具體來說,這類攻擊包括DNS隧道、附加到Tor網絡上,以及向目錄服務發送惡意認證請求等。RookSecurity的安全運營主管TomGorup說:“除了這些威脅之外,一般來說,從電信詐騙到分發惡意軟件,我們看到用的最多的是網絡釣魚。通常,我們看到他們試圖利用掃描進行攻擊。”
雖然DNS隧道不像以前用的那麼多了,但攻擊者相信大多數人都沒有監控他們的DNS,Gorup說:“這使得黑客能夠繞過保護内部數據免受攻擊的代理服務器和防火牆。”
藍隊也越來越難以使用附加到Tor網絡了,因為保護環境的成本越來越高了。Gorup說:“如果你沒有抓到初始數據包,所有其他的看起來就像SSL流量。一些惡意軟件确實使用Tor,當他們這樣做時,這肯定會很難。這取決于攻擊者的努力程度。”
需要進行不斷監控的另一種威脅是發送身份認證請求。Gorup說:“對目錄服務的認證使黑客能夠詳細了解網絡上的服務器,包括命名、用戶和密碼。”
Exabeam的威脅研究主任BarryShteiman說:“當檢查機器時,應該檢查在沒有人主動提出要求時機器的行為。”
從安全角度來看,這很難檢測到,因為當一個人與機器交互時,就是人類用戶對機器進行了一些操作。Shteiman說:“不管機器做的對還是錯,總是有人類服務啟動了機器的操作。”
最常見的是,在被入侵的機器中,很難準确地辨别發生了什麼。Shteiman說:“DNS隧道是經典的威脅。有人在機器上安裝了一些軟件,通過服務器和IP地址之間使用的協議開始對數據進行過濾。”
黑客知道DNS是強大的。Shteiman說:“它包括元信息。因為有空白文本字段,或者對域名長度幾乎沒有限制,所以,有地方可以自由的輸入文本。黑客把一個文件分成幾塊,然後在網絡外部重新将其連接起來,開始操縱DNS以過濾數據。”
由于DNS是必需的協議,因此從安全或網絡監視的角度看,這些都是合法的。看起來沒什麼奇怪的。Shteiman說:“機器有自己使用的DNS策略。服務是在機器本身,它不需要人類的互動。在封閉的網絡上,這些很常見。”
問題是,黑客會試圖操縱一個可以訪問某些數據的機器,Shteiman說:“使用機器來過濾數據,安全防護人員不能創建不允許DNS訪問的卷,也不能把這些卷列入白名單或者黑名單。這是一個被分成了幾百萬塊的特殊文件。”
Citrix的CSOStanBlack說,機器威脅的問題是還沒有明确地定義它們,也沒有能一緻接受的理解。正在進行的攻擊具有适應和快速找到新二進制文件的能力。
Black說:“從我的角度來看,當我們在内部進行的機器學習被轉到外部用于攻擊我們的周邊時,就出現了機器威脅。機器威脅是指惡意攻擊者試圖使用機器技術來攻擊我們。”
犯罪分子非常善于追逐世界各地的公司,以至于他們現在能夠借助公共信息,通過自動化進行大量的攻擊。Black說:“每季度有50到60億次新攻擊,這些攻擊有多個攻擊單元。過去這需要一個人查看數據,而現在,它是完全自動化的。”
自動化使黑客能夠比以前更智能的進行收集。Black說:“如果您關注一下互聯網數據流,很少有人熟悉将會發生什麼。這些人正在使用連接、運營商、運營商呼叫、健康檢查和模仿分析來更加智能。”
安全防護人員正在監控流量,但Black說:“以前,我們會看到有人正在對我們進行主動掃描。現在,他們能夠利用惡意代碼收集到比以前更多的信息。在物聯網領域這是非常常見的。”
Black說:“返璞歸真可能是最好的防禦措施。發展雖然非常快,但我們應該返璞歸真。應用程序應該在每個端口執行某類操作。我們需要清楚地界定好的數據流是什麼,它應該是什麼樣子。如果它偏離了公布的标準,那就可能是不好的數據流。”
Shteiman說:“依靠建模和機器學習是保護沒有被阻止訪問已知TorIP措施所覆蓋的間隙的另一種方法。我在Tor上工作,但我可以模拟我如何在自己的電腦上工作。隻有在有鍵盤交互或工作期間才允許訪問,這樣,如果我不在計算機上,那就不能使用Tor。”
通常情況下,要想減輕這些威脅則需要教育和培訓。Gorup說:“定期檢查代碼和培訓開發人員能夠降低風險,減少漏洞。”
Black同意并指出:“編程會有重大進步。互聯網和全球運營商已經讓‘髒數據’進門了。作為這些數據的消費者,我們應該要求他們清理我們的管道。”
每個人都厭倦了不斷的破壞和攻擊,更清楚地界定運營商和公司的責任将有助于清理這些管道。
Black說:“我們有權知道有什麼東西會進入我們的設施,會輸出什麼。他們還會看到沒有被企業和國家加密的加密數據流,但如果他們沒有密鑰,他們會阻塞有效載荷。”
Black說:“采用更少的層進行簡化和整合也是清理過程的必要組成。在很長一段時間内,我現在比以前更自信,這有幾個原因。您需要分層的技術正在迅速整合,簡化将會非常重要。”
(作者KacyZurkus是CSO的特約撰稿人,他的文章涉及各種安全和風險主題。)
原文網址:http://www.csoonline/article/3160057/security/machine-behaviors-thatthreaten-enterprise-security.html