【IT168专稿】我们打破数据突破的“缄默法则(code of silence)”，介绍一下犯罪分子是如何实施数据突破的以及如何阻止他们。

　　企业中一个不成文的规则是越少说安全突破的事件就越好。对于每一起公开披露的窃取数据事件来说，都有十几起没有披露的窃取数据事件。

　　这种“缄默法则”可能会避免激怒合作伙伴和客户，回避公共关系的混乱，但是，这种做法会让整个行业很难从这些教训中学习经验并且改善信息安全和风险管理的做法。这是本文从现实世界的安全突破中直接提取观点的原因。我们进行了证据调查以帮助企业理解安全突破是如何发生的以及如果应对这些安全突破。

　　我们合作的Neohapsis公司对一些特大的敏感数据盗窃案件进行了调查。经过调查了数百个案例之后，我们明确地说攻击者比以前更高级了。他们能够适应性地利用松懈的安全控制和操作做法，配备了从通用网络管理工具到客户恶意软件在内的各种武器。信息安全策略和技术也在进步，但是，没有攻击者的进步快。

　　庆幸的是，有许多合理的、容易理解的方式来缓解我们曾经看到过的任何安全突破。我们只需要更广泛地应用这些方法。

　　三种现实世界中的安全突破

　　第一种安全突破：一个公司的网站经常是攻击者的登陆场。在我们对一家金融服务公司进行的调查中，攻击者利用了他们在一个面向公众的Web服务器中的一个Web应用程序中发现的安全漏洞。这台服务器中没有任何重要的数据，对于这个机构并不是很重要，而且这个安全漏洞也不是很严重。攻击者发现了一个SQL注入攻击安全漏洞，然后使用一个“xp_cmdshell”功能破坏那个服务器上的工具以便获得那个服务器的立足点。因为机构没有认为这台服务器或者这个应用程序特别重要，因此没有对它们采取监控措施，这个安全漏洞就没有人注意。

　　第二种安全突破：攻击者利用这个被攻破的服务器作为自己的基地。他们部署了工具和扫描器，用几个月的时间小心地绘制这个网络的图，并且没有被人发现。他们一旦发现这些系统包含他们要寻找的数据，他们就会复制这些信息，把信息打包成一个Zip文件并且发送出去。一般来讲，机构有标准的杀毒和防火墙技术。但是，机构知道这个攻击的唯一原因是现实世界中使用了这个被盗窃的数据。如果不是这样，机构可能会仍然忽略这个安全突破。

　　第三种安全突破：在我们进行的另一项调查中，攻击者采用了同样的剧本，攻破了一个在线零售商的基于Web的电子商务服务器。然而，一旦攻击者进入这个数据库系统寻找信用卡信息，他们发现拥有信用卡号码的数据库加密了。遗憾的是这个加密的密钥存储在同一个系统中。因此，攻击者实际拥有了进入这个王国的钥匙。

　　此外，我们研究了一些案例。在这些案例中，攻击者是通过售货机系统获得入口的。

　　售货机系统厂商的技术支持团队使用VNC等通用的远程接入应用程序访问这个系统以便进行技术支持和排除故障。但是，这家厂商对每一个客户都使用相同的远程接入口令。攻击者知道这个口令并且简单地运行大规模扫描搜索采用同样配置的其它系统。接下来的任务就简单了。

　　防止被安全突破的五个教训　　

　　我们从这些案例和其它现实世界的入侵中归纳了五个教训：认真对待Web应用程序安全;增加安全控制层次;理解安全技术的局限性;评估第三方系统;要知道糟糕的事件反应比没有事件反应更糟糕。

　　1.认真对待Web应用程序安全

　　Web应用程序经常是入侵者的起点。我们继续看到IT团队不断地给系统使用补丁和部署防火墙，但是，机构却没有防备有漏洞的应用程序。这些安全漏洞是很容易利用的。

　　一个机构的非常好的防御是把安全集成到应用程序开发的声明周期中。与对正在使用的应用程序打补丁相比，制作安全缺陷较少的代码会提供更大的回报。在质量保证或者评估过程中使用IBM的AppScanner或者惠普的WebInspect等Web应用程序扫描技术是非常重要的。购买而不是制作Web应用程序的企业应该评估这些应用程序或者要求厂商执行由第三方验证的安全评估。

　　Web应用程序防火墙是一个备用的安全控制。这些产品旨在发现已知的攻击和找出可能支持入侵意图的可疑行为。然而，它们只是辅助性的。它们不能解决有瑕疵的开发做法和有漏洞的应用程序的根本症候。一个Web应用程序防火墙也许会让你花一些时间。但是，企业不修复这个风险的根本原因是愚蠢的。

