从NSA保留网络
在刚刚完成的Usenix谜席安全会议上,Rob Joyce,Elite量身定制的接入业务(TAO)的负责人(TAO),提供了有关使工作更加努力的建议。去p。
这一环境令我令人惊讶的常规,考虑到他可以说,他是国家头部黑客。NSA是一个顶点捕食者(他的术语)和乔伊斯坐在顶部的顶头。
NSA的Rob Joyce
扰乱民族州黑客的大部分介绍由标准的最佳实践组成,但乔伊斯确实提供了幕后的一个小偷看。
虽然间谍滥用通常是未知的软件缺陷(A.K.A.零日漏洞)使得伟大的头条和电影,现实生活,根据乔伊斯,是完全不同的。他的特征在于使用NSA使用零日缺陷作为“不是很普遍”。
相反,Joyce说,NSAS的大量优势是他们的能力及其持久性。“对于大公司网络”,他说,“坚持不懈,焦点会让你在没有零日的情况下;有这么多的更多向量,更容易,风险更大,更高效。”
来自辩护的目标的NSA优势,例如没有观看日志,嵌入脚本,MIS配置设备,重用密码和网络管理员的纯文本密码,Don“T的基准在其内部构成正常的基准网络。然后,小洞可能被忽视,他说没有洞太小,不能在门里脚下。
NSA也是持久的。只要需要,他们将等待和测试和测试和探测。
有一个原因被称为高级持续威胁,“因为我们”ll捅了“,我们”我们“我”等等,我们等等。我们“重新寻找那个开放和那个完成任务的机会。他给出的一个例子是一个网络运营商,它为供应商提供了临时访问来处理问题。毫无疑问,他使用了这个例子,因为这是目标是如何遭到破坏的。
他越来越讨论了NSA的整体能力,我就越响给他们的对手。
许多技术人士都是懒惰,愚蠢和/或训练有素的消息不是新闻。在那些聪明,动力和训练有素的人中,有些人被伸展太薄,其他人受到他们工作所在组织的官僚主义,财务和/或政治的阻碍。否则如何解释新闻中的许多黑客和违规行为,毫无疑问,只有冰山一角。
乔斯斯说,NSA经常比设计它们的人更好地了解网络,比保护它们的人更好地了解网络。
我们将时间放入......要了解[网络]比设计它和保护它的人的人更好你会对网络上运行的东西感到惊讶。你认为应该在那里的东西。最后一点是有趣的,防守者知道应该在那里,NSA知道实际在那里。
我怀疑乔伊斯有一个观点。作为一个程序员,我可以证明可以通过感知来阻碍调试。写了一个程序的人看着它并看到了应该存在的东西。往往需要别人来看看实际在那里。来自乔伊斯所说的,网络也是如此;管理员将标签保留在他们了解的软件和设备上,而其他可利用的东西在雷达下飞过。
捍卫NSA
Joyce还提供了一些特定的防御性计算建议。
他推荐用于保护Windows机器的产品是EMET,来自微软的免费程序。NSA甚至在其网站上有一个EMET PDF,了解增强的缓解体验工具包
EMET抑制了目前通过高级持久威胁(APT)演员使用的攻击......EMET今天停止了大部分网络攻击。乔伊斯推荐EMET,因为它是一个良好的防守策略,或者,因为NSA有一个后门,使他们的工作变得更容易?那就是我的薪酬等级。
Joyce也高度发言 - 两次。
白名单与反病毒软件相反。也就是说,而不是允许所有软件默认执行并尝试阻止坏事,白色列表默认为阻止所有内容,并且只允许已知的好应用程序运行。
也许意识到观众的许多人认为白名单是不切实际的,乔伊斯在服务器上使用它暗示。通常,服务器运行更少的软件,而不是员工使用的计算机,并且该软件更频繁地更新,使得更容易维护白名单。
他建议白名单的另一个领域正在传播交通。默认情况下,公司通常允许所有传出请求,然后尝试阻止已知的坏域。我让他感觉到这是一个傻瓜的差事。
