从NSA保留网络
奥巴马政府推动更多计算机科学教育
卡车后方的三星展示让车在前方看路后面
CIO采访:Stefan Stigendal,Samhall
Netgear NMS300网络管理系统中发现的严重缺陷
技术公司敦促进一步改进窥探者的宪章
沃尔沃测试在伦敦的自驾车
Verizon让SMBS在分期付款计划上购买智能手机
HPE报告奠定了网络刑事经济的裸机
移动世界大会的最热项目将不会出售
CCS技术产品框架专注于质量,而不是成本
动员劳动力推动绩效和生产力
公共云上升升起,但欧洲仍然落后于美国
微软的曲面手机肯定会来,但不太可能在MWC
Fortiguard SSH后门在更多的堡垒安全设备中找到
Microsoft将不支持许多没有Windows 10的Skylake PC
ViaSAT为欧洲空间机构连接卫星开发计划
Windows Live Mail WOES继续重新发布KB 3093594
安全研究人员警告服务器攻击赎金软件
学习的内存可以帮助明天的智能电脑
QA在伦敦推出网络攻击防御培训设施
谷歌在Chrome 49中提升压缩性能
安全合作密钥,说BFA-Bankia Ciso
钥匙执行将挣扎着奋斗
X-IO利用NVME开发超快速的Axellio闪存存储
Activist Lauri Love Faces命令透露加密密钥
戴尔的OS10旨在打开网络,然后是整个数据中心
Mingis关于Tech:无人机上升,底特律在移动 - 到硅谷
网络安全违规行为的三分之二英国企业,但董事仍未意识到
DARPA资助计划,因此电脑可以读取思想
是的,这就是Twitter如何拯救湮灭
CIO采访:Martin Uudelepp,Fonus Group
Centrica部署大规模Hortonworks集群以提高业务
三分之二的农民不需要使用“默认数字”农村支付系统
Apple报告记录Q1收入为75.9亿美元,但iPhone销量变平
Facebook建立了“体育体育场”以拉动足球迷
感谢Tech,商店正在发展到陈列室
SAINSBURY在出价上推出了技术技能的软件开发学徒
英特尔正试图削减对PC的依赖
AMD在2016年底之前首先推到高端台式机的Zen芯片
Lenovo在文件共享实用程序中修复了硬编码密码
谷歌表示,它在2015年造成780米的“糟糕广告”
IBM All-Flash系列获取云和企业A9000和A9000R
Portacabin的IT部门如何支持英国最大的关键基础设施项目
联邦贸易专员说,让我们看看我们的设备运行的代码
Hadoop峰会2016年:Motion中的数据管理Hortonworks路线图
AWS 10:云巨人如何震撼企业
预算:Osborne承诺为ONS数据科学枢纽获得10米
有企业软件吗?你可能是由于审计
VMware将800个作业从旧的“Blockbuster”计算产品中转换
您的位置:首页 >科技 > 物联科技 >

从NSA保留网络

2021-06-13 12:44:26 [来源]:

在刚刚完成的Usenix谜席安全会议上,Rob Joyce,Elite量身定制的接入业务(TAO)的负责人(TAO),提供了有关使工作更加努力的建议。去p。

这一环境令我令人惊讶的常规,考虑到他可以说,他是国家头部黑客。NSA是一个顶点捕食者(他的术语)和乔伊斯坐在顶部的顶头。

NSA的Rob Joyce

扰乱民族州黑客的大部分介绍由标准的最佳实践组成,但乔伊斯确实提供了幕后的一个小偷看。

虽然间谍滥用通常是未知的软件缺陷(A.K.A.零日漏洞)使得伟大的头条和电影,现实生活,根据乔伊斯,是完全不同的。他的特征在于使用NSA使用零日缺陷作为“不是很普遍”。

相反,Joyce说,NSAS的大量优势是他们的能力及其持久性。“对于大公司网络”,他说,“坚持不懈,焦点会让你在没有零日的情况下;有这么多的更多向量,更容易,风险更大,更高效。”

来自辩护的目标的NSA优势,例如没有观看日志,嵌入脚本,MIS配置设备,重用密码和网络管理员的纯文本密码,Don“T的基准在其内部构成正常的基准网络。然后,小洞可能被忽视,他说没有洞太小,不能在门里脚下。

NSA也是持久的。只要需要,他们将等待和测试和测试和探测。

有一个原因被称为高级持续威胁,“因为我们”ll捅了“,我们”我们“我”等等,我们等等。我们“重新寻找那个开放和那个完成任务的机会。

他给出的一个例子是一个网络运营商,它为供应商提供了临时访问来处理问题。毫无疑问,他使用了这个例子,因为这是目标是如何遭到破坏的。

他越来越讨论了NSA的整体能力,我就越响给他们的对手。

许多技术人士都是懒惰,愚蠢和/或训练有素的消息不是新闻。在那些聪明,动力和训练有素的人中,有些人被伸展太薄,其他人受到他们工作所在组织的官僚主义,财务和/或政治的阻碍。否则如何解释新闻中的许多黑客和违规行为,毫无疑问,只有冰山一角。

