盡管棱鏡門事件已經(jīng)過去了近8年,,但數(shù)據(jù)守衛(wèi)的戰(zhàn)爭從未停止,,服務器數(shù)據(jù)竊取及其罪魁禍首“后門程序”仍在肆虐。
關于棱鏡門
棱鏡計劃(PRISM)是由美國國家安全局自2007年起開始實施的絕密電子監(jiān)聽計劃,,2013年6月,,這一計劃被前中情局(CIA)職員愛德華·斯諾登曝光,涉及多個國家,、多個領域的機密數(shù)據(jù)竊聽,。
在棱鏡門事件中,跟大眾息息相關的是,,斯諾登向美國《華盛頓郵報》披露的服務器數(shù)據(jù)竊聽事件,,根據(jù)斯諾登提交的資料,2007年-2013年6年間,,美國國家安全局和聯(lián)邦調查局通過進入多家網(wǎng)絡巨頭的服務器,,監(jiān)控公民的秘密資料,影響人數(shù)過億,。
盡管涉事方都矢口否認,,但棱鏡門事件在全球范圍引起巨大影響,對服務器數(shù)據(jù)安全的保護也從企業(yè)和個人層面,,提升到國家級戰(zhàn)略高度,。
沒有絕對的安全,,棱鏡門一直在身邊
曾經(jīng)一度有人認為,只要對服務器進行物理隔離,,就能避免數(shù)據(jù)泄露。其實不然,,隨著黑客攻擊手段的進步,,物理隔離環(huán)境已不再安全。電磁,、聲音,、熱感、光學和震動等多種邊信道攻擊方法,,以及供應鏈攻擊等,,都有可能導致隔離環(huán)境的數(shù)據(jù)泄漏。
黑客一般利用漏洞上傳后門程序,,或者在補丁及其他安裝程序中夾帶后門,,在成功入侵服務器后,二進制類后門(MSF,、CobaltStrike,、Mimikatz、Metasploit等)會執(zhí)行并收集數(shù)據(jù),,再通過外帶傳輸,、隱秘隧道等方式外傳數(shù)據(jù)。
近期備受攻擊者追捧的內存馬webshell,,執(zhí)行方式更為隱蔽,,其攻擊原理是在內存中寫入惡意后門和木馬程序并執(zhí)行。因為其利用中間件的進程執(zhí)行某些惡意代碼,,不會有文件落地,,屬于無文件攻擊的一種,反病毒引擎很難發(fā)現(xiàn),,給企業(yè)安全檢測帶來更大挑戰(zhàn),。
杜絕棱鏡門“四部曲”
后門雖然隱蔽性強、難以發(fā)現(xiàn),,但是做好防上傳,、防執(zhí)行、早發(fā)現(xiàn),、防外連4項工作,,就能有效防御后門利用,杜絕棱鏡門發(fā)生,。
?、俜郎蟼鳎呵袛嗪箝T上傳途徑
后門上傳的大部分途徑是Web流量,,但攻擊者一般會利用加密Webshell等方式做流量混淆,因此一般的WAF類設備很容易被繞過,。目前比較有效的方式是基于RASP技術保護Web中間件,,RASP插件一般作用于ASP、PHP,、Java等腳本語言解釋器內部,,通過HOOK函數(shù)的方式,跟蹤Web請求上下文,,識別可疑行為,,進行針對性的響應處置,能有效阻止利用漏洞上傳或創(chuàng)建后門程序,。
?、诜缊?zhí)行:免疫二進制后門
啟用白名單防護策略,自動學習已啟動應用清單,,并綜合威脅情報,、病毒告警等信息,快速識別出可信應用白名單,,非白名單應用,,如后門程序、勒索病毒,、挖礦病毒以及其他未知應用程序等將無法運行,,最終實現(xiàn)對二進制后門免疫。
③早發(fā)現(xiàn):及時體檢
也許很多企業(yè)的業(yè)務系統(tǒng)存在后門程序已久,,只是還未發(fā)現(xiàn),,此時給系統(tǒng)做一個全面的檢查就顯得尤為重要。國內有不少廠商可以提供這方面的服務或產(chǎn)品,,如奇安信基于“特征+行為”的雙重檢測引擎,,可以做到精準發(fā)現(xiàn)后門程序,還原后門攻擊途徑,,實現(xiàn)早發(fā)現(xiàn),、早治療的目的。
④防外連:將危害降到最低
在后門防治中,,切斷外連途徑是關鍵,,一方面防止數(shù)據(jù)外泄,另一方面阻止失陷服務器橫向擴散,,污染更多服務器資產(chǎn),。除了后門外,部分原本可信的白名單應用也可能存在非法外連、傳輸數(shù)據(jù)的行為,,因此要格外注意這些非法外連,,將危害降到最低。
數(shù)據(jù)安全無小事,,無論是國家政策層面,,還是實際業(yè)務層面,我們都應該在服務器端做好數(shù)據(jù)安全工作,,其中關鍵工作之一是要做好后門防治工作,,杜絕服務器棱鏡門再次發(fā)生。