黑客公司都被“黑”了 信息安全要怎么保障,?
發(fā)布時間:2015-08-25[“正面的經濟回報一定沒有黑產能提供的多,但出于內心的正義,,或是擔心與黑產交易產生的風險,,有這樣的機制,,就不會讓好孩子變成壞孩子?!盷
當信息安全軍備競賽不斷升級,,網(wǎng)絡攻擊像核武器一樣無法防御時,我們還能做什么,?
今年7月,,意大利黑客公司HackingTeam被黑,其400GB資料外泄,,引起了黑客界的軒然大波,。“這400GB內容讓整個黑客界的技術水平前進了兩年,?!敝袊_灣黑客組織HITCON領隊與競賽負責人李倫銓如是評價這次事件。
HackingTeam泄露的數(shù)據(jù)中,,包括其開發(fā)的能夠監(jiān)控幾乎所有桌面計算機和智能手機的監(jiān)聽軟件,,以及為實現(xiàn)監(jiān)控而搜集的大量零日漏洞(0day,未經公開,、沒有修補程序的漏洞),。更驚人的是,數(shù)據(jù)中還有若干國家政府與其交易的信息存檔,?!癏ackingTeam讓圈內人驚嘆,原來只是知道漏洞可以賣,,現(xiàn)在才知道居然還可以合法地賣,。”李倫銓調侃道,。
“今天,,有目的的黑客攻擊只靠技術來防御已經遠遠不夠?!痹蚊绹醒肭閳缶諧TO的BobFlores對《第一財經日報》表示,,最可怕的是,很多公司在資料外泄時,,還沒有意識到已經被攻破了,。“最重要的,,應該是在事情發(fā)生后的應變,。”
防不勝防的攻擊
今年4月,,美國人事管理局遭到攻擊,,超過400萬的政府雇員數(shù)據(jù)遭到泄露,。“現(xiàn)在,,確認的泄露資料數(shù)字已經刷新到2100萬筆,。”BobFlores說,。
可怕的是,,這次入侵其實在兩年之前就已發(fā)生了。BobFlores表示,,對美國人事管理局的入侵“只是最近才被發(fā)現(xiàn)和公開”,。這起入侵是通過竊取美國人事管理局的信息系統(tǒng)承包商的電腦來切入的。
“2013年起,,我們進行了一個調查,,采樣了臺灣企業(yè)的1216臺服務器,結果顯示,,平均攻擊潛伏時間(從黑客入侵成功到入侵被發(fā)現(xiàn)的時間)達到了559天,,極端案例超過了2000天?!壁厔菘萍寂_灣暨香港區(qū)總經理洪偉淦向《第一財經日報》記者表示,。
如果說早期黑客的攻擊主要是以政府機關為目標,那么最近幾年,,越來越多的入侵事件已經轉移到商業(yè)機密的竊取上。對于這種有目標的持續(xù)性攻擊,,防范是非常困難的,。目前,業(yè)內將這種攻擊方式稱,。APT(AdvancedPersistentThreat,,高級持續(xù)性威脅)。APT的實施者會試圖通過釣魚郵件,、網(wǎng)站,,以及各種漏洞等一切方式嘗試入侵目標的信息系統(tǒng),獲取管理員權限并潛伏其中,,伺機進行破壞或資料竊取,。
2013年發(fā)生在韓國的事件是一個典型的APT攻擊案例。2013年3月20日,,韓國KBS,、MBC、YTN等主要廣播電視臺以及新韓銀行(ShinhanBank),、農協(xié)銀行,、濟州銀行等商業(yè)銀行的計算機網(wǎng)絡全面癱瘓,,三大電視臺畫面被控,韓國大量民眾遭遇到無法在ATM取現(xiàn),,也無法用信用卡消費的窘境,。事后調查發(fā)現(xiàn),這起攻擊經過至少8個月的策劃,,至少6臺相關計算機設備從2012年6月就已經被入侵,,黑客植入的惡意程序達76種,超過4.8萬臺設備遭攻擊,。