乔斯斯说,NSA经常比设计它们的人更好地了解网络,比保护它们的人更好地了解网络。

我们将时间放入......要了解[网络]比设计它和保护它的人的人更好你会对网络上运行的东西感到惊讶。你认为应该在那里的东西。

最后一点是有趣的,防守者知道应该在那里,NSA知道实际在那里。

我怀疑乔伊斯有一个观点。作为一个程序员,我可以证明可以通过感知来阻碍调试。写了一个程序的人看着它并看到了应该存在的东西。往往需要别人来看看实际在那里。来自乔伊斯所说的,网络也是如此;管理员将标签保留在他们了解的软件和设备上,而其他可利用的东西在雷达下飞过。

捍卫NSA

Joyce还提供了一些特定的防御性计算建议。

他推荐用于保护Windows机器的产品是EMET,来自微软的免费程序。NSA甚至在其网站上有一个EMET PDF,了解增强的缓解体验工具包

EMET抑制了目前通过高级持久威胁(APT)演员使用的攻击......EMET今天停止了大部分网络攻击。

乔伊斯推荐EMET,因为它是一个良好的防守策略,或者,因为NSA有一个后门,使他们的工作变得更容易?那就是我的薪酬等级。

Joyce也高度发言 - 两次。

白名单与反病毒软件相反。也就是说,而不是允许所有软件默认执行并尝试阻止坏事,白色列表默认为阻止所有内容,并且只允许已知的好应用程序运行。

也许意识到观众的许多人认为白名单是不切实际的,乔伊斯在服务器上使用它暗示。通常,服务器运行更少的软件,而不是员工使用的计算机,并且该软件更频繁地更新,使得更容易维护白名单。

他建议白名单的另一个领域正在传播交通。默认情况下,公司通常允许所有传出请求,然后尝试阻止已知的坏域。我让他感觉到这是一个傻瓜的差事。

在违规之后,间谍必须打电话给家庭将其捕获的数据从渗透的网络中获取。他们在哪里发送它?可能,到世界上其他地方从未见过的域名。

因此,向前看出的域名的传出请求应该是红色标志并视为可疑。网络可能会违反,但如果它阻止被盗数据发送到Heythere.ihackedyourn.etwork.org,则损坏已最大限度地减少。我怀疑,在私人会议中,NSA建议默认情况下阻止所有从未见过的域名。

NSA入侵阶段5 - 横向移动

另外两件事joyce提到的是网络分割和信任边界。我认为这些意思是VLAN。

虚拟局域网,是一个较大网络的隔离段。如果发生违规,VLAN可以将坏人保持在网络内的侧向移动。也就是说,如果一个部门遭到违反,则VLAN会阻止感染传播到公司其他部位。你可以做出索尼的最糟糕的错误没有使用VLAN。

在最后的DEF CON会议上,我很幸运能够与Luiz Eduardo讨论网络架构,他们运行网络(参见Wi-Fi处理世界最危险的网络)。VLAN在攻击中捍卫DEF CON网络进行了大部分。会议上的每个演示者都在他们自己的VLAN上,还有更多的到位。

我最近在家里设置了一个VLAN。虽然我在我的LAN上的计算机中共享文件和打印机,但我没有与Wi-Fi平板电脑和智能手机分享任何东西。因此,我突出了我的路由器创建一个新的SSID,以三种方式隔离连接的设备。

首先,无线网络上的设备无法看到连接到路由器的以太网的任何内容。他们也被阻止从连接到路由器创建的其他无线网络连接的设备中被阻止。其次,孤立网络上的设备可以“甚至看到彼此。最后,虽然隔离的设备可以看到路由器(Internet访问所需的),但他们无法登录它。

净效果是该孤立的SSID上的Wi-Fi设备可以进入互联网,而不是别的。除了提供Wi-Fi的飞机,我的家庭网络更好地分段。

具有消费者路由器的人可能能够与访客网络获得同样的效果。我说也许是因为路由器实现了客户网络的方式存在巨大差异。有关更多,请参阅我最近的博客分享或不分享 - 查看访客Wi-Fi网络。

另一个有趣的积分乔伊斯制作,是没有云的东西,只有其他人的电脑。他没有展开这种情况,但我提醒它,即云服务就像Dropbox一样,Google Drive,Box,Microsoft Onedrive,Apple iCloud和Amazon Cloud Drive可以作为规则阅读存储在其计算机上的文件。

受害者让NSA进入

频繁,NSA不会破坏网络,受害者让他们进入,以最明显的方式 - 电子邮件和网页。

至于电子邮件,Joyce重复了应该是书呆子Mantra的短语:不要点击该链接。除了NSA和糟糕的家伙世界范围内占据同样的战术 - 网络钓鱼之外,这没有什么新鲜事。而且,它的运作频率很远。

使用受感染的网页有点有趣。

我在别处阅读攻击者学习与目标组织的员工流行的网站,例如街对面的餐馆,然后用恶意软件感染这些网站。据说NSA的陶锁(不是乔伊斯,当然)更先进。

他们可能在随时随地坐在网络上,而不是触摸餐厅网站。当受害者试图访问餐厅网站时,NSA拦截它并与他们的黑客版本响应。

Joyce没有为防御恶意电子邮件和网页提供咨询。

我的建议是我怀疑任何公司都将实施 - 将网络浏览和电子邮件限制为VLAN隔离设备。由于这些设备是最有可能被感染的,因此他们不应该进入公司LAN。

受害者让NSA进入其网络的第三种方式也不令人意外:可移动媒体。如在机器人先生的第二集中所见,不要从陌生人那里拿走CD。

最后一招

如果NSA更好地攻击,该怎么办比你在捍卫?

气隙。网络攻击者可以“t获取不在网络上的计算机和文件。

希望。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。