恶意黑客有如雷贯耳的名声。他们是尤伯杯天才谁可以在几秒钟猜测任何密码,破解任何系统,并导致在多个了广泛的破坏,不相关的网络使用一个按键,左右好莱坞说。我们这些每天谁打黑客知道好人通常远更聪明。黑客只需将是持久的。
每年都有一些黑客做一些真正的新事情。但在大多数情况下,黑客重复的都是经过验证的事实。并不需要一个超级天才来检查缺失的补丁或者制造社会工程攻击。黑客总的来说是一项贸易工作:一旦你学会了一些技巧和工具,剩下的就成了例行公事。真正鼓舞人心的工作是安全卫士,他们成功地攻击了黑客。
以下是计算机安全卫士在挫败黑客时所使用的一些最聪明的技巧。有些陷阱非常好,黑客很难不掉进去。当你听到一个大的拆除,更有可能的是防御者没有实施这些技巧,因此被烧。
用数据做
数据驱动的防御已经存在好几年了。但是,使用数据更好地检测、定义和补救威胁的概念在过去几年中出现了爆炸式的增长,几乎所有计算机安全供应商都加入了这一行列。在这方面,云确实起到了帮助作用,使得收集和分析大量数据变得相对容易。但主要的改进是对我们创建的数据有了新的关注。
等公司Crowdstrike,FireEye,CounterTack,ThreatMetrix提供可以分析你的网络数据流的产品,指出你的环境中可能存在的已知坏网络或任何高级持续威胁(APT)家族的任何出站连接。供应商的产品,如微软的高级威胁分析,可以确定黑客是否试图窃取您的登录凭据数据库,如果是这样,还可以确定它们在您的环境中存在了多长时间。有些公司可以通过观察其遍布全球的数万个管理节点上的活动,迅速检测出垃圾邮件、钓鱼企图和恶意软件。他们能看到一个公司无法察觉的地区性和全球性的模式。如果您没有将数据整合到您的安全实践中,那么是时候进行挖掘了。
用转移注意力的数据引诱黑客
产仔你的公司内部系统的假数据的一点点,和黑客,让愿者上钩。这背后的红鲱鱼数据的想法。毕竟,这是很难阻止每一个数据泄露,同样很难在不引起太多的误报的方法来搜索所有数据。相反,监视你的内部网络,使用数据泄漏防护(DLP)软件和外部网站为你的假数据的泄漏和你有你的黑客抓获。
我最喜欢的一个假数据主题是由一家医院设计的,这家医院以摇滚乐队Kiss的成员命名假病人,但拼写略有不同,而且还假了中间的首字母。只有IT团队和管理层的关键成员知道Ace J. Freelee、Gene H. Symmons、Petre L. Chriss和Paulie S. Stanlee不是真正的病人。
在你的网络中播撒蜜罐
蜜罐取红鲱鱼数据到第n程度。它们被放置在生产,其中的每一个数据是伪造的假资产。服务器,客户端,网络设备,蜜罐可以是任何东西。设置完毕后,谁触动你的蜜罐,要追究恶意。几乎每一个传统的计算机安全防御的完全相反,蜜罐是高价值和低噪音。
等公司Cymmetria和等方式提供商业蜜罐,就会有几十种开源替代方案存在。或者你可以简单地使用你本来会退休的旧资产。对于黑客来说,这些看起来是最现实的,因为您已经将它们宣布为非生产,而没有将它们撤出生产。
跟踪黑客发布的网站
为了领先黑客一步,我们有必要了解他们在做什么。通过跟踪流行的黑客发布的网站,如Pastebin或网站上的黑暗网络,你将获得新的洞见,甚至看到被盗的信息从侵入。如果黑客的数据存储包括你的红鲱鱼数据,你就知道你的公司已经pwnd。这是一个很好的检测策略,可以给您时间来关闭漏洞、跟踪攻击者,并为任何结果的公开声明做好管理准备。等公司保持安全甚至会监测你收费黑客站点。
这不仅仅是反应性的。即使您的组织没有被黑客攻击,您也可以使用已发布的黑客数据。举例来说,黑客发布的许多信息中包括数以万计的登录名和密码,通常是社交媒体和其他流行的消费网站。仔细筛选数据,找到员工的电子邮件帐户或登录名,然后将这些发现的密码与公司网络上使用的密码进行测试,这可能是值得的。如果他们匹配,告诉员工更改他或她的密码,并提醒他们不要在非附属网站上重复使用公司的密码。当然,也有一些公司会为此付费。
通过设置假的电子邮件帐户来标记黑客
与红鲱鱼数据一样,您可以创建虚假的电子邮件帐户,无法从公司外部搜索到,也不包括在任何群组列表中。通过这种方式,他们只能通过内部来源接触,不被任何人使用或与任何真实帐户相关。监控发送到这些账户的任何电子邮件,特别是来自公司外部的邮件。它不应该收到任何电子邮件,所以发送给它的任何东西都是垃圾邮件或表明有人侵入了你的电子邮件系统。
推坏演员到黑洞和监视他们的活动
黑洞的安全血统早已被证明。通过创建一个一旦检测到黑客活动就会被转移的位置,您可以确保他们不会造成伤害。在这个过程中,你可以通过人为的限制来减缓他们的行动速度。您可以创建一个黑洞使用DNS或IP地址管理服务,当黑客或恶意软件要求不存在的DNS名称或IP地址,如IP地址范围,当扫描您的服务将分流黑客在黑洞配置任意数量的负面的性能技巧,如严重的延迟、数据包腐败、重传,超级包碎片。
