黑客公司都被“黑”了 信息安全要怎么保障?
當信息安全軍備競賽不斷升級,網(wǎng)絡(luò)攻擊像核武器一樣無法防御時,我們還能做什么?
今年7月,意大利黑客公司HackingTeam被黑,其400GB資料外泄,引起了黑客界的軒然大波?!斑@400GB內(nèi)容讓整個黑客界的技術(shù)水平前進了兩年。”中國臺灣黑客組織HITCON領(lǐng)隊與競賽負責人李倫銓如是評價這次事件。
HackingTeam泄露的數(shù)據(jù)中,包括其開發(fā)的能夠監(jiān)控幾乎所有桌面計算機和智能手機的監(jiān)聽軟件,以及為實現(xiàn)監(jiān)控而搜集的大量零日漏洞(0day,未經(jīng)公開、沒有修補程序的漏洞)。更驚人的是,數(shù)據(jù)中還有若干國家政府與其交易的信息存檔?!癏ackingTeam讓圈內(nèi)人驚嘆,原來只是知道漏洞可以賣,現(xiàn)在才知道居然還可以合法地賣?!崩顐愩屨{(diào)侃道。
“今天,有目的的黑客攻擊只靠技術(shù)來防御已經(jīng)遠遠不夠?!痹蚊绹醒肭閳缶諧TO的BobFlores對《第一財經(jīng)日報》表示,最可怕的是,很多公司在資料外泄時,還沒有意識到已經(jīng)被攻破了?!白钪匾?,應(yīng)該是在事情發(fā)生后的應(yīng)變?!?/p>
防不勝防的攻擊
今年4月,美國人事管理局遭到攻擊,超過400萬的政府雇員數(shù)據(jù)遭到泄露?!艾F(xiàn)在,確認的泄露資料數(shù)字已經(jīng)刷新到2100萬筆?!盉obFlores說。
可怕的是,這次入侵其實在兩年之前就已發(fā)生了。BobFlores表示,對美國人事管理局的入侵“只是最近才被發(fā)現(xiàn)和公開”。這起入侵是通過竊取美國人事管理局的信息系統(tǒng)承包商的電腦來切入的。
“2013年起,我們進行了一個調(diào)查,采樣了臺灣企業(yè)的1216臺服務(wù)器,結(jié)果顯示,平均攻擊潛伏時間(從黑客入侵成功到入侵被發(fā)現(xiàn)的時間)達到了559天,極端案例超過了2000天?!壁厔菘萍寂_灣暨香港區(qū)總經(jīng)理洪偉淦向《第一財經(jīng)日報》記者表示。
如果說早期黑客的攻擊主要是以政府機關(guān)為目標,那么最近幾年,越來越多的入侵事件已經(jīng)轉(zhuǎn)移到商業(yè)機密的竊取上。對于這種有目標的持續(xù)性攻擊,防范是非常困難的。目前,業(yè)內(nèi)將這種攻擊方式稱為APT(AdvancedPersistentThreat,高級持續(xù)性威脅)。APT的實施者會試圖通過釣魚郵件、網(wǎng)站,以及各種漏洞等一切方式嘗試入侵目標的信息系統(tǒng),獲取管理員權(quán)限并潛伏其中,伺機進行破壞或資料竊取。
2013年發(fā)生在韓國的事件是一個典型的APT攻擊案例。2013年3月20日,韓國KBS、MBC、YTN等主要廣播電視臺以及新韓銀行(ShinhanBank)、農(nóng)協(xié)銀行、濟州銀行等商業(yè)銀行的計算機網(wǎng)絡(luò)全面癱瘓,三大電視臺畫面被控,韓國大量民眾遭遇到無法在ATM取現(xiàn),也無法用信用卡消費的窘境。事后調(diào)查發(fā)現(xiàn),這起攻擊經(jīng)過至少8個月的策劃,至少6臺相關(guān)計算機設(shè)備從2012年6月就已經(jīng)被入侵,黑客植入的惡意程序達76種,超過4.8萬臺設(shè)備遭攻擊。
