本节书摘来自异步社区《请君入瓮——APT攻防指南之兵不厌诈》一书中的第1章1.5节小结,作者【美】Sean Bodmer , Max Kilger , Gregory Carpenter , Jade Jones,更多章节内容可以访问云栖社区“异步社区”公众号查看。
1.5 小结
请君入瓮——APT攻防指南之兵不厌诈
每天都有人摸索出大量的渗透的新方法、新技术,也有人用这些技术去作恶。据美国国土安全部和互联网犯罪举报中心(IC3)的统计,各种渠道举报的案例总数呈逐年递增的趋势。
因此,实施积极的应对措施,主动应对各类PT和APT势在必行。您必须能够使用正确的工具,充分了解您的网络,并且能进行针对性防御;如若不然,您的对手将会在今后的攻击中占据上风,他们转移的更快,行动更方便,也更滑头。人类历史上某位最具智慧的人曾经说过:
故善攻者,敌不知其所守;善守者,敌不知其所攻。
——孙武,《孙子兵法》
在我们看来,您就是孙子所说的(网络)战场的主宰者。毕竟只有您控制着对手和攻击必须要用到的那根网线(逻辑边界)1。作为防御方,您没有理由不充分利用自己的地利优势。法律上说,您是企业网络或关键系统的所有人,落实安全技术是您的责任;您有责任使用各种手段中断、阻止、分解、消灭、欺骗对手和他们的攻击,有责任让他们原形毕露。这就要求您需要了解当前的网络战的水平,掌握网络战的手段。即使您使用的是定制的“独特”软件,它也必然存在漏洞——请不要忘记政府、企业、犯罪团体中都有能人,只要资源充足,他们就可能挖出这些漏洞,继而研发exploit(漏洞利用程序)。
这让我们想起全球各地的各种SCADA系统,想起使用SCADA的核电站、电站、水利枢纽、排水系统、交通信号系统……绝大多数的民生基础设施都采用了基于IP网络的远程管理和中央控制方案。说来可能会有点恐怖,但是我们确实看见过运行Windows 98的PLC工控系统——没错,您没看错:美国的核心基础设施上还在使用Windows 98和Widnwos 2000操作系统……您本地电厂的核反应堆搞不好就在运行Windows 95,您有没有觉得他们操作系统都不升级,还好意思开口涨电费?(如有雷同纯属巧合)使用古董版本的Windows系统的隐患甚多:操作系统的漏洞肯定越来越多;一旦官方停止支持这些操作系统,用户就不再能够修补安全漏洞。相比之下,新问世的操作系统稳定性、安全性都有进步。客观的说,基础设施不更新操作系统也是无奈之举。PLC和HMI系统的编程都很复杂,在新操作系统上重新编程的风险很大;但是它们偏偏管理着各类基建设施的涡轮和制冷系统。涡轮和制冷系统不可能为配合测试(调试)PLC和HMI程序而停机,所以多数工业设施仍然在使用非常古老的操作系统。如果更新操作系统和应用程序会带来更高的安全风险,更多的事故(停机、烧毁)隐患,那么这些操作系统可能永远都不会被升级。
这种情况下,您只能选择欺骗和烟雾弹的手段实施防御。请注意,目的与效果、“您试图传递给对手的情报”和“对手获得的情报”可能一致也可能不一致。只有您有权决定是否采用相应的手段。在此,谨推荐爱尔兰哲学家的一句名言:
见义不为无异于为虎作伥。
——Edmund Burke2
本书后文还将介绍很多PT和APT的案例。虽然每个案例的深度、范围和目标各有千秋,但是您可以通过这些案例掌握与攻击的对手进行真枪实弹的较量的方法,干扰他们探测和判断的技能。作为专业的安全人士,只要您了解正确的应对策略,就可以随时将他们踢出网络。
前文说过,作为一种蓄意攻击,威胁都各不相同,它们从里到外都有独自的特点。被攻击的单位也有个体和行业上的差异,适用的法律法规不一而同,他们所应采取的安全策略也会有所区别。有些威胁如同蚂蚁撼树,不值一提;也有些威胁非同小可,您稍有迟疑就会回天乏术。如何因地制宜、对症下药地制定最佳策略?且看后文分解。
1译者注:西方在解读孙子兵法时,他们侧重边界和阵地的概念——攻方攻的是防守边界/栅栏的薄弱之处;守方利用边界/栅栏防守。虽然栅栏防御理论客观存在明显缺陷(否认内部风险的重要性),但是栅栏(边界)就是战场至高点的观点并没有错误。
2译者注:见义不为,无勇也。——《论语·为政》
本文仅用于学习和交流目的,不代表异步社区观点。非商业转载请注明作译者、出处,并保留本文的原始链接。
