具体来说,这类攻击包括DNS隧道、附加到Tor网络上,以及向目录服务发送恶意认证请求等。Rook Security的安全运营主管Tom Gorup说:“除了这些威胁之外,一般来说,从电信诈骗到分发恶意软件,我们看到用的最多的是网络钓鱼。通常,我们看到他们试图利用扫描进行攻击。”
虽然DNS隧道不像以前用的那么多了,但攻击者相信大多数人都没有监控他们的DNS,Gorup说:“这使得黑客能够绕过保护内部数据免受攻击的代理服务器和防火墙。”
蓝队也越来越难以使用附加到Tor网络了,因为保护环境的成本越来越高了。Gorup说:“如果你没有抓到初始数据包,所有其他的看起来就像SSL流量。一些恶意软件确实使用Tor,当他们这样做时,这肯定会很难。这取决于攻击者的努力程度。”
需要进行不断监控的另一种威胁是发送身份认证请求。Gorup说:“对目录服务的认证使黑客能够详细了解网络上的服务器,包括命名、用户和密码。”
Exabeam的威胁研究主任Barry Shteiman说:“当检查机器时,应该检查在没有人主动提出要求时机器的行为。”
从安全角度来看,这很难检测到,因为当一个人与机器交互时,就是人类用户对机器进行了一些操作。Shteiman说:“不管机器做的对还是错,总是有人类服务启动了机器的操作。”
最常见的是,在被入侵的机器中,很难准确地辨别发生了什么。Shteiman说:“DNS隧道是经典的威胁。有人在机器上安装了一些软件,通过服务器和IP地址之间使用的协议开始对数据进行过滤。”
黑客知道DNS是强大的。Shteiman说:“它包括元信息。因为有空白文本字段,或者对域名长度几乎没有限制,所以,有地方可以自由的输入文本。黑客把一个文件分成几块,然后在网络外部重新将其连接起来,开始操纵DNS以过滤数据。”
由于DNS是必需的协议,因此从安全或网络监视的角度看,这些都是合法的。看起来没什么奇怪的。Shteiman说:“机器有自己使用的DNS策略。服务是在机器本身,它不需要人类的互动。在封闭的网络上,这些很常见。”
问题是,黑客会试图操纵一个可以访问某些数据的机器,Shteiman说:“使用机器来过滤数据,安全防护人员不能创建不允许DNS访问的卷,也不能把这些卷列入白名单或者黑名单。这是一个被分成了几百万块的特殊文件。”
Citrix 的 CSO Stan Black说,机器威胁的问题是还没有明确地定义它们,也没有能一致接受的理解。正在进行的攻击具有适应和快速找到新二进制文件的能力。
Black说:“从我的角度来看,当我们在内部进行的机器学习被转到外部用于攻击我们的周边时,就出现了机器威胁。机器威胁是指恶意攻击者试图使用机器技术来攻击我们。”
犯罪分子非常善于追逐世界各地的公司,以至于他们现在能够借助公共信息,通过自动化进行大量的攻击。Black说:“每季度有50到60亿次新攻击,这些攻击有多个攻击单元。过去这需要一个人查看数据,而现在,它是完全自动化的。”
自动化使黑客能够比以前更智能的进行收集。Black说:“如果您关注一下互联网数据流,很少有人熟悉将会发生什么。这些人正在使用连接、运营商、运营商呼叫、健康检查和模仿分析来更加智能。”
安全防护人员正在监控流量,但Black说:“以前,我们会看到有人正在对我们进行主动扫描。现在,他们能够利用恶意代码收集到比以前更多的信息。在物联网领域这是非常常见的。”
Black说:“返璞归真可能是最好的防御措施。发展虽然非常快,但我们应该返璞归真。应用程序应该在每个端口执行某类操作。我们需要清楚地界定好的数据流是什么,它应该是什么样子。如果它偏离了公布的标准,那就可能是不好的数据流。”
Shteiman说:“依靠建模和机器学习是保护没有被阻止访问已知Tor IP措施所覆盖的间隙的另一种方法。我在Tor上工作,但我可以模拟我如何在自己的电脑上工作。只有在有键盘交互或工作期间才允许访问,这样,如果我不在计算机上,那就不能使用Tor。”
通常情况下,要想减轻这些威胁则需要教育和培训。Gorup说:“定期检查代码和培训开发人员能够降低风险,减少漏洞。”
Black同意并指出:“编程会有重大进步。互联网和全球运营商已经让‘脏数据’进门了。作为这些数据的消费者,我们应该要求他们清理我们的管道。”
每个人都厌倦了不断的破坏和攻击,更清楚地界定运营商和公司的责任将有助于清理这些管道。
Black说:“我们有权知道有什么东西会进入我们的设施,会输出什么。他们还会看到没有被企业和国家加密的加密数据流,但如果他们没有密钥,他们会阻塞有效载荷。”
Black说:“采用更少的层进行简化和整合也是清理过程的必要组成。在很长一段时间内,我现在比以前更自信,这有几个原因。您需要分层的技术正在迅速整合,简化将会非常重要。”
(作者Kacy Zurkus是CSO的特约撰稿人,他的文章涉及各种安全和风险主题。)
原文网址:http://www.csoonline. com/article/3160057/security/ machine-behaviors-thatthreaten-enterprise-security. html