　　2. 增加辅助的控制

　　内部防火墙、加密或者数据库监视软件等辅助控制措施能够提前向安全人员报警或者在入侵者绕过主要控制措施之后阻止其攻击。遗憾的是，我们很少看到有效地实施辅助控制。

　　例如，我们看到企业在网络内部增加额外的一层防火墙以便更好地隔离重要的系统。我们强烈推荐采用这种做法。然而，人们常见的是缺少政策设置的内部防火墙，简单地允许所有的通讯经过，或者是采用没有人理解的笨拙的政策的防火墙，因为缺少说明书。在我们处理的一些案例中，如果他们恰当地设置防火墙，有些攻击是可以阻止的。

　　聪明的机构将发现他们能够在什么地方使用分段以便更好地隔离敏感的或者重要的系统和数据，并且根据那个分段创建第二和第三控制系统。这个问题是“如果系统被攻破，对于我们损害最严重的东西是什么?”因此，厂商会在存储产品设计或者控制组装线的系统周围增加安全层次。一个工具也许会分段网格控制系统。一个支付处理机构或者商家应该把重点放在处理支付的系统上。

　　但是，不要停留在加入这些备用的控制措施，然后就不管了。要当心只顾减少经营开支从而完全导致减少风险的控制价值失效的笨蛋政策。配置、记载和监视这些控制措施。投入一些资源定期检查控制系统的记录，小心修改和异常活动。做得正确，这些额外的控制措施就能挽救你。做得不对，它们就会提供虚假的安全感，使这个环境更复杂。

　　3. 了解你的局限性

　　第三个教训是理解你的安全系统的局限性。我们有杀毒软件、防火墙、网络和主机入侵检测系统、身份识别、PKI、VPN、NAC、安全漏洞扫描器、数据丢失预防工具、安全信息、事件管理平台。尽管如此，安全突破仍在继续发生。

　　这是因为控制措施的发展没有攻击者的能力进步的那样快。我们研究了一些案例。在其中的一些案例中，一些完全使用了更新的杀毒软件特征的系统没有检测出活跃的木马程序、键盘记录器和嗅探器。大多数病毒特征的开发周期仍然是采用过时的假设制作的。这个假设是恶意软件成功地广泛传播，让厂商了解这个恶意软件，然后制作一个这个恶意软件的特征。此外，攻击者利用包装把自己隐藏起来以躲避病毒扫描器。

　　安全漏洞扫描器也跟不上已经发布的安全漏洞，不能及时有效地实施应用程序扫描。入侵检测和防御系统也像杀毒产品一样有同样的缺陷。

　　IT团队能做什么?对于最开始应用安全技术的人们来说，要适度信任技术，不要过多地信任技术。不要指望你的杀毒软件能够找到客户的恶意软件。安全漏洞扫描器只能作为辅助的测试手段以保证你的补丁管理系统在发挥作用。假设你的防火墙能够封锁自动的扫描，可是一个熟练的攻击者会穿过周边设备。

　　入侵检测和防御系统有时候是有用的。但是，我们经常发现路由器网络流量数据和防火墙“允许”记录能够提供黑客去了哪里的更好的信息，帮助测量突破影响的范围。

　　从运营的观点看，可以考虑部署一种事件管理技术以得到多个系统活动的状况，或者至少实施集中的记录管理以帮助搜索、评估和存储记录。

　　还要考虑你的对手的技能和动机，以及有必要采取什么控制措施检测他们的存在。理解他们的能力正在变得越来越重要。

　　4. 信任，但是要验证

　　第四个教训是简单的，但是经常容易被忘记：评估第三方的系统。正如我们的售货机的例子显示的那样，尽职的安全调查应该由内部团队或者一个第三方的应用程序安全公司执行。不要忽略容易摘到的果子，如默认的口令。

　　5. 做好应对事件的计划

　　最后，要知道糟糕的事件反应比根本没有事件反应更糟糕。我们经常与IT团队销毁了证据的企业打交道。他们销毁证据也许是故意的，也许是因为其它原因，如重建系统、删除硬盘数据、进行数据库分段或者允许第三方提供商访问被攻破的系统。发现这些问题变得很严重，他们可能会销毁或者破坏能够在犯罪起诉中使用的证据。

　　要拥有一个基本的程序--甚至就像“在你检查事件反应程序之前什么也不要做”这样最基本的程序。有许多免费的材料，范围包括从NIST 800-61指南到Visa的“如果被攻破”指南。使用网络搜索很容易找到这两个文件。

　　安全突破对于有关的企业和IT专业人员是很痛苦的。但是，沉默并不总是非常好的的反应。揭露常见的错误可帮助企业理解他们面临什么问题。