关注网络与数据安全

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:389710688) ,欢迎各位同仁加入!有其它问题,请联系站长“网路游侠”,QQ:55984512


互联网安全生存:让别人成为勒索软件(黑客)攻击的牺牲品

2017-05-15 17:23 推荐: 浏览: 70字号:

摘要: 从5月12日起,一名为“想哭(WannaCry)”的勒索软件全球爆发,老旧的勒索病毒配上核弹级别的网络武器,掀起一番腥风血雨,造成全球100多个国家和地区的上百万个IP地址“中招”。 医院就诊系统停了,学生毕业设计没了,真当是“想哭”。 据监测,WannaCr...

从5月12日起,一名为“想哭(WannaCry)”的勒索软件全球爆发,老旧的勒索病毒配上核弹级别的网络武器,掀起一番腥风血雨,造成全球100多个国家和地区的上百万个IP地址“中招”。

医院就诊系统停了,学生毕业设计没了,真当是“想哭”。

据监测,WannaCry升级到2.0版本,取消了所谓的kill switch,专家预测第二波攻击即将袭来。面对勒索变种后的第一个“忙day”,拔掉网线,快打补丁,做好安全防护吧。

勒索软件肆虐,难道只能欲哭无泪吗?事件背后,其实是勒索软件攻防的博弈。面对勒索软件攻击的因应之道,应当更关注如何避免成为勒索软件的目标!

勒索软件的本质

勒索软件本质上,是传统黑客攻击的一种廉价的变现方式,让传统的黑客攻击复杂的获利渠道简单化,而不再需要长长的黑产链条来支撑,正是这个特征,使得勒索软件大规模盛行。为了使勒索能够顺利进行,勒索的筹码不能太高,这也决定了黑客的攻击成本不能太高。

勒索软件攻击的变现特征决定了勒索软件的基本攻击方式:标准化、无差别的进行自动化攻击,任何高级攻击对于黑客来说都是不划算的。换句话说,这种攻击不会具有太高的技术含量和攻击难度,防御难度自然也就大幅度下降。

勒索软件攻击的防御

勒索软件攻击的防御不应该作用在如何防止核心数据资产被黑客加密,而是应该避免自己成为勒索软件的目标。

互联网勒索攻击的防御

现在的时代不同以往,互联网生存和云端生存成为我们的基本生活方式,海量的业务服务和数据资产直接暴露在黑客面前,甚至大量的数据库核心资产直接在互联网上公开。

只有能被发现才可以被攻击,如果不能被发现,即使黑客掌握了海量的漏洞攻击程式,甚至是海量的0day漏洞程式,即使暴露在互联网的企业服务和数据库充溢着着大量漏洞,也可以在黑客的攻击中轻松生存,成为黑客眼皮底下的盲点。

基本而言,我们只要做好以下几点,就可以防御来自互联网直接攻击的勒索软件攻击。

1、关闭不必要的服务和账户,仅仅开放需要的服务和账户

 我们总是会把焦点聚集在开放的服务和账户,对于不必要的服务和账户往往缺乏关心,甚至于根本不会去加以了解,从而使这部分不必要服务和账户几乎总是处于完全不设防状态。勒索软件和黑客就可以轻松的入侵不必要的服务和账户,最终到达我们开放的服务和账户。

2、开放服务的端口禁止缺省配置,逃离黑客扫描窗口

标准化无差别的自动化攻击是通过扫描缺省端口以及特定的端口区间来完成,我们只要逃离这个扫描区域就可以避免被发现。

3、避免设置缺省的常见的账户名、组名、服务名

比如oracle数据库服务主机,避免设置数据库服务操作系统账户为oracle、dba、oinstall等,避免设置oracle服务名为ora11、ora12等,从而避免被一些弱智的勒索软件发现。

