安全专家剖析四种类型黑客 知己知彼

  当今世界最珍贵的商品是数据。我们每天创造出2.5万兆字节的数据。对个人来说,需求数据和消费数据维系着我们的生活,而企业则需要数据来推动商业的发展。
  哪里有需求哪里就会有市场。如今,黑客们使出浑身解数,整日为发现并窃取这些数据而忙碌着。在过去短短两年时间内,人们已经制造了今天全球90%的数据,这给黑客们的工作带来了不少便捷。
  不错,如今确实是数字的世界了。这个世界的核心是由两群人组成的:试图保护数据的人,以及试图破坏它的人。事实上,这两个群体间的界限不不那么清晰,例如某个企业员工可能会在不知不觉中成为黑客的帮凶,因为黑客的目标是特定的组织里面打破安全保护区的个人。而这种类型的破坏,我们把它称之为“内部威胁”,正是当今企业所面临的最大安全威胁之一。然而,少有企业着手解决这个隐患,他们对此还缺乏足够的认识。
  中国有句古话:“知己知彼,百战不殆。”同样道理,对于安全行业来说,了解不同类型的黑客是非常有必要的。目前的主流黑客类型包括黑客活动家、网络罪犯、内部威胁和国家资助的黑客。了解他们的动机和偏好的攻击方式有助于企业正确部署其安全解决方案,从而对关键数据进行有效的保护。
  1. 黑客活动家
  安全专家们担心这些活跃的黑客胜于其他一切。根据2012年的一项研究,超过一半的受访者认为激进的黑客组织是企业最大的安全威胁。他们的担心不无道理,因为黑客组织会根据他们的“意识形态议程”来选择攻击目标,且会针对符合他们目标的任何组织。任何没有研究过他们攻击方法和方式的企业组织都会成为其攻击的对象。
  黑客活动家们很少为金钱利益所驱动,其攻击的动机是多数是出于报复、政治或意识形态方面的表达、抗议以及羞辱受害者。他们热衷的并非窃取数据这一行为本身,而是利用这些泄露出的数据来宣传他们的政治主张,获得更广泛的关注。
  从根本上来说,黑客活动家坚信互联网应是一个言论自由的平台。这种信念使世界各地的黑客团结一致,因此他们常常以小组为单位展开行动。例如,著名的黑客组织“匿名者”就声称是由个人组成的,不受任何阶层控制。他们只是在一起工作,抗议与“匿名者”观点相悖的组织活动。尽管他们攻击的理由确实与一些道德谴责相关,但这其实是一种明显的违反互联网审查和管制的行为。该组织的受害者包括了VISA、索尼以及F1等知名企业。
  上述受害者都是知名的跨国公司,然而黑客活动家也不会忽略那些在当地市场有一定知名度的中小企业。在新加坡,黑客活动家已经通过攻击对外友好协会、余仁生药材公司等网站获得了一定的知名度。
  那么,什么是黑客活动家首选的攻击方式呢?分布式拒绝服务(DDoS)攻击,尤其是SQL注入攻击是其主要的作案手法。尽管如此,许多企业仍未意识到构建网络应用防火墙(WAF)来应对SQL注入攻击的必要性。
  2. 网络罪犯
  网络罪犯,顾名思义,往往与更大的犯罪组织相关联。与黑客活动家们不同,这些组织无论规模大小,完全是由利益驱动的。黑客攻击更像是一种他们找到的全新犯罪方式,这些黑客组织像经营生意一样对待网络犯罪,并已形成了严密的全球犯罪网络。
  这些网络罪犯共享攻击策略和攻击工具,经常联手发动攻击。在一些地区,甚至已经形成了非常成熟的黑色产业链,用与购买和出售窃取来的信息和身份。
  这些专业罪犯通常用全球网络系统来锁定目标,部署复杂多样的方法如零日漏洞代码、僵尸网络和Web全自动攻击工具等。例如,2012年11月,一个黑客为了700美元对雅虎邮箱进行零日攻击,使得攻击者能够利用跨站点脚本(XSS)漏洞窃取Web浏览器cookies,劫持账户。
