虽然受经济利益驱使的互联网威胁一直让我们很不安,然而,Stuxnet让我们看到更令人担忧的事情:新型威胁旨在攻占和控制关键基础设施。
Stuxnet是迄今为止最为复杂的威胁,不仅在于它利用了“有趣的”防病毒规避技术以及复杂的过程注入代码,而且在病毒设计方面还利用了最新的漏洞,包括利用四个独立的零日漏洞以及专门针对可编程控制器系统的有史以来第一个rootkit。
然而,最值得注意的是,它是设计用语重新变成工业控制系统(用于管理工业环境的计算机程序系统,如发电厂、炼油厂和天然气管道等)。这是第一个已知的专门针对这些系统的恶意软件,目标是影响现实世界设备和工艺流程。
Stuxnet的终极目标是改变变频器(控制电动机转速的电源供应器)运行的速度,Stuxnet只针对具有以某种频率运行的驱动器的系统,改变驱动器的频率将有效破坏富集过程,并且有可能破坏离心机的运行。
Stuxnet构成的大部分威胁已经被瓦解,但是在威胁领域这种具有划时代意义的变化还是引起了很多人的不安。运行或者管理关键基础设施的企业可以从Stuxnet中学到很多知识。
以下是抵御这种新型攻击的一些建议:
- 利用基于声誉的检测技术。传统保护(例如基于签名的防病毒程序)是抵御最初威胁阶段的最常用方法。不幸的是,在每次新攻击之前,很多依赖于变异代码的现代化有针对性的恶意软件都进行了改变,并且对防病毒程序进行了测试以确保它能够规避检测。有些恶意软件甚至还利用自我变异代码,传统签名保护无法识别这种代码。另外,基于签名的检测在识别新型从未见过的恶意软件方面基本是无用的。这也是Stuxnet在初期阶段成功的原因。利用大规模数据(包含所有现有的好和坏的文件)库的基于声誉的检测系统能够筛选出未知的疑似恶意软件的程序。
- 利用托管安全服务的优势。很多安全供应商都提供托管安全服务,目标在于缓解安全运营的负担。对于Stuxnet,例如,托管安全服务能够检测包含.LNK文件的下载数据流量,而该文件可能与某种零日漏洞攻击有关。
- 部署和执行设备控制政策。这是高级端点保护解决方案的一个功能,设备控制为管理员提供了监控和控制设备行为的能力,通过创建和执行相关政策。由于出于安全原因,工业控制系统经常与互联网和整个企业忘了断开连接,USB通常被用于传输数据到这些系统,以及安装修复不定。Stuxnet编写者知道这个情况,而威胁传播的速度也依赖于这个事实。事实上,受感染的USB被某些粗心的承包商带入企业,就可能是导致这种威胁的传播。设备控制政策可以控制哪些设备和应用程序允许运行USB驱动器,如果设置正确的话,这样能够预防恶意可执行文件在系统上运行。
- 安装基于主机的入侵防御系统。直接在工业控制系统上安装入侵防御软件市预防Stuxnet攻击的另一个有效途径。这种基于主机的入侵防御系统能够检测工业控制系统的可疑行为,并且在必要的时候锁定系统,防止新的恶意软件被感染。很多工业控制系统开发人员都不愿意加载第三方软件,他们需要验证和提供支持,但是面对Stuxnet,开发人员们必须建立更好的合作共同抵御攻击。
- 确保及时的软件证书撤销更新。为了进一步规避检测和更深入目标系统,Stuxnet利用两个盗来的数字证书,一个来自Jmicron,另一个来自Realtek,来设法使自己看起来像合法程序。这些证书都已经被吊销了,但是如果系统没有及时更新证书撤销信息,Stuxnet使用的证书仍然会作为有效的证书。未来威胁可能还会利用被感染的证书。
- 使用端点管理软件来确保及时的安全修复。如前所述,Stuxnet(与很多有针对性和非针对性的攻击一样)通常是使用之前的未知的软件漏洞来获取对可疑系统的访问权。安全更新能够解决被Stuxnet利用的漏洞,但是只有当真正安装修复补丁后,系统才能避免这种威胁。端点管理软件可以帮助管理安全修复,并确保进行了正确的部署。特别是对于那些过时的漏洞,因为这些常常被大家忽视,成为攻击者的有利工具。
- 利用有效的数据丢失防御解决方案。数据丢失防御技术专门用于发现和预防内部数据泄漏事故。很多数据泄漏事故都是因为内部人员无意识泄漏造成的结果。如果不使用数据丢失防御技术来检测这些泄漏事件、清除它们和加密信息,会让攻击者的工作轻松很多。对于Stuxnet,为了攻击特定企业,攻击者就需要描述目标企业运行的系统以及配置的重要数据。通过防止攻击者获取这些数据,我们就可以抵御类似攻击的发生。
- 如果可能的话,部署自动化合规监测来杜绝默认密码的使用。一些工业控制系统生产商坚持在它们的系统中使用默认密码设置。这可能是出于正当理由,但是Stuxnet就恰恰利用了这个明显的弱点。因为Stuxnet针对的是特定工业控制系统,而这些默认密码通常是大家知道的,这很容易被攻击者获取。在没有使用默认密码的环境(希望这种情况能够增加),自动合规监测可以控制默认密码设置,确保没有使用默认密码,而且还能够发现尝试猜测密码的情况。
Stuxnet非常复杂,需要大量资源来开发,很少有攻击者能够制造出类似的攻击,因此,我们应该不会看到类似复杂的攻击突然出现。然而,Stuxnet这样的攻击对现实世界造成的威胁是显而易见的。
这个威胁表明针对关键基础设施的攻击不再只是“纸上谈兵”,而是完全可能发生的,并且会越来越多。
译文链接:http://www.searchsecurity.com.cn/showcontent_47999.htm