4、账户密码长度要超越常见的密码破解程序

 复杂性密码几乎从口令系统诞生开始就被安全界强烈推荐,但是至今依然是网络安全的最大问题所在。由于复杂性密码的不可记忆性,使其在很多场合下不具有实践性。我们认为,密码长度比较密码复杂性更为重要,推荐至少16位长度的密码,对于密码复杂性不加要求,比如16个8: 8888888888888888,比很多长度为8位的复杂性密码防御性要更强。原因非常简单,16位长度的密码可以使你避免被大部分的标准密码破解程序所发现。

 5、重点关注无需登录系统就可以到达服务的漏洞

 绝大部分所谓漏洞都需要首先进入系统,通过足够的密码长度可以让这部分漏洞无法产生价值。

社交网络勒索攻击的防御

在社交网络无限发达的今天,期望个人或者企业终端100%的对于黑客的攻击免疫,这是一个不现实的奢望,过去几十年的网络安全攻击和防御实践早就证明了这点,安全边界正在消失,这是网络安全实践的基本认知。

你的个人或者企业终端总是会被突破,或者你的网络中存在着众多的肉鸡,这是一个让人绝望的客观现实。

我们需要在恶劣的环境中带毒生存,避免黑客通过这些病毒和木马入侵核心数据资产和核心服务,比如数据库资产。

基本而言,防御勒索软件攻击核心数据资产和服务,只要做好以下几点:

1、应用白名单

应用白名单是带毒生存最为简单生存策略,主要包含以下几个层面:

1.1、全局管理白名单应用

访问核心数据资产的白名单应用必须进行全局管理,只有经过许可的应用程序才可以访问核心数据资产。显然通过应用白名单,勒索软件发起的核心数据资产的访问会被检测和终止。

1.2、推荐验证白名单应用

验证白名单应用的真实性,防止白名单应用通过其他渠道下载和安装。白名单应用的真实性包含三部分:白名单应用,配置文件以及脚本文件。

2、多因素模糊身份验证

不可假冒的双因素身份认证是网络安全的最大成果之一。但是非常遗憾,由于运行成本以及管理复杂性,不可假冒的双因素身份验证只是在小部分核心数据资产中存在,简单的账户体系依然占据绝对的主流地位。

任何虚假的东西几乎都在单一维度空间中存在,而真实的东西总是在多个维度空间中存在。我们只要简单在账户之外增加些其他约束,比如IP地址、浏览器版本、应用程序名等等就可以让勒索软件攻击无功而返。

3、设置一些简单的权限

最小化权限作为最佳实践,就如同密码复杂性一样,作为网络安全的金标准,但几乎没有人会遵循。不同于密码复杂性,密码复杂性至少还是可实践的,而最小化权限在缺乏专用安全平台的支持下几乎是不可实践的。但是我们依然可以依据最小化权限的准则做一些很容易完成的基本设置。

以oracle数据库为例子:

 3.1、数据库文件

 所有数据库文件仅仅可以让数据库软件账户可以读取,也就是配置700。

 3.2、一些危险性操作的禁止

提权、代码注入等操作几乎黑客攻击的标准配置,禁止这些操作的执行或者仅仅授权给特定的账户和人员执行这些操作基本就可以完全杜绝勒索软件的最后攻击。

3.3、业务数据隔离

业务数据隔离可以很好的防御已经突破到数据库内部的勒索攻击。

 勒索软件的攻击是一种相对简单和传统的攻击手段,具有很长的历史,比特币等支付货币的盛行使其变现成本大幅度降低,从而开始大面积流行。勒索软件的流行也从侧面反映了过去几十年网络安全防御的成果并不是很理想,甚至可以说,是掀开了网络安全防御的遮羞布。

勒索软件的变现特征决定了勒索软件攻击并不是apt之类的高级攻击,而是标准化的廉价攻击方式,并不需要太高的防御技术。勒索软件的盛行也告诉我们,安全防御从来就不是依靠购买安全设备来完成的,而是需要我们落实一些基本的安全实践。

联系站长租广告位!

中国首席信息安全官
Copy link