网络间谍活动再次受到关注,因为有新的证据显示,美国研究实验室遭到了网络入侵,针对国内外的公司和政府机构进行了有针对性的网络钓鱼。
难怪研究公司SANS研究所在“2008年十大网络威胁”中,网络间谍排在第三位,仅次于利用浏览器漏洞和僵尸网络进行的网站攻击,比如臭名昭著的风暴.
SANS Institute声称:“随着民族国家利用网络数据盗窃在跨国交易中获得经济优势,经济间谍活动将越来越普遍。”“选择的攻击包括带有附件的定向鱼叉式网络钓鱼,使用经过充分研究的社会工程方法,让受害者相信附件来自可信的来源。”
SANS研究所的研究主任艾伦·帕勒补充说,人们应该意识到“一个非凡的信息宝库被偷走了,”“从事军事间谍活动的人也从事经济间谍活动,使用相同或非常相似的技术,从攻击者所在国家的商业机构窃取信息。”对于网络间谍活动给组织带来的损失,他没有给出估计。
许多人曾近距离目睹过某种形式的网络间谍活动。
“绝对存在间谍活动,”总部位于奥兰多的数据安全经理米歇尔•斯图尔特(Michele Stewart)表示AirTran航空公司.(有关消息传递安全性产品的更多信息,请参阅我们的消息传递安全性买家指南。)
她说,穿越航空的行政管理团队成员最近成为了网络钓鱼邮件的目标,这些邮件试图诱骗他们泄露公司机密信息,并试图在他们的电脑上放置机器人恶意软件。
“这封邮件确实通过了我们的过滤,但幸运的是(我们的团队)意识到有些奇怪的事情正在发生,”斯图尔特说。她说,穿越航空依靠Lancope的网络行为分析设备来监视任何超出规范的行为,并对员工进行意识培训,但它不知道是谁针对它。
另外,美国能源部的橡树岭国家实验室(ORNL)上个月承认,大约有12名员工上了假邮件的圈套,这些假邮件敦促他们去钓鱼网站或打开带有恶意软件的附件。
黑客不仅侵入了橡树岭国家实验室的网络,访问了一些非机密数据库,而且主管汤姆·梅森(通过电子邮件)告诉员工,具有讽刺意味的是),这一切都是“复杂的网络攻击的一部分,现在看来,这似乎是一个协调一致的尝试的一部分,以进入全国众多实验室和其他机构的计算机网络。”
ORNL官方拒绝透露更多信息。但一些熟悉此事的安全研究人员表示,目前的调查指向了中国。
“我作为联邦调查局的局长和FBI一起工作InfraGard卡巴斯基实验室(Kaspersky Lab)的高级安全专员汤姆•鲍尔斯(Tom Bowers)表示。他指的是联邦调查局与工业界的合作项目InfraGard。FBI本身不愿就此事置评。
在英国,英国军情五处(MI5)也提出了网络间谍的威胁。该机构警告英国数百家银行和律师事务所,称它们受到了中国国家机构的电子间谍攻击遭到中国的愤怒驳斥该公司表示,自己也受到了黑客的攻击
破解犯罪
许多安全专家很快指出,仅仅因为攻击可能被追踪到任何国家的任何服务器,并不能提供太多直接的证据,因为攻击者可能只是简单地控制着世界上几乎任何地方的服务器。
高德纳(Gartner)分析师约翰•佩斯卡托雷(John Pescatore)表示:“问题不仅在于谁干的,还在于中国没有积极地试图阻止坏人。”佩斯卡托雷认为,与动机为获取经济利益而窃取信息的犯罪分子相比,政府资助的网络间谍活动微不足道。
“工业间谍活动主要不是为了知识产权;这更多地是为了获取客户的个人信息。”佩斯卡托雷指出,上个月,该公司披露了一起数据泄露事件,其中一名销售人员在一台能够接收客户电子邮件的电脑上遭到了恶意软件的攻击。
佩斯卡托雷说:“当你去找销售人员时,聪明的做法是,他们有很多联系人和个人信息。”“他们经常给这些人发电子邮件。”
佩斯卡托雷表示,企业间谍活动的目标不仅仅是获取敏感的企业数据,还包括可能不被注意到的具有巨大信用额度和境外使用模式的企业信用卡信息。
