趋势网(微博|微信)讯:9月30日下午13时30分,中国互联网大会(ISC)暨全球互联网安全精英峰会,在北京国家会议中心举行。新兴安全公司Cylance CTO、前澳大利亚电信公司首席信息安全官 Glenn Chisholm也来到大会现场,为与会者带来主题为“企业安全数据提取与安全算法应用(Steganalysis of the signal)”的演讲。
19岁孤儿被骗到郑州4天没吃没喝 浙大通报家庭困难学生晒旅游照 情侣亲密时酒店房间遭两男子闯入 兰州交大情侣楼梯间发生不雅行为 企业请离员工私生活远一点
图1:Glenn Chisholm在ISC大会发表演讲
近年来,由于索尼被攻击、Target超市数据泄露、婚外情网站Ashley Madison个人信息曝光等案例,企业安全问题受到了越来越多的关注。Glenn Chisholm此次的议题便是针对企业安全问题,向安全工作者提供识别、防御黑客攻击信号的方法。
善恶难分的良性信号与恶意噪声
信号和噪声是经常被提及的两个词语,为了了解某一信号的本质,需要在企业的各个层级去追踪该信号。“然而在大部分情况下我们会面临一个非常有趣的问题,你觉得是噪声,实际是公司业务信号”,Glenn Chisholm例举在追踪信号时所遭遇的问题,并给出他自己的答案:“你对企业信号的了解必须非常灵敏。”
图2:Glenn Chisholm深度解读企业面临的威胁
事实上,最了解这些信号的,却可能是攻击者本身。随着业务模型的变化、业务领域的拓展、客户服务的改变,黑客在发起攻击行为时,需要根据业务流程的更改而发生变化。所以,他们势必要了解企业时刻的变化,并借助其正常的信号,来隐藏自己发出的攻击噪声。
黑客在研究大量数据、根据网站和数据库分析IP站点后,便获得了伪装技巧,能够将攻击行为隐藏在良性信号当中。“你认为是良性的信号,它便利用该良性信号的保护来攻击你。”也因此,想查到攻击信号需要花费大量时间。
一对一与一对多的攻击方法
攻击者们花费巨大精力研究企业信号,自然有其目的。Glenn Chisholm表示,攻击者的攻击行为主要分为两种:一对多与一对一。前者噪声巨大,需要辨别哪些是隐藏在巨大噪声中重要的进攻行为;后者目的明确,攻击者会耗费大量时间去了解一个公司的业务,找到后门,分析漏洞,并发起攻击。
“一对多的目的主要是谋财,动静虽大却很难造成巨大影响;一对一则有可能出于金钱、事业或政治动机,攻击者会不计代价的向公司发起持久稳定的攻击。”在Glenn Chisholm看来,一对一攻击的危害,要远大于一对多。
在演讲尾声,Glenn Chisholm也透露了一些“简单的解决方法”:“使用正常的信号,点一些你不应该点的地方,找一些不正常的行为,我们就是这样在操作环境下寻找恶意软件,它可以很好的找到这些问题。”
除Glenn Chisholm,国家互联网应急中心副主任兼总工程师云晓春、美国中佛罗里达大学硬件安全及安全攻防实验室助理教授金意儿、以色列手机安全企业Kaymera CEO Avi Rosen、ISC大会执行主席360企业安全集团总工程师谭晓生等来自世界各地的安全精英,也现身全球互联网安全精英峰会,并一一发表了自己对互联网安全形势的真知灼见。