在违规之后,间谍必须打电话给家庭将其捕获的数据从渗透的网络中获取。他们在哪里发送它?可能,到世界上其他地方从未见过的域名。
因此,向前看出的域名的传出请求应该是红色标志并视为可疑。网络可能会违反,但如果它阻止被盗数据发送到Heythere.ihackedyourn.etwork.org,则损坏已最大限度地减少。我怀疑,在私人会议中,NSA建议默认情况下阻止所有从未见过的域名。
NSA入侵阶段5 - 横向移动
另外两件事joyce提到的是网络分割和信任边界。我认为这些意思是VLAN。
虚拟局域网,是一个较大网络的隔离段。如果发生违规,VLAN可以将坏人保持在网络内的侧向移动。也就是说,如果一个部门遭到违反,则VLAN会阻止感染传播到公司其他部位。你可以做出索尼的最糟糕的错误没有使用VLAN。
在最后的DEF CON会议上,我很幸运能够与Luiz Eduardo讨论网络架构,他们运行网络(参见Wi-Fi处理世界最危险的网络)。VLAN在攻击中捍卫DEF CON网络进行了大部分。会议上的每个演示者都在他们自己的VLAN上,还有更多的到位。
我最近在家里设置了一个VLAN。虽然我在我的LAN上的计算机中共享文件和打印机,但我没有与Wi-Fi平板电脑和智能手机分享任何东西。因此,我突出了我的路由器创建一个新的SSID,以三种方式隔离连接的设备。
首先,无线网络上的设备无法看到连接到路由器的以太网的任何内容。他们也被阻止从连接到路由器创建的其他无线网络连接的设备中被阻止。其次,孤立网络上的设备可以“甚至看到彼此。最后,虽然隔离的设备可以看到路由器(Internet访问所需的),但他们无法登录它。
净效果是该孤立的SSID上的Wi-Fi设备可以进入互联网,而不是别的。除了提供Wi-Fi的飞机,我的家庭网络更好地分段。
具有消费者路由器的人可能能够与访客网络获得同样的效果。我说也许是因为路由器实现了客户网络的方式存在巨大差异。有关更多,请参阅我最近的博客分享或不分享 - 查看访客Wi-Fi网络。
另一个有趣的积分乔伊斯制作,是没有云的东西,只有其他人的电脑。他没有展开这种情况,但我提醒它,即云服务就像Dropbox一样,Google Drive,Box,Microsoft Onedrive,Apple iCloud和Amazon Cloud Drive可以作为规则阅读存储在其计算机上的文件。
受害者让NSA进入
频繁,NSA不会破坏网络,受害者让他们进入,以最明显的方式 - 电子邮件和网页。
至于电子邮件,Joyce重复了应该是书呆子Mantra的短语:不要点击该链接。除了NSA和糟糕的家伙世界范围内占据同样的战术 - 网络钓鱼之外,这没有什么新鲜事。而且,它的运作频率很远。
使用受感染的网页有点有趣。
我在别处阅读攻击者学习与目标组织的员工流行的网站,例如街对面的餐馆,然后用恶意软件感染这些网站。据说NSA的陶锁(不是乔伊斯,当然)更先进。
他们可能在随时随地坐在网络上,而不是触摸餐厅网站。当受害者试图访问餐厅网站时,NSA拦截它并与他们的黑客版本响应。
Joyce没有为防御恶意电子邮件和网页提供咨询。
我的建议是我怀疑任何公司都将实施 - 将网络浏览和电子邮件限制为VLAN隔离设备。由于这些设备是最有可能被感染的,因此他们不应该进入公司LAN。
受害者让NSA进入其网络的第三种方式也不令人意外:可移动媒体。如在机器人先生的第二集中所见,不要从陌生人那里拿走CD。
最后一招
如果NSA更好地攻击,该怎么办比你在捍卫?
气隙。网络攻击者可以“t获取不在网络上的计算机和文件。
希望。