趨勢科技全球研發(fā)長暨大中華區(qū)執(zhí)行總裁張偉欽介紹,APT攻擊通常會在被入侵設(shè)備上植入后門,在需要發(fā)動時,從黑客的“指揮中心”向這些設(shè)備發(fā)送指令,完成指定的操作?!斑@些后門可以很容易地寫出大量的變種,查殺是查殺不過來的,但掐斷了指揮中心與后門之間的聯(lián)系,后門收不到指令,也就無害化了?!睆垈J笑著說,趨勢還會去購買一些被發(fā)現(xiàn)的指揮中心信息加入到趨勢產(chǎn)品中,從指揮中心方面去防范APT。
“美國人事管理局公布的數(shù)據(jù),它們在4月一個月當中,系統(tǒng)遭攻擊的次數(shù)就達到3.08億次,你說有多少病毒侵入了它們的系統(tǒng)?”BobFlores說,“美國人事管理局的信息安全保護是用所謂的病毒特征方式進行防護,所以它只能偵測已知威脅,沒有辦法防范未知入侵。最糟糕的是,他們雖然有入侵偵測系統(tǒng),但沒有合理的防護措施,所以東西(黑客)進來他們知道,但沒有辦法把它(黑客)擋下來,人事資料也沒有加密,所以人家一進來就偷走了?!?/p>
“最重要的是,你必須知道公司哪些資料是你要優(yōu)先保護的;還要建立一個處理事件應(yīng)變的小組;同時,還要教育你的員工如何防范風險,發(fā)現(xiàn)有問題了要報告給誰來處理?!盉obFlores如是說。
防止人才“黑化”
在防范入侵的同時,一個問題也讓人深思:到底為何這么多“天才”會選擇進入黑客產(chǎn)業(yè)鏈?
黑客在很多人心目中是比較神秘的,李倫銓卻表示,黑客其實也是普通人,只不過掌握了很多專業(yè)的技能。“給他們一個好的環(huán)境,他們就不會流失到黑產(chǎn)中;讓更多的人留在正面去研究怎么防范攻擊,而不是成為攻擊者,這是應(yīng)對安全問題最釜底抽薪的辦法?!彼?,他也戲謔地將HITCON稱為“義工”組織?!拔覀兪橇x工?!彼磸?fù)地跟記者重復(fù)這句話,面帶微笑。
“其實每個黑客都曾經(jīng)是一個天真的孩子?!崩顐愩尳o記者講述了一個故事。曾經(jīng),一個年輕的黑客發(fā)現(xiàn)了雅虎的一個漏洞,出于正義的本性,他將這個漏洞發(fā)送給了雅虎的技術(shù)人員,然而雅虎卻遲遲沒有做出回應(yīng),后來,久候雅虎答復(fù)不至的他收到了他聯(lián)系的雅虎技術(shù)人員個人送給他的一件T恤,于是他在T恤胸前寫上了這樣的字樣表達他的不滿:“IreportedabugtoYahooandallIgotwasthist-shirt.”(我向雅虎上報了一個漏洞,這件T恤是我得到的全部回報。)
“HackingTeam這樣的組織,將監(jiān)控程序銷售給各國政府可以獲取上百萬美元的回報,因而也可以出數(shù)萬甚至更高的價格去收購0day漏洞;與此同時,企業(yè)卻往往沒有意識到漏洞的價值,對上報者不聞不問?!崩顐愩尡硎荆@也許是很多黑客被吸引到暗面的原因——不僅有高額回報,同時有能夠獲得認可的感覺。
李倫銓現(xiàn)在擔任臺灣黑客年會HITCON的組織者,也會以HITCON的名義,作為領(lǐng)隊組織臺灣的黑客去參與國際上的一些黑客大賽?!拔艺J識的黑客都是比較正派的?!彼榻B,HITCON平時也是比較松散的,成員各自有各自的生活,“平常除了吃飯我們也沒有其他事情,大家都很忙。我們很少會聚集。”他所做的,就是鼓勵大家,樹立一些目標,讓大家聯(lián)合起來,有一個方向去努力。
