【IT168 评论】要打败黑客,有时需要一些创造力。很多恶意黑客已经严重影响了程序员的声誉,他们是über-geniuses,可以在几秒钟内猜出任何密码,黑掉任何系统,并通过单次点击造成多个不相关网络的广泛破坏......好吧,这都是好莱坞里的情节。如果和黑客打过交道,你就会发现其实黑客没这么无懈可击。
每年,有一部分黑客会尝试一些新技术,但大部分时间都是在重复尝试。它不需要supergenius来检查丢失的补丁或进行社会性攻击。一般来说,黑客是一个行业:一旦你学到了一些技巧和工具,其余的就是常规的。真正有灵感的工作是安全防守者,那些成功攻击黑客的人。
以下是计算机安全防御者对付黑客的一些技巧,很多陷阱,黑客很难不落进去。
1、数据驱动
数据驱动的防御已经存在多年了。但是,在过去几年里,使用数据更好地检测,定义和修复威胁的概念几乎活跃于每一个计算机安全厂商中。在这之中,云的发展确实有很大帮助,使得收集和分析大量数据变得相对容易。
很多公司,比如Crowdstrike,FireEye,CounterTack等,都可以通过分析网络数据流,注意到任何与已知不良网络的出站连接或环境中可能存在的任何高级持续威胁(APT)。微软的高级威胁分析可以确定黑客是否试图窃取用户的数据库登录凭据。有些公司可以通过观看全球数以万计的受管节点的活动来快速检测垃圾邮件,钓鱼链接和恶意软件,他们可以看到一家公司无法察觉的区域,如果您没有将数据纳入安全实践中,那么现在是时候采取措施了。
2、用假数据钓黑客
将内部公司系统的数据稍作修改后丢弃,并以此为诱饵让黑客劫持。毕竟,数据泄漏很难阻止,黑客也难以搜索到所有数据。使用数据泄漏预防(DLP)软件和外部站点来监控内部网络,并泄露一些假冒数据,并让黑客窃取,这是一个不错的想法。
比如,一家医院曾经修改了病人的姓名,并故意将部分假数据泄露出去,而黑客拿到了部分数据则心满意足的离开,医院还可以借此机会追踪到黑客。而只有医院高级管理层才知道,那些病人的姓名和信息都是假的。
3、用“蜜罐”养一个网站
如果上面的假数据被黑客识破,怎么办?没事,你可以部署一整套假网站,其中的所有数据都是伪造的。服务器、客户端、网络设备等等都很齐全,一旦这个网站建好,试图接近并从网站获取数据的所有人都应该被调查。
Cymmetria和KFSensor等公司提供类似的服务,存在数十种开放源代码可供选择。这些对黑客而言,看起来更加现实。
4、关注黑客发布网站
知己知彼,百战百胜。通过跟随黑客网站(如Pastebin)或黑客网站上的网站,你将获得有关新漏洞的洞察信息,甚至可以看到被窃取的信息。如果黑客数据存储包括你故意泄露的假数据,这就代表你的公司已经是黑客的目标之一了。这是一个很好的检测策略,将给你一些时间关闭漏洞,跟踪攻击者,并搜集足够多的证据。
除此之外,很多黑客的帖子包括成千上万的用户登录名和密码,通常是社交媒体和其他比较受欢迎的消费者网站,这对你来说也是一个很有价值的信息,可以根据公司内网上的数据使用密码测试,找到相应的员工。如果匹配成功,记得告诉员工不要在其他网站上使用和公司内相同的密码。
5、通过设置假电子邮件帐户来标记黑客
与假数据一样,您可以创建不能从公司外部搜索的假电子邮件帐户,不包括在任何组列表中。这样,他们只能通过内部来源访问,不被任何人使用或与任何真实账户相关联。监控发送到这些帐户的电子邮件实例,特别是从公司外部。它不应该收到任何电子邮件,所以发送给它的任何邮件都是垃圾邮件,或表示有人侵入了电子邮件系统。
6、把黑客推到黑洞,并监视他们的活动
黑洞是久经考验的安全血统,通过创建一个可以检测黑客活动被分流的位置,人为限制黑客的活动。您可以使用DNS或IP地址管理服务创建一个黑洞,当黑客(或恶意软件)访问不存在的DNS名称或IP地址时,例如扫描IP地址范围时,可以将黑客分流到 一个黑洞,配置任何数量的负性能,如严重延迟,数据包损坏,重传和超级分组碎片等。
7、设置诱饵陷阱,反获取信息