漫长的较量

　　虽然以暴治暴也许能够遏制网络攻击威胁，但黑帽大会上的几位发言人表示，数据窃贼还是在轻而易举地潜入企业网络——在有些情况下，只要诱骗某个被盯上的受害者打开一封网络钓鱼电子邮件这么简单。据安全公司Mandiant声称，数据窃贼通过这个途径趁机而入，收集最有价值的信息；他们往往在几个月、甚至几年内有条不紊地着手这种攻击；所以想要将他们逮个现行，关键得有耐心。

　　Mandiant分享了其事件响应小组在调查中发现的一些结果，并且特别指出：数据网络窃取常常是个有条不紊的漫长过程，绝对不是抢来就跑的一次性事件。攻击者通常通过针对某一个员工的网络钓鱼电子邮件潜入进去，进而控制住基于Windows的计算机，然后开始在网络上四处搜索，寻找最有价值的数据，之后开始在已中招的机器上的“集结区”(staging area)收集数据，企图最终通过RAR文件之类的数据容器，将这些数据传送出去。

　　谈到攻击者如何偷偷将数据传送到网络外面的话题时，Mandiant公司的安全顾问Sean Coyne表示，在许多情况下，“攻击者在那里潜伏了好几个月，甚至好几年。”他特别指出，一家受到攻击的国防承包商事后发现，在几个月期间，超过120GB的数据(主要是Word文档)被人偷偷收集起来，攻击者挑选了一个集结区，把偷来的数据集中打包，然后用RAR、ZIP或CAB文件等数字容器发送出去。

　　他指出：“发送一个大文件要比发送几个小文件来得容易。大多数企业的IT用户完全没有注意到”，尽管他们可能在想为什么自己的计算机(被用作了集结点)突然速度似乎变慢了。

　　攻击者常常使用后门特洛伊木马和数据收集工具，比如一款名为Poison Ivy的工具。据Mandiant声称，但数据窃贼善于躲避，他们很多时候采用手动方法，而不是自动方法，避开安全控制措施，比如入侵预防系统或数据丢失预防(DLP)。

　　Mandiant的顾问Ryan Kazanciyan表示，他看到过这样一个案例：一家不幸中招的企业在使用迈克菲主机入侵预防系统来查找RAR文件，但攻击者发觉原来的攻击手法引发警报后，完全换了一种监视不到的攻击手法。

　　Coyne表示，“有些坏人会采用能想到的一切手法”，然后伺机将数据发送出去；有的人“对攻击手法精挑细选”。不过证据表明，如今的数据窃贼倾向于采用适合自己风格的惯用方法。

　　被问到旨在监视或阻止有人企图未经授权，将数据传送到企业外面的DLP工具在对付数据外泄方面是否有效时，Kazanciyan和Coyne都表示了怀疑。

　　DLP主要是用来“防止用户意外向外发送文件，”Coyne说。“它不是为了应对针对性攻击而设计的。”Kazanciyan表达了类似的观点。如果企业怀疑有数据窃贼在搞鬼，要做的头一件事就是“不要恐慌，”Coyne说。要是轻率地对网络进行改动，只会让攻击者起疑心，从而改变攻击手法。这是基于风险的决定；但暂时可能需要作出决定，监视被窃取的数据，不管这个过程有多痛苦，同时另一头悄悄地搜寻，查清楚攻击者在企业网络里面所做的手脚。

　　链接：安全注意事项

　　怀疑遭遇了网络窃贼？

　　下面是安全公司Mandiant在安全注意事项方面给出的几个要点。

　　要明白攻击者可能潜伏了好几个月，甚至潜伏了好几年；你的目的是要立即遏制对方。

　　调查工作需要侧重于查找证据，比如攻击者经常在使用RAR文件这种数据容器，将大量数据发送出去之前用来存储数据的集结区。

　　由于大多数针对性攻击是从针对员工的网络钓鱼电子邮件入手的，所以要加强安全教育和技术措施。

　　不要恐慌，因为那样攻击者会知道你盯上了他们，他们就会改变攻击手法。

　　不要匆忙清除电脑，并重新制作镜像，因为你可能毁掉了取证分析所需要的证据。

　　不要让你的网络仍然是“扁平的”——添加虚拟局域网之类的隔离环境会有所帮助。