为应对数字威胁,一些有安全意识的组织建立了计算机事件响应小组(Computer Incident Response Team,CIRT)。这些单位可能由独立的个人、小组或许多安全专业人士组成。如果你的组织中没有人负责处理计算机入侵,在不久的将来,你将很有可能遭受破坏。不管你的组织规模有多大,投资至少一位安全专业人士完全抵得上你将支付的薪水。
本书假定你的组织至少有由一人组成的CIRT,他有充分的积极性和资源以对你企业中的入侵者采取行动。如果你是负责组织安全的唯一人选,恭喜!你就是正式的CIRT。谢天谢地,如果你在寻找一种代价不高或者费时较少且能为入侵者制造困难的方法,那么NSM无疑是一种起步的强有力方法。
当CIRT使用NSM原理进行操作时,他们将受益于以下能力:
- ·CIRT收集大量源于网络的数据,很可能超过由传统安全系统收集的数据种类。
- ·CIRT分析这些数据以发现被攻陷的资产(例如笔记本电脑、个人计算机、服务器等),然后告知资产所有者。
- ·CIRT与计算设备的所有者合作以控制和挫败对手。
- ·CIRT与计算机所有者使用NSM数据来进行危害评估,评估事件的损失和起因。
考虑一下NSM在企业安全进程中的角色。例如,图1展示了各安全能力彼此间的差异,但不必展示它们如何与入侵者的过程相抗衡。
图1企业安全周期
NSM并不涉及阻止入侵,因为阻止终将失败。这个哲理的另一个版本是“安全漏洞不可避免”。实际上,任何网络化组织都可能遭受不定时发生的或持续不断的危害。(你自己的经历可以很好地证实这个来之不易的格言。)
但是如果NSM不阻止对手,还有什么意义呢?那就是:改变你看待入侵的方式,防御者终将挫败入侵者。换句话说,坚定的对手不可避免地会破坏你的防御,但是他们可能无法实现他们的目标。
时间是这种策略中的关键因素,因为入侵者很少能在几分钟甚至几小时的过程中执行他们的整个任务。实际上,最狡猾的入侵者力图在目标网络中获得持久性胜利,即一次驻留几个月甚至几年。更何况几乎没有高级的入侵者能花费几分钟、几小时甚至几天就达成他们的目标。关键在于从最初未授权访问到最终任务完成的时间窗,它在入侵者能够完成他们来执行的任务之前,这种时间窗给了防御者发现、响应和控制入侵者的机会。
试想,如果入侵者可以获得对某个组织中进行计算机未授权的访问,但是在还未取得他们需要的数据之前就被防御者发现了,那么他们真正达到了什么目的呢?
我希望你因这样的想法而激动,是的,对手能够攻陷系统,但是如果CIRT在入侵者完成他们的任务之前发现、响应并控制入侵者,CIRT就能“获胜”。但如果你能发现入侵,为什么不能阻止它呢?
简单的答案是系统和旨在保护我们的程序并不完美。保护机制能阻止一些恶意活动,但是随着对手采取更加复杂的策略,组织进行自身防御就愈加困难了。团队能够挫败或抵抗入侵,但是时间和认知经常成为限制因素。
现实世界的一个例子说明了在防御入侵者时时间的重要性。2012年11月,美国南卡罗来纳州的地方长官发布了公开版的Mandiant事件响应报告。
Mandiant是一家安全公司,它专门经营事件检测和响应的服务及软件。地方长官雇用Mandiant帮助南卡罗来纳州处理这方面的情况。2012年早些时候,一名攻击者攻陷了该州税务局(Department of Revenue,DoR)运营的数据库。上述报告提供了这次事件的细节,以下的缩略时间表有助于强调时间的重要性。这个例子只基于公开的Mandiant报告中的细节。
·2012年8月13日,入侵者向多名DoR雇员发送恶意(钓鱼)电子邮件消息。至少一名雇员点击了消息中的链接,不知不觉中执行了恶意软件,从而在此过程中被攻陷。有效的证据表明,恶意软件窃取了用户的用户名和口令。
·2012年8月27日,攻击者使用窃取的DoR用户凭证登入Citrix远程访问服务。攻击者使用Citrxi门户登录进入用户的工作站,然后有效利用用户的访问权来访问其他DoR系统和数据库。
·2012年8月29日~9月11日,攻击者与多种DoR系统交互,包括域控制器、Web服务器以及用户系统。他获取了所有Windows用户账户使用的口令,并在很多系统上安装了恶意软件。至关重要的是他设法访问到存储DoR支付费用信息的服务器。