在Salesforce.com事件中,该公司开始从客户那里收到报告,称可疑的电子邮件带有虚假文件,看起来像是来自合法的Salesforce.com来源,但实际上是钓鱼企图。该公司告诉Pescatore,他们认为攻击自6月以来一直在进行。
对于那些将IT功能外包出去的公司来说,网络间谍活动的可能性也是一个问题。
伊利诺伊州莱尔储蓄银行(Lisle Savings Bank)的运营副总裁兼合规官乔•辛科维茨(Joe Sinkovits)表示:“我们使用备份服务的一个原因是,数据不会被他们那端的金融机构识别。”“间谍活动总是会有问题的——这种可能性总是存在的。”
f - secure该公司表示,其客户发现了一些令人不安的迹象,表明他们的网络已成为攻击目标。
“我们有一个叫做Blacklight的工具,可以发现用来隐藏其他文件的rootkit,”F-Secure安全响应经理Patrik Runald说。rootkit会拦截安全软件和Windows之间的通信。世界各地使用我们工具的人,尤其是制造业和国防行业的人,发现这些rootkit打开了后门,把数据发送到中国。当我们检查这些情况时,rootkit已经存在了几个月。”
Runald补充说,这并不意味着行凶者来自中国,只是因为通讯是发给中国的。相比之下,大多数针对消费者的“大规模恶意软件”,如银行木马,似乎与俄罗斯和东欧有关,他说。
在F-Secure最近看到的一个针对企业间谍活动的例子中,一家公司的人力资源总监是该公司网站上发布的一个受感染的电子邮件附件的受害者,该附件冒充为résumé文件,用于招聘一个职位。“人力资源部的人就是联系人,这是为了欺骗他,”伦纳德说。
伦纳德指出,社交网站的兴起,如LinkedIn和脸谱网不幸的是,这给攻击者提供了额外的方法来找出更多的业务关系,以便利用它们进行间谍活动。
术语“开源间谍”描述了通过现成的发布信息收集信息的过程尼克·塞尔比他是451集团的企业安全实践主管。
如今,这可能是LinkedIn, Facebook,MySpace或在谷歌他指出,对企业信息的搜索被错误地暴露给了公众。据了解,一些公司在互联网上放置了一些服务器,只是为了尝试嗅探另一家公司的未加密通信。
RSA会议首席安全策略师蒂姆•马瑟(Tim Mather)表示,对网络间谍活动的担忧可能被夸大了。但他确实认为,开源情报收集是一项巨大的事业,有很多公司宙斯盾防御服务和同心国际解决方案招聘人员可以在网络世界的每一个角落寻找所需的信息。
马瑟说:“这类公司可能会在任何地方的聊天网站上寻找信息。”“这是一个增长型行业。”
如何保护自己
为了降低与网络间谍相关的风险,可以采取一些措施,比如部署数据泄露预防产品来监视哪些数据离开了组织,以及使用数据库监控工具和适当的访问控制。(从我们的数据泄漏预防买方指南了解更多关于数据泄漏预防产品的信息。)塞尔比认为,将数据分类为公开数据或机密数据通常是可取的。但他表示,企业面临的主要问题是,它们常常无法回答“数据来自哪里?”他们只是不知道。”一些公司正在采取更加激进的方法。
Cryptography Research公司为企业和政府客户提供专门的安全和产品设计分析。该公司总裁保罗·科赫(Paul Kocher)说,他的公司非常警惕网络间谍活动,因此维持着两个独立的网络。
科赫说:“我们有一个专门负责互联网和电子邮件,另一个专门负责内部通信。”“每个人的桌子下面都有两台电脑。我们购买了两倍的软件。它很不方便,而且它使It预算翻倍。我们这样做是为了保护我们的客户。我们是一个合乎逻辑的目标。”