這位NSA針對性入侵行動領導者極其罕見地由幕后走向臺前

　　你敢掃上圖的二維碼嗎？

美國國家安全局（簡稱NSA）向來以行蹤詭秘而著稱，但此次其精英針對性入侵行動（簡稱TAO）黑客團隊領導者直接走上Usenix的Enigma會議舞臺，講述了安全專家們的工作如何有效阻礙其日常工作。

Rob Joyce在過去二十五年中一直效力于這個“并不存在”的機構，并于2013年被晉升為TAO團隊負責人。他的職責是入侵由海外企業(yè)及政府運營的非美國計算機網(wǎng)絡。Joyce在此次網(wǎng)絡安全大會上的發(fā)言可以總結為以下一句忠告：

“如果大家希望切實保護自己的網(wǎng)絡，那么首先需要對其擁有透徹了解，包括存在于其中的全部設備及技術方案，”他表示。“在多數(shù)情況下，我們對于網(wǎng)絡環(huán)境的理解程度甚至高于設計并運行這些網(wǎng)絡的人員。”

國安局的這支精英團隊在嘗試突破目標時會采取一套六步式流程，他解釋稱。這六個步驟分別為偵察、初步突破、建立持久性根據(jù)地、安裝工具、橫向移動，最后對數(shù)據(jù)進行收集、篩選與利用。

在偵察階段，各特勤人員會檢查網(wǎng)絡的電路供給，并在特定情況下與其進行物理接觸。他們會探尋相關體系的關鍵負責人、掌握重要的電子郵件賬戶、網(wǎng)絡的擴展邊界以及持續(xù)監(jiān)控機制，直到發(fā)現(xiàn)可資利用的入侵漏洞。

“我們首先需要找到一道裂縫，我們會認真觀察以找出合適的下手位置，”他指出。“這也正是業(yè)界將此稱為先進持續(xù)性威脅的原因所在——我們會一直等待、耐心等待，直到找出適合自己的可乘之機。”

他們的目標是找出薄弱環(huán)節(jié)——無論其源自網(wǎng)絡架構還是在家中工作的員工所使用的未授權設備。另外，目標網(wǎng)絡可能還會與其它計算機系統(tǒng)相對接，例如溫控系統(tǒng)與通風設備，而這些都可能作為潛在的攻擊跳板加以利用。

各企業(yè)還需要高度關注云服務供應商，他建議稱。一旦大家與云廠商建立合作關系，也就相當于把自己的數(shù)據(jù)交由其打理，并依賴于供應商的安全保障體系，因此對其進行盡職調查在重要性上甚至高于內部調查工作。

在漏洞利用階段，初期關鍵性攻擊微量就是隱藏在電子郵件當中的惡意附件、來自網(wǎng)站的注入攻擊載體以及便攜式存儲介質——這最后一樣往往能夠穿越時空的阻隔，甚至能夠在未接入互聯(lián)網(wǎng)的設施體系當中發(fā)揮作用;伊朗已經用沉重的代價證明了Stuxnet的這種能力。

另一類常見攻擊向量則為尚未得到補丁修復的常規(guī)安全漏洞披露（簡稱CVE），他解釋稱。各企業(yè)都需要利用自動化補丁修復規(guī)范來保護自身免受國家支持型黑客活動的危害，他警告道。

“很多人認為由國家支持的攻擊活動往往將著眼點放零日漏洞身上，但這種作法反而不太常見，”他指出。“面向大型企業(yè)網(wǎng)絡的攻擊活動呈現(xiàn)出持久性與針對性，這意味著無需零日漏洞亦可實現(xiàn)入侵;目前可資利用的低難度、低風險、高效率攻擊向量還有很多。”

關于國安局自行收集到的零日漏洞，Joyce表示事實上該機構掌握的此類信息非常有限，而且每項新近被發(fā)現(xiàn)的漏洞都會由外部委員會進行評估，并審查相關軟件開發(fā)商何時需要得到通知并為其構建補丁。國安局方面對此并未最終決策權，他強調稱。

