前NSA絕密黑客小組TAO負責人教你如何防禦網路攻擊

E安全4月24日文 白宮網路安全協調員羅伯·喬伊斯也在美國國家安全局（NSA）特定入侵行動辦公室（TAO）工作多年。去年，他在2016年Usenix安全大會亮相，他從幕後走到了台前，向眾多與會者介紹了如何讓企業網路及電腦系統遠離NSA入侵。

喬伊斯提到六大入侵階段：

• 「偵察」

• 初步利用

• 建立持久性

• 安裝工具

• 橫向移動

• 收集，滲漏並利用

推薦閱讀：

NSA絕密黑客小組TAO負責人揭秘防護手段

他指出，首先了解自己的網路、技術、設備等等，因為黑客可能比網路設計、開發人員更了解網路。企業制定程序評估將要使用的服務和安裝的服務，應鎖定或禁用未使用的服務。從而減少攻擊面。例如企業應了解網路的曝光面積，組建「紅隊」尋找網路中的問題、風險和漏洞，引入滲透測試人員，仔細檢查、鑽研網路。切勿低估任何漏洞或問題，因為對國家支持型黑客而言，就算是一個小的漏洞，他們也會仔細鑽研，企圖通過小小的漏洞找到突破口進入網路。他指出，國家黑客會等待機會趁虛而入，因為他們一直在鑽研，一直在等待機會，因此，
企業切勿掉以輕心。

此外，他還提出，企業應找出網路邊界，應思考引入設備的趨勢，例如物聯網、在家辦公訪問網路，這會導致出現互聯因素存在各種不同的管理控制，因此，要考慮信任區，例如雲計算可能會成為風險或帶來不利因素。當黑客進入網路之後就會開始進行初步利用，例如魚叉式網路釣魚，「水坑式」攻擊，利用已知CVE，SQL注入等。國家支持型攻擊者利用的媒介相當多，包括電子郵件、網站、可刪除媒體等，，因此，對員工的安全教育遠遠不夠，他建議使用反漏洞利用（Anti-Exploitation）功能，例如微軟的EMET（NSA內部推薦使用），利用軟體改進優勢（及時了解更新、補丁，後台活動等），使用Secure
Host Baseline（安全配置基線，例如Host緩解計劃，IED產品）等。

喬伊斯提出以下具體措施來應對國家支持型黑客的網路攻擊：

1．保護並監控登錄憑證訪問

登錄憑證是網路間諜實施網路釣魚活動和嗅探網路的關鍵。保護並監控登錄憑證訪問尤為重要，最佳防禦保護措施如下：

• 啟動雙因素認證，使登錄憑證竊取難上加難。

• 監控用戶，並檢查異常行為。

• 設置特定操作訪問網路。

• 盡量將特權賬戶數量控制在最小範圍內。僅為特定用於提供必要的特權。這些賬戶一旦被惡意利用，將會釀成大規模入侵。

• 避免硬編碼管理員和系統登錄憑證。雖然大多數現代協議不會以明文形式移交登錄憑證，因此，國家攻擊者正在尋找舊協議。企業必須尋找這些老舊協議，將其從自己的網路剔除，此外，應確保賬號和密碼不以明文形式體現，不要登錄某個賬號訪問其它服務執行其他活動。

2啟用並查看日誌

如果網路發生入侵事件，事件響應小組進入網路後發現日誌。如果能獲取日誌，就能對發生的事了如指掌。應啟用這些日誌，並進行查看。

日誌是關鍵，可以幫助企業理解是否遇到問題，是否有某人試圖闖入網路，並製造麻煩。

3使用信譽服務（Reputation Service）測試軟體

想在目標設備執行操作的一款軟體經過哈希處理，並存在雲端，信譽服務將確定軟體安全與否。

4使用信譽服務測試域名

大多數黑客工具一旦激活，便會企圖與域名通信，與自己的伺服器通信，返回成功入侵的喜訊，或帶回數據。

但是，如果企業網路在流量進入之前檢測並測試域名，阻止黑客工具將通信返回伺服器的可能性較大。如果某些服務正在評估信譽，如果無人企圖進入域名或內容老舊，那麼信譽將會是中立或負面的。

5阻止橫向網路活動

一旦入侵者進入網路，下一步就是橫向活動，搜索更有價值的登錄憑證或其它訪問許可權。阻止橫向活動對降低損害至關重要，其應對措施如下：

• 限制訪問許可權。

• 細分特權，以便網路的不同部分需要額外的認證。

• 在所有地方執行雙因素認證。

6掌控一切，切勿輕信

較好的網路採用合規連接確保遠程連接合法。有些網路可以確定遠程用戶的位置，並會質疑響應。

想像自己的網路易遭受攻擊，並已經被滲透，應思考：是否有措施了解誰入侵了網路或已經潛入網路？

7備份，備份，備份

數字攻擊形式多樣。某些攻擊試圖滲漏數據，獲取情報或獲利；其它攻擊只是普通的惡意攻擊。確保有離線備份，以防遭遇毀滅性攻擊。

喬伊斯多次強調，企業或組織機構要了解自身網路，這一點至關重要。國家支持型黑客會打持久戰，因此組織機構應持續防禦改進，繼而評估並改進。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。