳呼設(shè)備; 要確保你的計(jì)算機(jī)緊急響應(yīng)小組有應(yīng)付恐怖襲擊的能力; 要假想可能出現(xiàn)的恐怖襲擊場(chǎng)面以進(jìn)行適當(dāng)?shù)难萘?xí),以確保真正同時(shí)發(fā)生網(wǎng)絡(luò)攻擊和恐怖襲擊時(shí),他們能夠迅速、完全地進(jìn)入角色。 也許有人會(huì)認(rèn)為我們這樣做可能都是杞人憂天,但是,筆者有理由相信這樣的事情在未來的5年中是完全有可能發(fā)生的,只不過所使用的攻擊技術(shù)可能是我們?cè)谏厦嫠信e出來的,可能是我們所沒有預(yù)計(jì)到的。 來源:信息安全- 1談項(xiàng)目管理和軟件測(cè)試過程(五)
- 2政府及行政事業(yè)單位OA辦公系統(tǒng)傳統(tǒng)辦公與協(xié)同辦公軟件
- 32005年度SSL VPN網(wǎng)關(guān)公開比較測(cè)試報(bào)告
- 4泛普協(xié)同OA系統(tǒng)采用了開放的技術(shù)架構(gòu)
- 52005年存儲(chǔ)領(lǐng)域暴雨來臨前片刻的寧靜
- 6批處理過程的監(jiān)控
- 7路由器中的管理間距和量度參數(shù)
- 8移動(dòng)流媒體技術(shù)及其應(yīng)用
- 9智能布線管理系統(tǒng)走上臺(tái)前
- 10如何讓VoIP變得安全可靠
- 11信息化技術(shù)應(yīng)用篇:交流伺服系統(tǒng)的發(fā)展和展望
- 12Linux內(nèi)核結(jié)構(gòu)詳解
- 13百兆無線三分趨一統(tǒng)
- 14數(shù)據(jù)庫技術(shù)的一些基本概念
- 15RFID渴望標(biāo)準(zhǔn)的確定
- 16先進(jìn)制造技術(shù)的發(fā)展趨勢(shì)
- 17在線支付遇安全殺手 最終用戶成攻擊薄弱點(diǎn)
- 18行為識(shí)別垃圾郵件
- 19開源軟件是否更安全
- 20對(duì)數(shù)據(jù)網(wǎng)發(fā)展趨勢(shì)的思考
- 21VoIP工作原理
- 22如何從體系結(jié)構(gòu)上避免DoS攻擊
- 23主數(shù)據(jù)管理經(jīng)驗(yàn)談
- 24金融安全戰(zhàn)略重于技術(shù)
- 25沈陽辦公自動(dòng)化系統(tǒng)OA哪家公司的比較不錯(cuò)?
- 26攻擊企業(yè)網(wǎng)勢(shì)頭有增無減
- 27自動(dòng)化機(jī)房管理方法
- 28網(wǎng)友觀點(diǎn):國內(nèi)CMS內(nèi)容管理系統(tǒng)技術(shù)分析總結(jié)
- 29了解思科訪問控制列表其他方法
- 30歸檔變得更容易
成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