来自中小业务真实攻击案例中的安全经验
作者:星期二, 十月 14, 20140

0

在近期发生的社工(社会工程学)案例中,DDoS攻击和域名被盗占据了头条。尽管有时我们所幸逃过一劫,但大多时候我们都会蒙受不少损失。本期安全讲堂将以真实安全为基础,讲述四点经验来避免企业的业务遭受黑客的攻击和破坏。

在网络攻击横行的互联网世界里,黑客攻击已不再是新闻,数以百万计的个人用户为此需要花费大量财力去修复攻击破坏带来的损失。

对企业安全防护有所了解的话,我们会发现大型组织和金融机构通常很少对中小型企业提供实质性的安全防护措施,尤其是一些中小型企业经常部署一些与公司不同的技术,但同时又要求规模较小的IT团队承担更多的工作。

但小型企业也不应在安全上打折扣。的确,现在即使在非技术领域,技术也已经无处不在。成熟的云计算服务让我们可以快速建立一个在线系统,而不仅仅是能够上网这么简单。这种高度数字化的业务模式也给在线黑客以可乘之机,他们可以轻而易举给我们造成无法估量的损失。

为了解决这些中小型企业中的棘手问题,我们首先来重点关注几个现实生活中常见的安全场景,然后找到解决问题的方法。

警惕基于云账户的社会工程学

Naoki Hiroshima是一名开发人员,一次黑客精心设计盗取了他的Twitter用户名(@N)并劫持了他的GoDaddy账户,他的账户曾经收到一个来路不明的$50,000的现金出价。黑客之所以要盗取GoDaddy账户的原因是GoDaddy账户中可以访问目标Twitter账户的密码重置邮件地址。

尽管这次复杂的攻击没有成功,这得益于Hiroshima及时更改了用于重置密码的预定义邮件地址——其实,他从一开始就应该放弃使用Twitter访问GoDaddy账户的方式,以保证GoDaddy账户控制访问多个域名和网站的安全性。

黑客究竟是如何通过电话,以社会工程的方法进入PayPal进而得到信用卡号码的最后四位数的呢,这点很让人好奇。这些信息在黑客控制Hiroshima的GoDaddy帐户时,被利用通过GoDaddy的验证。(GoDaddy承认其在事件中的作用,但是PayPal没有。)此时,黑客已经可以炫耀自己成功了。

幸运的是,事情的结局还不坏——Hiroshima 的数据并没有丢失,这次事件病毒式的快速传播引起了Twitter管理员的注意,在管理员的帮助下他找回了他的Twitter用户名(@N)。

警惕黑客将数字系统作为人质

一名黑客通过弱口令进入亚马逊的EC2控制面板操作,让提供代码托管和软件协作的云服务突然无法提供服务,黑客的目的可能是敲诈。当维护团队试图恢复控制面板时,黑客进行了报复性的随机删除构件操作。控制面板修复后,黑客又删除了大部分的在线存储卷和机器的图片、所有备份和快照。由于没有办法恢复删除的数据——亚马逊让用户承担没有备份而带来的所有损失。

从上面的例子中,我们不难意识到较弱的口令安全习惯和不启用Amazon的多因素身份认证问题是非常危险的,同时,我们还应该注意离线备份的重要性,至少备份那些容易被黑客和恶意员工轻而易举破坏的信息。云服务用户代码丢失的后果我们不敢想象,但是,这从另个方面也提醒了我们,在数据备份上不要完全信任云服务提供商,而要依靠我们自己。

警惕黑客盗取域名

Jordan Reid是一名全职博客写手,他发现通过盗取已建立的小型企业的网络域名可以赚钱——因为在今年初,他支付了30000美元才买回了原来属于自己的域名。网络小偷通过窃取Web host HostMonster的电子确认邮件窃取Jordan Reid的域名,然后将域名在GoDaddy.中转为私有账户所有。

Reid的朋友在某在线拍卖网站上偶然发现其域名正在被一个匿名用户出售,才将此事告知Reid。事后,尽管Reid和GoDaddy和HostMonster多次协商,但双方都表示无能为力,并拒绝提起申请找回域名,其实就是为了避免承担责任。

最终,Reid只能自己解决问题,通过朋友从黑客手中买回域名。一旦域名得手,立刻把域名转移出去,并成功叫停了电汇付款。简而言之,她通过黑吃黑的手段避免了一个昂贵的、旷日持久的申诉过程。

这个故事的寓意是什么呢?你的域名可能是比你想象的更有价值,而且,想要你的域名失而复得并不像你想象的那么简单。也请不要忘记,一旦对域名控制,黑客就可通过修改记录指向自己的服务器,并截获你的所有电子邮件。因此,小型企业与其事后哀叹失去域名的损失,不如及早进行相应的安全防护。

通过身份验证和备份手段保护小型企业

从以上安全事件中,我们可以总结以下四个步骤,以保护小型企业免受黑客的攻击。这些方法仅仅是其中一部分,却简单实用。其核心就是让黑客和社会工程师远离你,去寻找其他目标。

1. 使用双因素身份验证

曾有一段时间双因素身份验证被认为是一种奢侈,只用于保护高价值的账户。对于近期在线数据保存,单一密码已经不再安全。更重要的是,所有的一切都可能是高价值目标,复杂的恶意软件可以自动感染智能手机,并自动获取网上银行账户的第二因素密码,可以悄无声息的将钱转走而不会促发任何警报。

2. 使用一个单独的密码重置邮箱地址

大多数的在线服务都要求备份邮件地址,用于密码重置。正如上文所述,使用通用的电子邮件地址之后,一旦将它攻破,将大大增加黑客获取邮件地址后带来的损失。

因此,请谨慎设置电子邮件地址,最好单独使用。为避免被黑客或社会工程师盯上,不要使用这个邮件进行日常信件交流和分享,并确保密码强度和双因素身份验证。

3. 保护好自己的域名

如果可行的话,可以考虑为隐私注册多花些钱。这将减少提供给黑客用于社会工程攻击或网络钓鱼攻击的可用数据量。有些域名登记提供域名锁定机制以防止未经授权的转移,这有时是个收费选项,当然这肯定是一个有价值的投资。

此外,自动续费注册域名可以有效防止一个域到期,以免落入他人手中。许多小型企业可能不注意,但旁观者可能使用自动程序锁定即将到期的域名,在到期后的几秒钟之内抢走域名,并向原主索要更多的价钱。请确保和该域名关联的管理邮件账户的安全,因为它有权批准转移到另一个注册账户。

4. 定期创建离线备份。对于今天的在线存储服务来说,创建定期备份重要的数据仍是必要的。

离线存储或存储在黑客不容易轻易访问造成破坏的位置。存储介质也是各种各样,如,直接挂载式存储如便携式硬盘驱动器、网络挂载式存储(NAS)设备、磁带驱动器,甚至是一个由不同种类证书保护的单独的在线服务。

此外,还有些可行的但稍微有些麻烦的方法,例如,使用不同的信用卡用于支付不同的服务供应商,确保云提供商保持独立的身份。

由此得出结论,对于小型企业必须在信息安全和便利性之间做出权衡和决策,以防止黑客利用其系统弱点进行攻击,信息安全这场没有硝烟的战争永不停止,但是随着我们的不懈努力,

我们有理由相信,小型企业会在战争中全身而退。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章