注意自2012年8月13日通过钓鱼电子邮件消息进行最初攻陷后的四周。入侵者访问了多个系统,安装了恶意软件,并对其他目标进行了侦察,但是迄今为止尚未窃取任何数据。时间表继续:
·2012年9月12日,攻击者将数据库备份文件复制到一个过程(staging)目录
·2012年9月13日和14日,攻击者将数据库备份文件压缩到(总计15个中的)14个加密的7-Zip档案文件中。然后,攻击者将这些7-Zip档案文件从数据库服务器转移到另一台服务器,并将数据发送到因特网上的系统。最终,攻击者删除备份文件和7-Zip档案文件。(Mandiant并未报告入侵者将文件从过程服务器复制到因特网所需的时间量。)
从9月12日到14日,入侵者完成了他的任务。在花费一天时间为窃取数据做准备之后,入侵者用接下来的两天时间转移数据。
·2012年9月15日,攻击者使用被攻陷的账户与10个系统交互并进行侦察。
·2012年8月16日~10月16日,并没有攻击者活动的迹象,但是在2012年10月10日这一天,执法机构用三个人中已遭窃的个人验证信息(Personally Identifiable Information,PII)这一证据与DoR进行了联系。DoR对数据进行了检查并判定它已从其数据库中被窃取。在2012年10月12日,DoR联系Mandiant以寻求事件响应援助。
在入侵者窃取数据,然后州相关人员从第三方得知并雇用一个专业的事件响应团队之后,大约四周的时间已经过去。然而,故事还没有结束。
·2012年10月17日,攻击者使用2012年9月1日安装的后门检查到服务器的连接,没有额外活动的迹象。
·2012年10月19日和20日,DoR试图基于Mandiant的建议为攻击进行补救。补救的目标是清除攻击者的访问,并检测任何新的攻陷迹象。
·2012年10月21日~11月20日,补救之后没有恶意的活动迹象。DoR发布了Mandiant关于此次事件的报告。
Mandiant顾问、政府工作人员以及执法机构最终能够控制入侵者,图2概述了此次事件。
从这个案例研究中汲取的主要思想在于最初的入侵并不是安全过程的结束;它只是开始。如果DoR在这次攻击前4周内的任何时间能够控制攻击者,就意味着攻击者的失败。尽管DoR失去了对多个系统的控制,但他阻止了对个人信息的盗窃,在此过程中至少为政府挽救了1200万美元。
很容易将一个独立事件作为一个数据点而不予理会,但是最近的统计数据证实了案例研究的关键要素。举例来说,从入侵开始到事件响应的中值时间超过240天;也就是说,大部分情况下,受害者在有人注意到之前保持被攻陷的状态很长时间。在与Mandiant联系寻求帮助的组织中,只有1/3的组织自己发现了入侵。
图2 编辑后的美国南卡罗来纳州税务局事件的时间轴
持续监控(Continuous Monitoring,CM)在美国联邦政府圈子中是一个热门话题。安全专业人士常常混淆CM和NSM。他们认为如果他们的组织实行了CM,NSM就是不必要的。
不幸的是,CM几乎与NSM没有任何关系,甚至与试图检测和响应入侵无关。NSM以威胁为中心(threat-centric),这意味着对手是NSM操作的焦点。CM以脆弱性为中心(vulnerability-centric),它重点关注配置和软件缺陷。
美国国土安全部(Department of Homeland Security,DHS)和国家标准技术研究院(National Institute of Standards and Technology,NIST)是负责在联邦政府各处促进CM的两个机构。他们被CM触动,而且将其视为对认证和认可(Certification and Accreditation,C&A)活动的一种改进,C&A大约每三年对系统配置进行一次审计。对于CM的倡导者而言,“持续”意味着更频繁地检查系统配置,通常至少每月一次,相对于以前的方法,这是一个巨大的进步。“监控”部分意味着确定系统是否服从控制,即确定系统较标准偏离的程度。
虽然这些是值得赞赏的目标,但CM应当被看作是对NSM的补充,而不是NSM的替代品或NSM的变体。CM能够帮助你提供更好的数字防护,但它绝对是不够的。
閱讀更多 社會學堂 的文章