趨勢科技全球研發(fā)長暨大中華區(qū)執(zhí)行總裁張偉欽介紹,,APT攻擊通常會在被入侵設備上植入后門,在需要發(fā)動時,,從黑客的“指揮中心”向這些設備發(fā)送指令,,完成指定的操作?!斑@些后門可以很容易地寫出大量的變種,,查殺是查殺不過來的,但掐斷了指揮中心與后門之間的聯(lián)系,,后門收不到指令,,也就無害化了?!睆垈J笑著說,,趨勢還會去購買一些被發(fā)現(xiàn)的指揮中心信息加入到趨勢產品中,從指揮中心方面去防范APT,。
“美國人事管理局公布的數(shù)據(jù),,它們在4月一個月當中,系統(tǒng)遭攻擊的次數(shù)就達到3.08億次,,你說有多少病毒侵入了它們的系統(tǒng),?”BobFlores說,“美國人事管理局的信息安全保護是用所謂的病毒特征方式進行防護,,所以它只能偵測已知威脅,,沒有辦法防范未知入侵。最糟糕的是,,他們雖然有入侵偵測系統(tǒng),,但沒有合理的防護措施,所以東西(黑客)進來他們知道,,但沒有辦法把它(黑客)擋下來,,人事資料也沒有加密,所以人家一進來就偷走了,?!?/span>
“最重要的是,,你必須知道公司哪些資料是你要優(yōu)先保護的;還要建立一個處理事件應變的小組,;同時,,還要教育你的員工如何防范風險,發(fā)現(xiàn)有問題了要報告給誰來處理,?!盉obFlores如是說。
防止人才“黑化”
在防范入侵的同時,,一個問題也讓人深思:到底為何這么多“天才”會選擇進入黑客產業(yè)鏈,?
黑客在很多人心目中是比較神秘的,李倫銓卻表示,,黑客其實也是普通人,,只不過掌握了很多專業(yè)的技能?!敖o他們一個好的環(huán)境,,他們就不會流失到黑產中;讓更多的人留在正面去研究怎么防范攻擊,,而不是成為攻擊者,,這是應對安全問題最釜底抽薪的辦法?!彼?,他也戲謔地將HITCON稱為“義工”組織?!拔覀兪橇x工,。”他反復地跟記者重復這句話,,面帶微笑。
“其實每個黑客都曾經是一個天真的孩子,?!崩顐愩尳o記者講述了一個故事。曾經,,一個年輕的黑客發(fā)現(xiàn)了雅虎的一個漏洞,,出于正義的本性,他將這個漏洞發(fā)送給了雅虎的技術人員,,然而雅虎卻遲遲沒有做出回應,,后來,久候雅虎答復不至的他收到了他聯(lián)系的雅虎技術人員個人送給他的一件T恤,,于是他在T恤胸前寫上了這樣的字樣表達他的不滿:“IreportedabugtoYahooandallIgotwasthist-shirt.”(我向雅虎上報了一個漏洞,,這件T恤是我得到的全部回報,。)
“HackingTeam這樣的組織,將監(jiān)控程序銷售給各國政府可以獲取上百萬美元的回報,,因而也可以出數(shù)萬甚至更高的價格去收購0day漏洞,;與此同時,企業(yè)卻往往沒有意識到漏洞的價值,,對上報者不聞不問,。”李倫銓表示,,這也許是很多黑客被吸引到暗面的原因――不僅有高額回報,,同時有能夠獲得認可的感覺。
李倫銓現(xiàn)在擔任臺灣黑客年會HITCON的組織者,,也會以HITCON的名義,,作為領隊組織臺灣的黑客去參與國際上的一些黑客大賽?!拔艺J識的黑客都是比較正派的,。”他介紹,,HITCON平時也是比較松散的,,成員各自有各自的生活,“平常除了吃飯我們也沒有其他事情,,大家都很忙,。我們很少會聚集?!彼龅?,就是鼓勵大家,樹立一些目標,,讓大家聯(lián)合起來,,有一個方向去努力。
