了解敌人

  • 时间:
  • 浏览:46
  • 来源:it300
了解敌人

从黑客的角度来看,发起成功的攻击,无论是基于恶意软件还是通过网络应用程序黑客攻击,都需要对基础设施进行投资。基础设施可以采用物理形式:互联网服务器来托管命令和控制服务器(C2)和被过滤的数据,或者是逻辑资产:软件黑客工具开发,漏洞研究和隐形通信协议定义。

建立一个基础设施是一项投资,与任何其他以利润为导向的公司一样,攻击者希望最大化其投资回报率(ROI)并从初始投资中获得最大收益。今天,我们将讨论黑客采取的两种主要方法,以便利用他们的投资和针对每种方法的衍生安全措施。

Ma生产攻击者

最大化投资回报率的一种可能策略是大规模生产。为了最大化收入,生产者向尽可能多的客户提供相同的产品,或者在恶意软件的情况下,使用相同的基础设施感染尽可能多的用户。大规模生产攻击者对特定目标不感兴趣;他们只是希望尽可能多地击中目标,以便将它们货币化。

当防守方之间没有合作时,每个新目标都必须对攻击作出反应,就好像它是新的一样,而其他目标的大多数机会都有。过去曾经历过同样的攻击。因此,安全社区已经意识到,将信誉评分与资源相关联的目标之间的协作是其中的关键组成部分防御大规模生产攻击者。基于社区的信誉信息在所有安全领域都变得至关重要:垃圾邮件过滤的电子邮件发件人信誉,感染监控的C2服务器地址,恶意软件检测的已知恶意软件的签名以及Web应用程序攻击者的源信誉仅仅是一些示例。 ]

图1 - 感染链(图片来源:微软)

大规模生产攻击者不会对基于声誉的防御视而不见,并通过不断改变其外观来对其做出反应,即改变感染链的外观而不进行根本改变它的实质。此类外观更改包括部署新服务器和创建新的恶意软件变体。与ini相比,这种变化的成本相对较小为了保持业务发展,大规模生产的攻击者愿意为此付出代价。 Kelihos僵尸网络是攻击者和防御者之间持续战斗的一个很好的例子。 Kelihos被安全公司多次宣布死亡,但它似乎继续从死里复活,配备了新的服务器和新的恶意软件变种。

目前,防御此类大规模生产攻击的最有效方法是通过一些快速的声誉数据更新来跟踪攻击外观的变化。因此,受到快速声誉数据更新的安全解决方案保护的端点可以更好地防范大规模生产攻击者。

精品攻击者

其他黑客采取不同的方法。代替追求数量,攻击尽可能多的目标,精品攻击者追求质量,只会攻击精心挑选的,利润丰厚的目标。这些利润丰厚的目标是公司,更具体地说是他们的数据:知识产权(IP)和敏感的财务数据。对受害者的损害赔偿以及此类精品攻击者组的利润,例如:臭名昭着的中国“评论组”可能有数十亿,正如可口可乐和许多其他公司所发现的那样。

与大规模生产的攻击者一样,精品攻击者不断改变其攻击的外观。但是,他们这样做,不是为了被安全公司抓住,而是事先避免初步检测。例如,当针对目标发起恶意软件攻击时将从具有略微更改的恶意软件变体的新IP地址发送带有未在其他广告系列中使用的文本的网络钓鱼邮件(针对防病毒解决方案进行检查以确保它们未检测到它)并连接到以前未使用的C2服务器。通过使用一个全新的感染链,精品攻击者使基于声誉的防御变得毫无用处。

因此,针对精品攻击者的防御应基于监控他们所追求的资产:数据。借助数据监控解决方案,防御者可以密切监控对其数据的访问,寻找与访问速率,访问数据量或网络中机器访问模式相关的非标准行为。检测这些异常将防止窃取数据。

不同出租恶搞民众

虽然大规模生产和精品攻击者在技术上非常相似,但他们的操作方式的差异需要采取不同的防御措施。在大规模生产攻击中,防御者可以从他人的经验中学习,并通过快速流动的声誉数据来保护自己,在精品攻击者的情况下,防御者只能依靠自己并且应该使用数据保护解决方案来检测数据访问中的异常情况

与任何安全问题一样,最好用孙子的永恒话语来概括:“如果你了解敌人并了解自己,你就不必担心百战的结果。如果你了解自己而不是敌人,那么每获得一次胜利,你也会遭受失败。如果是你不知道敌人和你自己,你会在每场战斗中屈服“。

猜你喜欢

希腊最高法院批准俄罗斯对比特币嫌疑人的请求

希腊最高法院批准俄罗斯对比特币嫌疑人的请求希腊最高法院上周五表示,一名据称使用比特币数字货币洗钱40亿美元的俄罗斯人应该被引渡到俄罗斯,一位法院消息人士说。AlexanderV

2019-02-01

塑造美国网络防御的创造性破坏和自满情绪

塑造美国网络防御的创造性破坏和自满情绪创造性的破坏,思维的范式转换取代现有的秩序,可能是一个难以捉摸的概念,但它作为人类行为驱动力的力量是不可否认的。在硅谷和其他美国的高层科技

2019-02-01

为什么我(非常)担心PRISM

为什么我(非常)担心PRISM美国国家安全局正在利用我们的数字生活,监控语音电话,电子邮件,社交媒体以及谁知道什么。美国国家安全局方面的人说,这是为了国家安全;它已经停止了恐怖

2019-02-01

先发优势:为什么新的恶意软件最初会打败反恐

先发优势:为什么新的恶意软件最初会打败反恐虽然反病毒解决方案可以有效对抗广泛使用的恶意软件,但是有一个很好的机会,新的恶意软件会躲过那些解决方案。最近有重大安全事件的报告激增,

2019-02-01

台湾银行抢劫与朝鲜黑客有关

台湾银行抢劫与朝鲜黑客有关最近针对台湾一家银行的网络抢劫事件已被安全研究人员联系到一个据信在朝鲜境外活动的臭名昭着的威胁组织。黑客利用SWIFT全球金融网络大致窃取来自台湾远东

2019-02-01