怎樣整頓您的基礎(chǔ)設(shè)施，以擺脫腳本式攻擊

David+Geer

利用豐富的資源發(fā)現(xiàn)攻擊，整頓松垮的基礎(chǔ)設(shè)施。

據(jù)F-Secure的“2017年網(wǎng)絡(luò)安全狀況”報告，犯罪黑客使用基本的腳本式技術(shù)對維護(hù)不良的基礎(chǔ)設(shè)施進(jìn)行網(wǎng)絡(luò)攻擊。只要存在攻擊腳本以及大量安全性不高的網(wǎng)絡(luò)，這種情形就會持續(xù)下去。

SafeTreach首席技術(shù)官和聯(lián)合創(chuàng)始人Itzik Kotler說，攻擊腳本的數(shù)量正在攀升，因為黑客精英不斷開發(fā)這類腳本并將其賣給其他人。這種趨勢看起來沒有任何停止的跡象。

那么什么是腳本？

腳本式攻擊就是使用腳本。卡內(nèi)基梅隆大學(xué)SEI CERT部門的團(tuán)隊負(fù)責(zé)人Michael Cook說：“腳本是一系列自動執(zhí)行的命令或者計算機任務(wù)。”利用腳本，攻擊者能夠編排好很多同時進(jìn)行的攻擊，否則他們必須手動執(zhí)行每一攻擊，每次一個。

攻擊者從幾種腳本語言中選擇他們的腳本，包括Bash、Ruby、Python、PowerShell、Visual Basic、JavaScript等。Cook說，所選擇的語言可以是他們最熟悉的、最適合攻擊路徑中必要步驟的，也可以是與他們計劃攻擊的系統(tǒng)兼容的語言。因此，攻擊者會在其攻擊中使用多種腳本語言。Cook解釋說，攻擊者還可以使用打包器，使腳本在不兼容的環(huán)境中工作。

攻擊者使用腳本自動完成攻擊的每個階段。Kotler說，一些腳本是掃描程序，執(zhí)行ping掃描以確定某些IP地址范圍是否存在并連接了網(wǎng)絡(luò)；掃描程序還執(zhí)行端口掃描以發(fā)現(xiàn)正在運行的服務(wù)是哪種類型。Kotler解釋說，如果運行的服務(wù)版本有漏洞，腳本甚至可以啟動適當(dāng)?shù)氖侄蝸砉粼撀┒础?/p>

腳本的功能不僅這些。據(jù)Kotler，腳本可以使用DNS枚舉功能來列舉出潛在的目標(biāo)——這一過程識別DNS服務(wù)器并收集服務(wù)器信息，執(zhí)行強力攻擊，使用SSH或者遠(yuǎn)程桌面工具上的常用用戶名和密碼進(jìn)行遠(yuǎn)程登錄。

安全專業(yè)人士可以參考很多網(wǎng)絡(luò)資源，以戰(zhàn)勝腳本式攻擊。可以在CERT上找到關(guān)于新攻擊的提醒，并跟蹤下去。OWASP會發(fā)布定制的Web應(yīng)用程序攻擊。可以使用CVE詳細(xì)信息來跟蹤新的漏洞。Kotler說，您可以關(guān)注推特和IRC渠道上的對話，以及GitHub上的項目和項目研討。Kotler補充說：“SafeBreach維護(hù)著一本黑客手冊，跟蹤黑客使用的最新技術(shù)。”

黑帽黑客的目的

VMware的高級工程架構(gòu)師Dennis Moreau說，腳本技術(shù)甚至可以使腳本小程序編排好網(wǎng)絡(luò)攻擊的整個生命周期，包括識別潛在的受害者、編排攻擊、偵察、識別下一個受害者、偷取數(shù)據(jù)和攻擊后清理。Moreau說：“舊金山MUNI攻擊提供了一些實例，包括銷毀證據(jù)（在票據(jù)終端）、勒索軟件（勒索后恢復(fù)功能），以及偷竊和利用員工信息等。”

Cook說，腳本足以破壞計算機，構(gòu)建出用于DDoS攻擊的僵尸網(wǎng)絡(luò)，收集信用卡信息或者其他PII，還能夠在勒索軟件攻擊中對重要文件和系統(tǒng)進(jìn)行加密。Cook指出：“攻擊者付出一定的成本來編寫攻擊腳本，之后就能夠成功地訪問大量的系統(tǒng)，在攻擊目標(biāo)上獲取其最大利益。”

黑帽黑客可以輕松地定制他們的腳本。當(dāng)針對企業(yè)開發(fā)其基于腳本的攻擊時，犯罪黑客可以采用新手段成功地完成攻擊。Kotler解釋道：“通過嵌入這些自動化的方法，并在其上添加一個未打補丁的新漏洞，例如，零日漏洞，黑帽黑客可以創(chuàng)建新的自我傳播蠕蟲。”

整頓您的基礎(chǔ)設(shè)施，以對抗腳本式攻擊

Kotler說，為整頓您的基礎(chǔ)設(shè)施，可以采用與犯罪黑客所使用的相同的過程——即，自動化過程。Kotler說：“通過自動手段并模擬對手，公司能夠了解攻擊者的意圖，預(yù)先主動找到問題，或者在無法修復(fù)時進(jìn)行監(jiān)控。”

Cook說，為準(zhǔn)備好應(yīng)對腳本式攻擊，首先要了解您的網(wǎng)絡(luò)。通過頻繁的安全掃描、網(wǎng)絡(luò)映射、帳戶權(quán)限審核和滲透測試來發(fā)現(xiàn)漏洞。使用全面的補丁管理功能、正確地配置并強化系統(tǒng)來解決漏洞問題；重置權(quán)限，使用戶和設(shè)備只擁有完成工作所需的最低權(quán)限。 所有這一切使企業(yè)能夠關(guān)閉安全漏洞，減少漏洞，發(fā)現(xiàn)網(wǎng)絡(luò)問題，并建立寶貴的安全環(huán)境，借助有限的資源做出明智的安全決策。進(jìn)一步的工作步驟包括了解您的系統(tǒng)、組件和服務(wù)應(yīng)該做什么，不應(yīng)該做什么，在此基礎(chǔ)上在防火墻、IPS和Web應(yīng)用防火墻上實現(xiàn)最低權(quán)限安全策略，作為最基本的網(wǎng)絡(luò)安全環(huán)境，同時定期檢查這一策略。

Moreau說，您還應(yīng)該對數(shù)據(jù)中心進(jìn)行劃分，以防止一次成功的攻擊侵散到整個數(shù)據(jù)中心。把這種分段式的劃分作為基礎(chǔ)，實現(xiàn)數(shù)據(jù)中心（東/西流量）內(nèi)雙向數(shù)據(jù)流的可見性并進(jìn)行控制。Moreau說：“結(jié)果的可見性將顯示出攻擊期間的異常行為，這些行為會嘗試避開/擊敗您的端點保護(hù)措施；利用安全分析解決方案把顯示出來的網(wǎng)絡(luò)行為與正常行為以及潛在的惡意行為模式進(jìn)行比較。”

CIS基準(zhǔn)測試頁面等可靠的網(wǎng)站提供了關(guān)于擊敗腳本技術(shù)的詳細(xì)信息，針對各種平臺提出了安全（強化）配置建議。其他可參考的網(wǎng)站包括提供免費安全評估的CERT、提供有關(guān)新攻擊資料的Carnegie Mellon，而IEEE上有關(guān)于網(wǎng)絡(luò)安全實現(xiàn)的文章。