  3. 内部威胁
  内部威胁指的是一个受信任的个人有权对企业的知识产权或者数据进行访问,并在业务需求以外使用了这些信息。这些信息的误用可能是出于恶意、意外或者是被入侵者利用。
  企业安全团队面临的其中一个关键性障碍是改变员工对数据和知识产权所有权的认知。在2010年Imperva对伦敦街头1,000位工作人员的随机调查中揭示了对此问题的惊人态度。70%的受访者表示当他们离开现在的工作岗位时会计划带走涉及知识产权的内容或客户资料。大部分受访员工认为他们拥有这些数据,因此觉得带走它们合乎情理。这不仅仅是一个西方文化现象——访问及获得包括数据在内的公司财产的诱惑具有跨文化特性,甚至可以说,这也是人性的一部分。
  也有员工在不知不觉中“协助”了黑客们的攻击行为。只要有一名员工被攻击者利用,潜入公司网络,获取知识产权内容,窃取数据,在这些员工在无意中就会变成内部威胁。
  那么,黑客是如何锁定这些员工的呢?首先,他们会利用社交媒体来识别目标企业里的个体。例如,LinkedIn对黑客来说就是一个很好的识别企业数据库管理员的社交工具。接下来,黑客会利用这些企业员工联系信息进行鱼叉式网络钓鱼。通过鱼叉式网络钓鱼活动或者可利用的企业漏洞,黑客们获得访问用户设备的权限,进而通过安装恶意软件来控制和收集数据。在这之后,黑客们就可以开始侦查企业的各种内部数据,包括竞争对手信息、商业计划或者网络架构图。就这样,黑客从窃取数据开始一步步构建成功的蓝图。
  从企业的角度来看,减少内部威胁需要最好的实践案例,其次是技术实施。讽刺的是,这两者既是最容易又是最困难的部分。数据中心包含最敏感和最重要的信息,却往往是安全控制最薄弱的地方。因此,行之有效的方法是在接近数据层的地方设置一个安全层,如数据库审计与防护系统(DAP)和文件活动监控方案。
  4. 国家资助的黑客
  国家资助的黑客或许是世界上最具能力和才华的黑客。由于政府的慷慨资助,他们装备精良。这些黑客往往被政府雇佣,用于渗透进入其他政府并获取绝密资料,这也反映了当今世界中各国间的紧张局势。如今,国家资助的黑客因为世界各国间的网络间谍和网络战争事件而日益备受关注。
  由于国家资助的黑客往往特别有针对性,因此小规模的企业通常不用太担心。但是大型企业可能会成为黑客窃取商业机密的受害者,而且很难识别和抵御。
  国家资助发起的攻击具有明确、系统且组织严密的攻击方法。知名的网络武器包括Stuxnet超级工厂病毒、 Duqu蠕虫病毒和Flame恶意程序。这些都曾是杀毒行业未能攻克的强大的恶意软件,至今仍然大肆盛行。例如,Stuxnet是世界上首个已知的“网络导弹”。最初设计用于破坏核燃料提炼离心机系统的专用特殊电源。后来,它被认定为世界上首个公开的网络超级武器——它跨越了数字世界的鸿沟,用于摧毁现实世界中非常具体的目标。
  这份黑客名单并不是十分详尽,但它能够让我们对黑客有一个基本的了解,毕竟,这是我们面临的最大安全威胁背后最重要的群体。根据这些信息,企业可以制定一个更加有效和全面的安全策略,即在靠近数据中心的数据库和文件库的地方设置一个安全层,同时加强收集和验证来自网络应用防火墙(WAF)数据的能力,以抵御上述四种主流黑客的攻击。

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:OpenSSL Heartbleed漏洞修复工作耗时长