如何突破網絡攻擊的生命週期？

提到網絡安全，很多公司會著重於防禦，的而且確當你擁有充足的防禦，要突破網絡攻擊生命週期的 6 個步驟亦會變得容易；而那些沒有作好充足準備的組織，當然就會成為黑客的天堂。這種針對網絡攻擊的 6 步，對於企業來說亦愈來愈重要。所謂的網絡攻擊週期是指黑客組織從調查到滲透，以及提取數據的程序；面對網絡攻擊的生命週期，企業需要擁有全方位的防禦方案才可應付每一層的攻擊。早前，我們便與來自 Palo Alto Networks 的系統工程師兼副總裁 Joseph Green 探討可行的方式以打破攻擊生命週期，主要可分為 6 種方法：

步驟一：偵測 （Reconnaissance）

攻擊者常常會利用一些釣魚攻擊的手法又或者直接從企業員工的社交網絡帳戶或公司網絡之中揪取用戶資料，通過充分利用這些資料，攻擊者可製造出一些看似信任度極高的內容、連結，並從而誘使企業內的員工按下有關連結。當員工按下有關連結後，很多時會不知不覺的下載了惡意軟件，而這些惡意軟件主要會自動偵測目標企業網絡內的所有漏洞及弱點，以便於黑客日後進行攻擊。

要突破步驟一的攻擊者偵測行為，組織需要採用一些 URL 過濾方案，通過這些方案以預防釣魚網站及惡意連結，同時企業亦應該持續的採用入侵及防禦等相關方案，持續監測網絡流量以預測及預防不知名的 port scan 及 host sweeps 等動作。

步驟二：植入惡意代碼

攻擊者亦會利用各種方法將一些惡意編碼植入郵件或文件之中，並通過採用一些近期熱門話題的方式引誘用戶開啟。

面對上述方式，企業可採用一些新一代防火牆（Next-generation firewalls）進行預防。新一代防火牆將能為企業提供最全面的監控資訊，包括網絡流量及封鎖高風險應用等；同時企業更可配合其他不同的方案以便採取更進一步的預防工作，包括部署 IPS、反惡意軟件方案、anti-CnC、DNS 監控以及 sink holing 等技術；而最後再配合上檔案及內容防禦等方案，便可將一切已知的風險、惡意程式以及 inbound 的 C&C 通訊封鎖。

步驟三：開發並奪取控制權

如果上述兩個步驟順利找出企業弱點，黑客便可進一步於企業網絡之中啟用攻擊代碼並同時透過 C&C 伺服器控制目標系統。針對這方面，市面上有些終端防禦方案（Endpoint protection）便足以應付。通過採用 Endpoint Protection 技術，大部份已知及未知的漏洞均可被封鎖到。這些 Endpoint protection 方案主要會通過採用一種名為 Sandboxing 技術，此技術製造出一個獨立的虛擬環境，所有惡意軟件會在這獨立的空間之中開啟並完成分析，從而讓防禦系統了解到該惡意軟件的動作，並就此作封鎖及進一步的防禦工作。

步驟四：安裝

攻擊者通過取得最高的權限又或者是 root kit 等，提升自己於目標系統之中的權限，並讓監控軟件永久潛藏於系統之中。企業可以做的，就是採用 endpoint protection 技術，從而預防內部員工「貪方便」啟用了最高權限的帳戶而被黑客有機可乘。新一代防火牆可定立獨立的安全區域，並強制進行用戶監控，同時亦可全方位監視進出流量，並分析流量是否出現異常。

步驟五：C&C（Command and control）

攻擊者於目標系統安裝 C&C 伺服器，以便於隨時與黑客的電腦進行連接並發動最新入侵及攻擊行為。面對上述情況，現時有幾種方法可以使用。企業可通過 anti-CnC signatures 直接封鎖 outbound 的連線；而採用 URL 過濾則可封鎖已知的惡意網址以及與企業系統與 C&C 之間的連線；同時亦可將惡意的連線轉移至內部預先製造好的 Honeypot 之中，從中分析以更新資料庫及實時封鎖。

步驟六：黑客最終目的

攻擊者有很多不同目的，但大多數都是通過入侵目標而進行進一步的入侵行為。例如入侵目標系統並從中取得用戶資料、破壞主要基建等。企業可通過制定檔案傳輸政策並將之套用到防禦方案上，這樣至少可防止黑客採用指令或非企業允許的工具傳輸檔案。通過採用適當的防火牆、anti-malware 以及 endpoint protection 將可突破黑客網絡攻擊生命週期，並可針對惡意連結、C&C 伺服器等進行防禦工作。

作者為：Joseph Green, Vice President, Systems Engineering, Asia Pacific