根据F-Secure发布的2017年网络安全状况报告在美国,犯罪黑客使用基本的、可编写脚本的技术对维护不善的基础设施进行大多数网络攻击。只要存在大量的攻击脚本和大量安全不佳的网络,这种情况就会持续下去。
SafeBreach的首席技术官和联合创始人Itzik Kotler说,由于精英黑客继续创作这些脚本并将它们出售给其他人,攻击脚本的数量正在攀升。似乎没有什么能阻止这一趋势。
CSO检查可编写脚本的攻击和您可以控制的部分问题:使您的基础设施处于良好状态,以摆脱这些入侵。
那么什么是剧本呢?
可编写脚本的攻击只是使用脚本。“脚本是一系列自动执行的命令或计算机任务,”卡内基-梅隆大学(Carnegie-Mellon University) SEI CERT部门的团队领导Michael Cook说。脚本使攻击者能够协调许多同时进行的攻击,否则他们将不得不手动执行每一个攻击,每次一个。
攻击者可以从几种脚本语言中选择他们的脚本,包括Bash、Ruby、Python、PowerShell、Visual Basic、JavaScript等。Cook说,选择的语言可以是他们最熟悉的,最适合攻击路径上的必要步骤的,或者与他们计划攻击的系统兼容的语言。因此,攻击者会在攻击中使用多种脚本语言。Cook解释说,攻击者还可以使用包装器使脚本在不兼容的环境中工作。
攻击者可以使用脚本自动化攻击的每个阶段。科特勒说,有些脚本是扫描仪,执行ping扫描,以确定一系列IP地址是否在线和连接;扫描仪还进行端口扫描,以发现正在运行的服务类型。Kotler解释说,如果正在运行的服务版本存在漏洞,脚本甚至可以启动适当的漏洞攻击。
脚本有更多的功能。根据Kotler的介绍,脚本可以使用DNS枚举(一种识别DNS服务器并收集服务器信息的过程)来枚举潜在目标,执行bruteforce攻击,或者使用SSH或远程桌面工具上的普通用户名和密码远程登录。
有许多web资源供那些想要掌握可编写脚本攻击的安全专业人员使用。你可以在CERT也遵循利用.OWASP的发布自定义web应用程序攻击.您可以使用CVE细节跟踪新的漏洞。科特勒说,你可以在Twitter和IRC频道上跟踪对话,在GitHub上跟踪项目和项目谈话。“SafeBreach维护一个黑客的剧本追踪黑客使用的最新技术,”科特勒补充道。
黑帽黑客的意图
可编写脚本的技术甚至可以使脚本kiddies组织网络攻击的整个生命周期,包括识别潜在受害者、组织攻击、侦察、识别下一个受害者、数据泄露和攻击后清理,丹尼斯莫罗说,VMware高级工程架构师。“旧金山市政炸弹袭击包括(在售票终端机)损坏、勒索软件(勒索以恢复功能)以及窃取和利用员工信息的例子,”莫罗解释道。
Dennis Moreau, VMware的高级工程建筑师
脚本足够用于攻击机器和构建用于DDoS攻击的僵尸网络,用于收集信用卡信息或其他PII,或用于加密重要文件和系统ransomware攻击,库克说。Cook指出:“攻击者在花费编写攻击脚本的固定成本后,通过成功访问大量系统,实现目标价值的最大化。
黑帽可以很容易地定制他们的脚本。在构建针对企业的基于脚本的攻击时,犯罪黑客可以使用新的元素来进行攻击。科特勒解释说:“通过嵌入这些自动化技术,并添加一个新的、未修补的漏洞,即在此基础上进行零日攻击,黑帽黑客可以创建新的自我传播蠕虫。”
使您的基础架构能够承受可编写脚本的攻击
科特勒说,要使你的基础设施处于良好状态,请使用犯罪黑客正在使用的相同程序——自动化。“通过自动化和模拟对手,公司可以了解攻击者的观点,并提前识别问题,然后在无法进行修复时进行监控,”Kotler肯定道。
Cook说,要为可编写脚本的攻击做好准备,首先要了解您的网络。通过使用频繁的安全扫描、网络映射、帐户权限审计和渗透测试来发现漏洞。通过彻底的补丁管理、正确的配置和系统加固,解决漏洞;重新设置权限,只允许用户或设备执行其工作所需的最低权限。
库克说,所有这些都使组织能够关闭安全漏洞,减少漏洞,识别网络问题,并生成有价值的背景,以便利用有限的资源做出明智的安全决策。
Moreau说,进一步的步骤包括了解你的系统、组件和服务应该做什么,不应该做什么,并利用这种了解在防火墙、IPS和web应用程序防火墙实现最低权限的安全姿态,作为网络卫生的一个基本方面,同时定期验证这种姿态。
莫罗说,你还应该对数据中心进行细分,以防止单个成功的利用变雷竞技电脑网站成整个数据中心的破坏。使用这种划分作为建立数据中心内横向流量(东/西流量)的可见性和控制的基础。雷竞技电脑网站“由此产生的可见性将暴露攻击期间的异常行为,以避免/破坏您的端点保护;利用安全分析解决方案将暴露的网络行为与正常行为以及潜在的恶意行为模式进行比较,”莫罗说。
提供了更多关于应对脚本技术的可靠网站包括独联体基准测试页面针对各种平台的安全(加固)配置。其他有用的网站包括CERT及其免费安全评估,卡内基梅隆大学有关于新袭击的文章,还有IEEE有关于网络安全实施的论文。
有资源,也有资源
世界上所有的信息资源和工具都不能给你足够数量的安全团队成员来完成工作。有了这些资源、工具和一整套训练有素、训练有素的安全人员,您就可以实现几乎防弹的基础设施安全。如果人们知道自己的优先级,就像一个润滑良好的机制一样一起工作,并花分配的时间一个接一个地关闭和检查每个潜在的差距,就可以做到这一点。
这篇文章“如何使您的基础设施恢复原状以摆脱脚本攻击”最初是由方案 .