众所周知,网络犯罪分子早已从最初的恶作剧转向寻找谋利的机会。其实,最可怕的莫过于借助互联网来窃取各种信息,所以网络安全现已经成为企业甚至国家真正关注的安全问题。
从本质上讲,高级闪避技术并非一种新的威胁类型,而是实现现有威胁的新方法。网络犯罪份子的武器库内容非常丰富,所以在很多情况下,关键的问题就是谋求实现这些威胁的方法。下面我们将讨论高级闪避技术所造成的威胁及相关的防护措施。
高级闪避技术的定义
简言之,高级闪避技术是闪避技术的一把瑞士军刀。换言之,高级闪避技术并非仅依赖于一种方法来加载恶意软件,而是同时利用多种闪避技术来挫败网络防御。
有的漏洞研究专家认为,并没有所谓的“高级闪避技术”,只有“闪避技术”,即把恶意内容向已知的检测技术隐藏起来的任何技术或方法。有一些知名的闪避技术,如使用Javascript来编制恶意代码,通过将攻击分解为更小的片断来伪装攻击。如此一来,就要求入侵检测系统(IDS)在能够检测攻击之前需要重新组装消息,无疑会增加复杂程度。
高级闪避技术所造成的威胁
为实施恰当的防御,管理员必须理解高级闪避技术给当今的企事业单位所造成的威胁。
需要理解的很重要的一点是,高级闪避技术并非是一种威胁,它仅作为使恶意代码感染企业的一种方法,同时又可以绕过IPS、IDS或下一代防火墙等复杂防御系统。由于高级闪避技术在提供恶意软件时,可能会被漏检,这使得它又成为当今企业网络安全所面临的最严重的安全威胁。仅对付某种漏洞利用相对简单,因为安全厂商在很短的时间内就可以构建基于特征的和基于签名的保护。而对于高级闪避技术,就不那么简单了。
高级闪避技术所造成的威胁随着具体目标的不同而千变万化:高知名度的企业和高价值的目标、产品、服务最易遭受风险,因为它们更易引起注意。虽然许多单位常常关注攻击的IT意义,但管理部门还应当关注这种技术对企业名誉所造成的潜在破坏。
哪些方面易受攻击
很重要的一点是,企业要理解特定条件可使自己易于遭受高级闪避技术所带来的威胁。因此,应当快速修复所确认的任何漏洞,从而避免被攻击的可能性。
仅使用IDS的网络或配置不恰当的IPS都会使企业处于更大的风险中。此外,仅依赖一个IPS来保护网络而不给服务器和工作站打补丁的系统也会处于风险中,因为高级闪避技术需要有漏洞的目标才会发挥作用。
疏于保持系统的安全更新是使得企业更易于遭受攻击的另外一个条件。此外,能够访问公司网络的移动设备激增,也使得企业易于受到使用高级闪避技术的攻击者的危害。
问题在部分原因在于,在管理安全事件时,企业常常处于一种被动的反应模式。为使其单位不易受到攻击,管理员应当执行自上而下的评估,从而确定风险区域。在风险评估结束之后,应当制定IT的风险处置规划,从而将风险降低到可接受的水平。
应对高级闪避技术的措施
那么,企业可以采取哪些具体的步骤才能免受高级闪避技术所带来的威胁呢?事实上,当今并没有现成的安全方案可以完全保护企业免受高级闪避技术所造成的威胁。但是企业可以使用易于更新的基于软件的安全方案来保护自己。另外一个关键要素是网络设备的集中管理:从一个中央位置或控制台来管理所有的设备可以在发现攻击时提供即时的响应能力。
此外,IT风险评估可被用于防止这类风险。风险评估是企业用以确认资产、资产所面临的威胁及其潜在影响、漏洞一个过程。影响越大,企业就需要越多的保护措施来防御威胁。在发现新问题时,有些厂商并不愿意改变,在它们必须设法修复漏洞时尤其如此。管理员不妨向安全厂商咨询,学习如何检测闪避技术。还应参考一些独立的报告,目的是为了判定特定厂商的产品是否能够防御真实的闪避技术。
虽然高级闪避技术所带来的并非是一种新威胁,但解决这方面的风险并非易事。良好的安全实践,如执行风险评估以及确保重要安全措施保持最新等,都可以更长远地保护企业免受这种新威胁甚至未来的一些更新的威胁。