為了保護管理員盡可能免受鎖定困擾我們需要使用白名單應用、權限鎖定機制并盡快安裝修復補丁，同時通過聲譽管理工作降低后續(xù)影響。如果某位看似合法的用戶進行異常操作，例如首次訪問某些網(wǎng)絡數(shù)據(jù)，那么相關賬戶很可能已經被惡意人士所掌握，他表示。

以聲譽系統(tǒng)為基礎的管理工具在對抗惡意軟件時擁有出色的表現(xiàn)，Joyce解釋稱。基于簽名的殺毒軟件則無法保護大家在特定攻擊代碼片段中幸存下來，不過其與聲譽系統(tǒng)數(shù)據(jù)庫配合使用時則能夠發(fā)揮效果——如果特定代碼或者域名此前從未出現(xiàn)過，那么其很有可能屬于惡意活動的組成部分。

那些簡單攻擊手段出現(xiàn)并得以接入目標網(wǎng)絡的狀況發(fā)生頻率之高簡直令人震驚，他解釋道。很多機構會將管理員登錄憑證嵌入至腳本當中，很多網(wǎng)絡體系根本不具備任何隔離機制，亦有大量已經被報告至網(wǎng)絡日志中的異常活動根本沒有引起足夠的重視。

他舉例稱，美國國安局的黑客們曾經執(zhí)行過一次滲透測試，并針對相關安全漏洞提交了報告——但在兩年之后再度進行測試時，他們發(fā)現(xiàn)同樣的問題仍未得到解決。他回憶稱，當國安局的黑客團隊再次回歸時，第一項任務就是檢查此前曾被披露的漏洞，而令人驚訝的是多數(shù)情況下其仍未接受補丁修復——即使有關各方已經收到了早期警告。

一旦接入網(wǎng)絡之內，下一階段的任務就是建立永久根據(jù)地，這主要通過建立軟件運行線或者突破其它應用程序來實現(xiàn)。根據(jù)他的說法，應用程序白名單是應對這一攻擊階段的關鍵性手段。

　　是時候收割你的數(shù)據(jù)了

接下來，攻擊者需要安裝工具以入侵網(wǎng)絡并收割數(shù)據(jù)。攻擊者工具箱中的第一款軟件就是信標編碼，其能夠以調用方式呼叫更多可怕的工具。IT管理者需要通過服務器日志關注這些蛛絲馬跡，并認真審查當前正被瀏覽的域名及網(wǎng)絡流量以收集警示信號。

有了接入能力與實施惡意活動的工具，下一階段在網(wǎng)絡中橫向移動以獲取目標信息。管理員可以通過鎖定網(wǎng)絡內包含有敏感數(shù)據(jù)之分區(qū)的辦法解決這類問題，同時認真管理用戶的訪問權限。

除了確保各位用戶只能接觸到與自身職責相對應的網(wǎng)絡區(qū)域之外，大家還需要考慮他們的實際位置以及正在使用的設備類型。即使是受到嚴格保護的網(wǎng)絡，一旦我們允許員工將家中安全性存在問題的筆記本處理工作，整套體系也將瞬間土崩瓦解——他提醒稱，允許自帶設備辦公的企業(yè)尤其需要注意。

最后，由國家支持的黑客需要在不被發(fā)現(xiàn)的前提下收集、篩選并利用數(shù)據(jù)。在這方面，網(wǎng)絡分區(qū)將成為決定安全命運的關鍵，因為長期存在的監(jiān)控機制與網(wǎng)絡日志檢查流程能夠確保攻擊者無法在不被發(fā)現(xiàn)的情況下獲取任何網(wǎng)絡流量信息。

異地備份也遵循此理——沙特阿拉伯的Aramco石油公司與索尼影業(yè)都因為未加重視而付出慘痛代價，他表示。考慮到國家性黑客活動對數(shù)據(jù)造成的嚴重破壞，定期備份應被各企業(yè)視為必要的優(yōu)先級事項處理，他指出。

最后，了解與網(wǎng)絡相關的一切是最重要的總結性論點，他表示，同樣重要的是IT管理員應始終保持懷疑論態(tài)度以審視潛在攻擊行為。Joyce的上一份工作是效力于信息安全局（簡稱IAD），旨在保護美國國內基礎設施免受攻擊侵擾，而他承認SCADA安全漏洞的存在一直讓他寢食難安。