如何突破网络攻击的生命周期?

Vecloud

提到网络安全，很多公司会着重于防御，的而且确当你拥有充足的防御，要突破网络攻击生命週期的 6 ?个步骤亦会变得容易;而那些没有作好充足準备的组织，当然就会成为黑客的天堂。这种针对网络攻击的 6 ?步，对于企业来说亦愈来愈重要。所谓的网络攻击周期是指黑客组织从调查到渗透，以及提取数据的程序;面对网络攻击的生命周期，企业需要拥有全方位的防御方案才可应付每一层的攻击。早前，我们便与来自 ?Palo Alto Networks 的系统工程师兼副总裁 Joseph Green 探讨可行的方式以打破攻击生命周期，主要可分为 6 种方法：

　　步骤一：侦测 (Reconnaissance)

　　攻击者常常会利用一些钓鱼攻击的手法又或者直接从企业员工的社交网络帐户或公司网络之中揪取用户资料，通过充分利用这些资料，攻击者可製造出一些看似信任度极高的内容、连结，并从而诱使企业内的员工按下有关连结。当员工按下有关连结后，很多时会不知不觉的下载了恶意软件，而这些恶意软件主要会自动侦测目标企业网络内的所有漏洞及弱点，以便于黑客日后进行攻击。

　　要突破步骤一的攻击者侦测行为，组织需要採用一些 URL ?过滤方案，通过这些方案以预防钓鱼网站及恶意连结，同时企业亦应该持续的採用入侵及防御等相关方案，持续监测网络流量以预测及预防不知名的 port scan 及 ?host sweeps 等动作。

　　步骤二：植入恶意代码

　　攻击者亦会利用各种方法将一些恶意编码植入邮件或文件之中，并通过採用一些近期热门话题的方式引诱用户开启。

　　面对上述方式，企业可採用一些新一代防火墙(Next-generation ?firewalls)进行预防。新一代防火墙将能为企业提供最全面的监控资讯，包括网络流量及封锁高风险应用等;同时企业更可配合其他不同的方案以便採取更进一步的预防工作，包括部署 ?IPS、反恶意软件方案、anti-CnC、DNS 监控以及 sink holing ?等技术;而最后再配合上档案及内容防御等方案，便可将一切已知的风险、恶意程式以及 inbound 的 C&C 通讯封锁。

　　步骤三：开发并夺取控制权

　　如果上述两个步骤顺利找出企业弱点，黑客便可进一步于企业网络之中启用攻击代码并同时透过 C&C ?伺服器控制目标系统。针对这方面，市面上有些终端防御方案(Endpoint protection)便足以应付。通过采用 Endpoint Protection ?技术，大部份已知及未知的漏洞均可被封锁到。这些 Endpoint protection 方案主要会通过采用一种名为 Sandboxing ?技术，此技术制造出一个独立的虚拟环境，所有恶意软件会在这独立的空间之中开启并完成分析，从而让防御系统了解到该恶意软件的动作，并就此作封锁及进一步的防御工作。

　　步骤四：安装

　　攻击者通过取得最高的权限又或者是 root kit 等，提升自己于目标系统之中的权限，并让监控软件永久潜藏于系统之中。企业可以做的，就是採用 ?endpoint protection ?技术，从而预防内部员工「贪方便」启用了最高权限的帐户而被黑客有机可乘。新一代防火墙可定立独立的安全区域，并强制进行用户监控，同时亦可全方位监视进出流量，并分析流量是否出现异常。

　　步骤五：C&C(Command and control)

　　攻击者于目标系统安装 C&C 伺服器，以便于随时与黑客的电脑进行连接并发动最新入侵及攻击行为。面对上述情况，现时有几种方法可以使用。企业可通过 ?anti-CnC signatures 直接封锁 outbound 的连线;而採用 URL 过滤则可封锁已知的恶意网址以及与企业系统与 C&C ?之间的连线;同时亦可将恶意的连线转移至内部预先製造好的 Honeypot 之中，从中分析以更新资料库及实时封锁。

　　步骤六：黑客最终目的

　　攻击者有很多不同目的，但大多数都是通过入侵目标而进行进一步的入侵行为。例如入侵目标系统并从中取得用户资料、破坏主要基建等。企业可通过制定档案传输政策并将之套用到防御方案上，这样至少可防止黑客採用指令或非企业允许的工具传输档案。通过采用适当的防火墙、anti-malware ?以及 endpoint protection 将可突破黑客网络攻击生命周期，并可针对恶意连结、C&C 服务器等进行防御工作。