黑洞的工作原理和任何其他合法设备或软件一样,通过等待和询问三次来回应每件事。通过在你的黑洞里撒上蜜罐,你可以了解更多黑客的意图。人工缓慢还可以帮助您跟踪黑客或恶意软件的来源。但请记住,必须对黑洞进行适当配置,以确保偶然请求不存在的DNS名称或IP地址的合法服务不会被发送到黑洞。
继续进攻
在许多国家,这是一个道德上的灰色地带,是非法的,攻击性黑客可以成为防御者挫败恶意行为者的最佳手段。你们中的许多人可能已经厌倦了承受一个又一个的攻击,特别是来自一个特别愚蠢或顽固的黑客。如果委婉地要求他们停止攻击不起作用,一些辩护者认为,用先发制人的打击持续不断的黑客不仅合乎道德,而且是必要的。最明显、最成功的例子是震网病毒(Stuxnet),它摧毁了伊朗的多台离心机。这可能不合法,也不被认为是合乎道德的,但它确实有效。
黑客攻击发生在更小的,私人的场景所有的时间。甚至有企业可以租用,可以使用的工具,和蜜罐能够自动攻击的黑客攻击能力。我还没有看到黑客,当他们预期的目标,这是不令人惊讶droppingly砍死。
设置金票陷阱
在类似攻击的黑客和红鲱鱼数据的举动,您可以创建一个美味的前瞻性一口说,在家里开回来的时候,揭示了黑客的真实IP地址和身份。为您打造这些陷阱包含隐藏嵌入代码或图像的是,打开时,“拨号回家了。”除非黑客打开了诱杀装置在断开连接的环境中或已经封锁了所有出站流量,这是他们从来没有这样做,那么必要的信息被收集并送还给你。
我认识很多黑客,他们厌倦了黑客试图入侵他们,所以他们让坏家伙“入侵”假系统,并把所谓的头奖带回家。相反,当启动时,诡雷就会启动并重新格式化他们的硬盘驱动器或删除他们所有的文件。它不漂亮,但很有效。
用修补伎俩蒙骗黑客的眼睛
如果您负责发送补丁,您就会知道这有多棘手。您必须及时修补所有的关键漏洞,但是一旦您发布了补丁,就会立即进行反向工程以定位漏洞。而且,由于大多数公司都使用最新的补丁,如果他们使用的话,任何补丁都将成为黑客进入脆弱系统的通道。
如果你提供补丁的客户,你可能要考虑以下窍门。我的一个雇主曾经面临一个洞那么大它使几乎每一个应用程序容易受到攻击。我们的生态系统的破坏之后,我们发布了补丁将是巨大的,所以我们决定推出“隐藏”分布在几个月的过程中一些其他的补丁里面的补丁。任何反向工程黑客寻找一个补丁里面会看到什么样子无关的“垃圾”字节,整个画面只出来所有的补丁分发后和应用(甚至然后可能会被忽视)。这种战术已经使用了,因为许多公司。
压缩您的系统与零管理员
几十年来,获得根,本地管理员或域管理员一直是黑客的圣杯。但是,如果没有根或管理员帐户?你不能偷东西是不存在的。
相反,与传统的坚持,通过清空任何常任理事国的所有高权限组走“零管理”。有了这个策略,管理员作为非特权用户,当他们需要执行管理任务,他们要求在飞行中已经有时间限制的,任务限制,或设备限制的一个高度特权帐户或会话,需要一个新的密码每次。如果攻击者窃取它,它是毫无价值的。
这些即时凭证,以及它们最基本的权限和权限(称为“just enough admin”)非常有效。因为必须请求并证明凭证,所以可以很容易地对其进行审计。在您的环境中清除所有永久的超级管理员可能是困难的,但是通过尽可能地将其设置为零,您将更加安全。
保护您的管理工作站
安全管理工作站,又名声表面波或爪子,是另一种选择,大大降低您的恶意攻击的危险。让所有的管理员使用supersecure计算机(真实或虚拟的),进行无法连接或接收来自互联网连接的所有管理任务的计算机,需要双因素认证,并有一组非常有限列入白名单的程序。通过创建管理员执行管理任务的一个高度安全的地方,定期受损工作站黑客不可能得到王冠宝石证书。
破解你自己的代码
最好的开发者破解自己的代码,以及要求他人信任,并聘请专业人士来破解他们的代码。您可以手动或通过使用代码审查工具做到这一点。不管你怎么做,不要让恶意黑客是第一个尝试破解你的密码。许多世界上最大的机构现在对与白帽黑客,并提供错误赏金计划板,往往拥有数十万美元的现金奖励。
挂在秘密的黑客论坛
黑客用来满足在公共网站上讨论和处理,但也有少数人被捕后,他们已经意识到,私人,邀请只论坛是要走的路。邀请函的要求,从一个可信的黑客,是为了确保你是一个合法的恶意黑客。
不幸的是,对于这些论坛(但对我们来说是幸运的),执法部门和其他辩护人通常是他们所谓的私人论坛的一部分。有时,通过将先前被捕的黑客变成代理人或接管他们的账户来获得会员资格;其他时候,黑客网站无法拒绝新陌生人提供的资金。无论哪种方式,如果你能进入一个秘密的黑客论坛,你就能了解到坏人在做什么,并与其他防御者分享这些信息。
追踪黑客暴露自己的真实身份
揭露恶意黑客的真实身份是阻止他们的好方法。没有人比他做得更好布莱恩·克雷布斯。他使用DNS查找、域名注册,以及一份经过仔细链接的黑客各种假名列表。在这个过程中的某个时候,黑客会无意中泄露他或她的真实姓名,或者他们在完全黑帽之前使用的原始电子邮件或社交媒体网站。布莱恩在Facebook上发布了一张他们和家人在迪士尼乐园的微笑照片。