青岛正达电脑维修服务公司
首页 | 联系方式 | 加入收藏 | 设为首页

服务项目

联系方式

联系人:杨先生
电话:0532-4634556
传真:0532-4634556
邮箱:service@jialinwallclock.com

当前位置:首页 >> 电脑常识 >> 正文

数据如何不翼而飞

编辑:青岛正达电脑维修服务公司   时间:2013/06/25   字号:
摘要:数据如何不翼而飞
大多数人都认为应该防止黑客的入侵,但是一旦黑客进入了内部,又是如何将数据弄到外面的?Trustwav公司SpiderLab研究向我揭示的答案往往非常简单。
网络犯罪分子在攻击的方法上变得越来越复杂。也往往将此等同于数据潜回的方法。尽管移动设备或物理盗贼也可以利用,但是数据的潜回或输出通常都是网络渠道的系统上复制数据过程中发生的
SpiderLab2009年对24个不同国家的200起数据违规事件进行了调查。虽然网络犯罪分子从违规环境中获取数据的方法多种多样,但是入侵某个环境的方法往往都是通过远程访问那些被目标企业使用的应用程序。SpiderLab调查中,45%违规事件是因为远程访问应用而使系统遭到违规的并且不是零日漏洞攻击或复杂的应用程序漏洞,攻击现象看起来与IT员工和CEO外出过程中远程连接网络并无太大差异。攻击者也不需要通过蛮力获得账户。SpiderLab发现,90%攻击事件得以成功因为供应商违约或易被猜透的密码,例如"temp:temp"或"admin:nimda"
一旦确立一个立足点,攻击者往往使用网络列举工具。网络列举工具往往被攻击者用来挖掘同一环境中的其他目标或检索系统信息用,例如用户名、组权限、网络共享和可用服务。如果列举工具收集到噪音就可以排除受到攻击的可能。糟糕的发现多数机构都没有适当地对自己的系统进行监测,因此无法觉察到这些现象。
作为一种工具,可以让攻击者通过可信的私人电路进入别的酒店物业系统。不法分子随后利用内部连接,最终导致那些物理分布比较分散的站点的数据被违规。
一旦攻击者获得目标企业的访问权限,就会使用手动或者自动的方法获取数据。使用手动方法可以盗取有漏洞的数据库和文件,使用特定的关键字进一步确定数据就可进行操作系统的搜索。
自动的方法主要是编写专门的恶意软件,利用处理机密信息的应用程序的安全控件中的漏洞来达到目的一般来说,许多应用的安全设计并不适用于别的控件,数据处理组件的报警功能也不明确。虽然数据是由目标系统处理的但可接收、储存加密数据并将数据传输到上游主机的目标系统易受到数据违规。这是因为系统处理数据必须被解密为RA M以便应用程序可以使用。这一过程中,2009年网络犯罪分子多次使用RA M解析器。67%SpiderLab调查与恶意软件有关,说明自动工具被用来获取非RA M数据。
如何应对
平均来说,网络犯罪分子获取目标系统或数据访问权限的时间是156天。这段时间内,攻击者进入环境,设置他工具来移动数据,并在IT人员或部门对他行动采取行动之前获取数据。2009年的一些调查显示,一些网络犯罪分子经常在三年内频繁活动。2009年比较典型的长期的检测,似乎还运用了一些知识,网络犯罪分子的活动不是隐形的
38个案例中,网络犯罪分子使用远程访问程序方便第一次进入提取数据。其他现有服务,如本地FTP和HTTP客户端功能,也经常被用来进行数据渗漏。尤其是当恶意软件被用来数据渗漏的时候,FTPSMTP和IRC功能就会被定期观察。对特制恶意软件进行逆向分析的过程中,二进制会泄露FTP功能的存在包括硬编码IP地址和证书。有了现成的恶意软件,如按键记录器,攻击者往往用内置的FTP和邮件功能渗漏数据。当邮件服务被用来提取数据的时候,攻击者往往会直接安装恶意的SMTP服务器到遭受违规的系统中,以确保数据可以正常地传送。
只有个别情况的数据渗漏使用了加密渠道,进一步表明犯罪分子不关注警报是否存在由于本地可用网络服务的存在以及缺乏适当的出口过滤并且使用了不适当的系统检测做法,犯罪分子往往使用可用的网络服务或安装他自己的基础服务。
很显然,所有的案例中,敏感数据被输送到目标环境之外。这一过程中,IT安全团队根本不会监测到数据泄漏的发生。
寻找攻击迹象的时候,IT安全团队似乎期望情况时复杂的而攻击者往往非常简单,甚至可能在例行的日志审查中表现为“良性”数据没有离开目标环境之前,不会有迹象表明遭到违规。密切关注“标准”系统的正常”活动行为是避免亡羊补牢的重要措施。应该用怀疑的视角审视每一个不正常的行为并通过内部调查的做法解决问题,如果必要的话还应该请外部专家进行再审。
上一条:特殊内存故障的解决 下一条:如何让你的电脑百毒不侵