黑客可以通过社会工程获取网络访问权限,然后等待新的零日漏洞利用提权。
特权访问公司Thycotic就“黑进网络难和易”的问题,对参加黑帽大会的黑客做了调查。
受访者自行分为了三类:白帽子(70%)、灰帽子(30%)和黑帽子(5%)。白帽子自认为是“道德”黑客——运用自己的技术和知识做好事。但还有一类虽然也是道德的,却也承认会越界。他们的动机依然是捍卫公众利益,但有时候其操作实际上是违法的。
我们想更好地理解黑客的类型以及他们从事黑客行为的动机。
这类黑客一般都是独立研究员,因为倾向于通过匿名渠道报告其发现,他们的工作通常不被承认。
至于黑帽子,那就是出于恶意和为谋取个人利益而黑了。仅5%的受访者承认自己是黑帽子,但他们都不是全职罪犯。黑帽大会一直都在司法机构的监视之下,其中无正当职业的参会者就是他们的重点监视对象。
那5%的黑帽子基本都有合法的日常工作,还可能是被雇主派来参加黑帽大会的。这一点与Malwarebytes今年夏天的发现相符合——很多公司都有一两个兼职暗黑工作的雇员。
我们想要了解的另一个领域是紧跟最新软件更新能否防住黑客,尤其是当前操作系统是否很容易被黑。我们咨询了受访黑客,问他们在过去12个月中都攻克了哪些操作系统。
真正令人惊讶的是,Windows 10 这种微软最新最安全的操作系统也很容易被黑客加以漏洞利用。被黑的操作系统中1/3以上不是 Windows 8 就是 Windows 10。这与使用补丁完整的最新系统就保证安全的普遍认知相悖。
受访黑客最常用的黑客方法是社会工程(56.03%)——比用零日漏洞方便也便宜得多。黑客们承认,50%的黑客操作中都发现有雇员重用在别的数据泄露中曝过的口令,让他们很容易登堂入室,潜入目标公司网络。
很明显,用户直到现在都没弄明白口令使用中的弱点。强口令可不仅仅是乱序字符,还必须是复杂、独特且没被黑过的。
调查还发现,社会工程方法并不会自动给黑客带来特权访问和完整的网络控制权。黑客先得到访问权,然后等待新的零日漏洞利用供他们提权。
比如说几周前披露的一个 Windows 10 零日漏洞就意味着,过去几周里有非特权账户被黑的很多公司都有可能迎来其网络的大规模沦陷。社会工程只是让黑客跨进一只脚,他们还要等着用户的错误配置或是可以轻松利用的新漏洞出现,才能进行到下一步。
勤打补丁也防不住被黑,以及大部分黑客事件始于社会工程,就是这次调查的两大发现。这些发现还导出了一个主要结论:公司企业需采用零信任操作。
去年的调查揭示最小特权原则和多因子身份验证会给黑客制造障碍。但今年的调查中75%的公司企业依然没有采纳该行之有效的方法。零信任意味着自动假设账户已被黑,需通过多因子身份验证来证明清白。在从互联网进入企业网络和从企业网络的一个部分进入另一个部分时都会应用该操作。
最小权限原则和零信任的结合会让黑客举步维艰,他们会知难而退,转去攻击其他更容易些的目标。至于已经社会工程到低权限账户只待可提权零日漏洞的黑客,他们会发现想要再进一步又得从头再来一遍。
网络罪犯每次重登网络都要再通过一遍身份验证挑战,不得不使用多种更复杂的方法来继续攻击。最小权限与零信任的结合不是100%的防护保证,但是对日常黑客攻击的有力遏阻。
Thycotic公司调查报告地址:
https://go.thycotic.com/l/101722/2018-09-12/5gf8wq/101722/74015/Report_2018_Black_Hat_Survey.pdf
相关阅读