除了HITCON成員,李倫銓也接觸過各國的一些其他黑客,不過并不頻繁?!懊绹?,或者中國大陸太大了,見面就要坐飛機,所以很少見?!彼蛴浾弑硎荆谝恍┲卮蠡顒由?,他們會見面,不過很多人只知道綽號,黑客彼此之間也有一些神秘感。他表示,他認識的黑客,包括中國臺灣、中國大陸的一些知名黑客,基本都能抗拒黑產(chǎn)的誘惑?!按蠹叶际羌夹g(shù)人才,很單純?!辈贿^,他也不忘笑著補上一句,“我也知道非常多抗拒不住的人,當然他們也不會跟你講?!?/p>
李倫銓認為,對黑客人才,除了引導(dǎo)之外,也要有合理的回饋機制?!爸澳谴问录?,雅虎被嘲弄了之后,就很快地建立了一套對上報漏洞的人的回饋機制。目前,雅虎花在這方面的錢已經(jīng)超過100萬美元,做得相當不錯?!崩顐愩尅跋窗住绷酥罢{(diào)侃過的雅虎。他也很贊同中國大陸的“烏云”這樣的漏洞平臺在做的工作?!罢娴慕?jīng)濟回報一定沒有黑產(chǎn)能提供的多,但出于內(nèi)心的正義,或是擔心與黑產(chǎn)交易產(chǎn)生的風險,有這樣的機制,就不會讓好孩子變成壞孩子?!?/p>
云查殺不是“萬靈丹”
應(yīng)對防不勝防的APT入侵,安全企業(yè)們紛紛把目光投向大數(shù)據(jù),希望通過大數(shù)據(jù)來對未知威脅進行“自動化”的偵測。
在去年的美國DEFCON黑客大會的競賽中,HITCON取得了亞軍的成績。李倫銓向《第一財經(jīng)日報》記者介紹了比賽的機制?!懊總€團隊會獲得自己的設(shè)備,上面有不同的漏洞,你要在5分鐘之內(nèi)找到漏洞攻破對手的系統(tǒng),并盡量不讓自己的系統(tǒng)被攻破,這樣的競爭會重復(fù)進行多輪。”他介紹,找到漏洞遠比修補容易,一個漏洞的修補最少也要幾個小時,但攻破只要幾分鐘。因此,美國政府也在嘗試用機器來進行自動化地尋找漏洞、攻擊、修補等過程。
“也許明年,就會有一個初步的成果出來,美國也會邀請全球的黑客團隊去和這個系統(tǒng)比拼,也許到時我們會被打得體無完膚?!彼@樣調(diào)侃道。不過,他也表示,做出這樣一個系統(tǒng)還是非常困難的?!爱吘惯@個領(lǐng)域的頂尖人才就那么一小部分,讓這一小撮人才去構(gòu)造這么大一個系統(tǒng),進展不會太快?!?/p>
而手握多年防護數(shù)據(jù)的安全企業(yè),也在尋找如何利用這些數(shù)據(jù)的方法。不過,在個人計算機上已經(jīng)實踐的“云查殺”,應(yīng)用到企業(yè)并不容易。
“個人與企業(yè)的行為和要求都相差很大。例如,一個新出現(xiàn)的程序快速傳播進大量個人電腦,你從這一行為出發(fā)判斷它是病毒,準確率達到80%,即使誤判,最多是重裝系統(tǒng);但在企業(yè),一個新出現(xiàn)的程序快速傳播,可能是企業(yè)新開發(fā)的核心應(yīng)用。你如果將它誤判成病毒,殺掉了,企業(yè)的業(yè)務(wù)可能會崩潰?!睆垈J表示,極端情況,例如一些對精密性、實時性要求很高的工控系統(tǒng),“掃描病毒造成的反應(yīng)遲緩可能比病毒本身危害性更大?!?/p>
今年8月,趨勢科技還特地將其在臺灣舉辦的年度信息安全大會CLOUDSEC2015的主題定位在云安全、移動安全方面,希望尋找新形勢下的企業(yè)信息安全管理及防御策略。
“未來的趨勢,更合理的做法是將大數(shù)據(jù)包裝成一個平臺,交給客戶,上面的各種應(yīng)用機制由客戶根據(jù)自己的特性去調(diào)整。”張偉欽說,“直接將大數(shù)據(jù)打包進一個產(chǎn)品,希望它能夠解決問題是非常難的,因為大數(shù)據(jù)很難控制?!?/p>