除了HITCON成員,,李倫銓也接觸過各國的一些其他黑客,,不過并不頻繁?!懊绹?,或者中國大陸太大了,見面就要坐飛機,,所以很少見,。”他向記者表示,在一些重大活動上,,他們會見面,,不過很多人只知道綽號,黑客彼此之間也有一些神秘感,。他表示,,他認識的黑客,包括中國臺灣,、中國大陸的一些知名黑客,,基本都能抗拒黑產的誘惑?!按蠹叶际羌夹g人才,,很單純?!辈贿^,,他也不忘笑著補上一句,“我也知道非常多抗拒不住的人,,當然他們也不會跟你講,。”
李倫銓認為,,對黑客人才,,除了引導之外,也要有合理的回饋機制,?!爸澳谴问录呕⒈怀芭酥?,就很快地建立了一套對上報漏洞的人的回饋機制,。目前,雅虎花在這方面的錢已經超過100萬美元,,做得相當不錯,。”李倫銓“洗白”了之前調侃過的雅虎,。他也很贊同中國大陸的“烏云”這樣的漏洞平臺在做的工作,。“正面的經濟回報一定沒有黑產能提供的多,,但出于內心的正義,或是擔心與黑產交易產生的風險,,有這樣的機制,,就不會讓好孩子變成壞孩子。”
云查殺不是“萬靈丹”
應對防不勝防的APT入侵,,安全企業(yè)們紛紛把目光投向大數(shù)據(jù),,希望通過大數(shù)據(jù)來對未知威脅進行“自動化”的偵測。
在去年的美國DEFCON黑客大會的競賽中,,HITCON取得了亞軍的成績,。李倫銓向《第一財經日報》記者介紹了比賽的機制?!懊總€團隊會獲得自己的設備,,上面有不同的漏洞,你要在5分鐘之內找到漏洞攻破對手的系統(tǒng),,并盡量不讓自己的系統(tǒng)被攻破,,這樣的競爭會重復進行多輪?!彼榻B,,找到漏洞遠比修補容易,一個漏洞的修補最少也要幾個小時,,但攻破只要幾分鐘,。因此,美國政府也在嘗試用機器來進行自動化地尋找漏洞,、攻擊,、修補等過程。
“也許明年,,就會有一個初步的成果出來,,美國也會邀請全球的黑客團隊去和這個系統(tǒng)比拼,也許到時我們會被打得體無完膚,?!彼@樣調侃道。不過,,他也表示,,做出這樣一個系統(tǒng)還是非常困難的?!爱吘惯@個領域的頂尖人才就那么一小部分,,讓這一小撮人才去構造這么大一個系統(tǒng),進展不會太快,?!?/span>
而手握多年防護數(shù)據(jù)的安全企業(yè),也在尋找如何利用這些數(shù)據(jù)的方法,。不過,,在個人計算機上已經實踐的“云查殺”,,應用到企業(yè)并不容易。
“個人與企業(yè)的行為和要求都相差很大,。例如,,一個新出現(xiàn)的程序快速傳播進大量個人電腦,你從這一行為出發(fā)判斷它是病毒,,準確率達到80%,,即使誤判,最多是重裝系統(tǒng),;但在企業(yè),,一個新出現(xiàn)的程序快速傳播,可能是企業(yè)新開發(fā)的核心應用,。你如果將它誤判成病毒,,殺掉了,企業(yè)的業(yè)務可能會崩潰,?!睆垈J表示,極端情況,,例如一些對精密性,、實時性要求很高的工控系統(tǒng),“掃描病毒造成的反應遲緩可能比病毒本身危害性更大,?!?/span>
今年8月,趨勢科技還特地將其在臺灣舉辦的年度信息安全大會CLOUDSEC2015的主題定位在云安全,、移動安全方面,,希望尋找新形勢下的企業(yè)信息安全管理及防御策略。
“未來的趨勢,,更合理的做法是將大數(shù)據(jù)包裝成一個平臺,,交給客戶,上面的各種應用機制由客戶根據(jù)自己的特性去調整,?!睆垈J說,“直接將大數(shù)據(jù)打包進一個產品,,希望它能夠解決問題是非常難的,,因為大數(shù)據(jù)很難控制?!?/span>
