间谍是一个对于公众来说即遥远又贴近的词,无数的电影、电视将间谍刻画的神秘并且强大。众所周知,美俄两国曾为间谍问题吵得沸沸扬扬,但实际上间谍活动可能要比我们认知的更多。其中,电子间谍相对于传统间谍来说可能更加恐怖,试想贵公司的数据也许正在被外部间谍程序所监视,并且还有可能通过这些程序查找并利用你的竞争优势和弱点。
这听起来也许离你的公司还比较遥远,但电子间谍却是真实存在的。这是一种阴险的安全威胁,并且远比你可以认识到的程度更严重、更普遍。
作为一位IT或安全管理员,你应当判定贵单位是否受到无法检测的威胁的攻击,并且部署充分的技术和程序上的防卫,这些都应受到高度重视。
安全专家相信,越来越多的公司正受到源自其它国家的电子间谍的暗中监视。这些攻击的麻烦之处在于其技术通常都难以借助一般的安全工具检测。电子间谍设法在不造成破坏的前提下进入系统,以便于能够在一段时间内持续地搜集信息。
这些类型的威胁要比无目标的攻击更难以对付,因为它们就从没有普遍到让安全厂商重视的程度。结果,安全软件和检测已知威胁的其它工具无法确认这些威胁。此外,针对某个特定目标的攻击可被设计为绕过所部署的防御组合。发动电子间谍攻击的间谍们都花了大气力来防止受害者检测到威胁。
虽然问题深深地隐藏着,却真实而严重。下面我们重点讨论三个问题:谁在从事电子间谍活动,他们在寻找什么,为了保护自己你可以做什么。
电子间谍活动有多普遍?观察家们说,电子间谍正越来越普遍。麦克唐纳是一家从事计算机安全的公司Gartner的副总裁。他说,75%的企业曾受到或正在受到没有被检测到的攻击的感染。由于受到利益的驱使,这些攻击避开了传统的外围防御和主机防御。麦克唐纳说,拥有敏感信息的任何政府和商业单位都是目标。由于这种间谍活动是秘密进行的,所以并没有什么方法可以让人知道其范围。
谁在从事间谍活动?
即使检测到了电子间谍活动,也很难知道真正的攻击源。例如,如果你跟踪了一次攻击,到了一个特定的国家,结果却发现这仅仅是一台受到损害的充当代理或中继的计算机!
如今,多数安全厂商都在基于签名的检测设置中跟踪威胁,查找已知的部分病毒。但对于有些拥有资金和专门技术的国家,利用高级代码及其它的零日漏洞并不困难。
黑客论坛网站,如Hackerforum.com,提供了很多远程访问工具,准许黑客用简单几个步骤就可以控制一台电脑,而且还可以听到和看到用户的活动,用户却浑然不知。
网络间谍如何渗透进入你的系统?
一次典型的有目标的攻击将利用多种弱点,以实现其最终目标:通常就是窃取信息或损害一个特定的账户。通过一个精心伪造的看起来可信的email就可以使一个单位的特定账户成为目标,进而悄悄地在用户电脑上安装一个间谍软件。
有些攻击可能源自获取了公共信息并与信息有联系的黑客。虽然发到网上的每一个信息未必都是敏感的,但是在与网站上的其它数据以及其它公司所发布的其它信息结合以后,就会形成一种模式。
如果获得了用户的登录凭证信息或建立了一个监视点,攻击者就可以利用一个可从外部访问的系统的安全或配置漏洞,或者是应用程序的安全或配置漏洞。
攻击者还可以利用众所周知的或鲜为人知的技术漏洞。为了访问真正的敏感信息,他们可求助于行贿等策略。
在一次有针对性的攻击中,可以直接利用的系统或应用程序级的漏洞往往不只一个。一旦一个用户系统或账户受到损害之后,整个环境都会逐渐地被扫描一遍,直至实现攻击的最终目标。
通常,攻击者将监视软件安装在不太显赫的地方和系统中,例如一台日志服务器中,因为在这里传统的IT安全方法并不查找所谓的入侵。在此,攻击者收集数据并通过FTP等手段发送出去,由于每次发送的数据量很少,所以并不会引起正常通信的异常提高。
相关阅读