Invasion of the botnets: Cyberattacks on the rise
The types of cyberattacks aren't new, but the speed and number of them are on the rise
By William Jackson, Aug 28, 2009
Theo: http://gcn.com/articles/2009/08/31/security-threats-invasion-of-botnets.aspx
Bài được đưa lên Internet ngày: 28/09/2009
Lời người dịch: Việc chống an ninh của các cuộc tấn công không gian mạng hiện nay là tinh vi và chuyên nghiệp hơn nhiều. “Các cuộc tấn công nghiêm trọng nhất có thể diễn ra mà không ai thấy gì vì chúng khó mà phát hiện ra được”. Ví dụ như: “Sâu Conficker lan truyền rộng rãi sử dụng mật mã để bảo vệ những giao tiếp lệnh và kiểm soát của nó. Khi những yếu kém đã được phát hiện trong một thuật toán băm được sử dụng bởi Conficker, nó đã được nâng cấp lên một thuật toán mới.”
Năm ngoái, bức tranh về mối đe dọa không gian mạng đã từng ngự trị không chỉ bằng những chỗ dễ bị tổn thương mới và khai thác quá nhiều số lượng lớn tuyệt đối các cuộc tấn công chống lại các hệ thống công nghệ thông tin và gia tăng tính chuyên nghiệp của những bọn người xấu đứng đằng sau chúng.
“Tính dâm ô của mối đe doạn đã không gia tăng”, một nhà quan sát công nghiệp, người đã găp với một lực lượng đặc nhiệm đa cơ quan về truy cập bất hợp pháp. “Nhưng sự phát lộ về số lượng các vụ khai thác đang gia tăng theo hàm số mũ”.
Các con số là đúng mực.
“Phần mềm độc hại đang ở điểm cao nhất mà chúng ta từng thấy”, Dave Marcus, giám đốc về nghiên cứu an ninh của McAfee Avert Labs, nói. “2008 là năm lớn nhất cho tới nay. Nửa đầu năm 2009 đã át hẳn năm 2008”, với 8,000 biến thể mới xuất hiện mỗi ngày. “Dễ dàng hơn để tạo ra phần mềm độc hại mới hơn bao giờ hết so với trước đó”.
Symantec báo cáo hoạt động tương tự. Hãng này đã tạo ra 1.6 triệu chữ ký đe dọa mới trong năm 2008, hoặc khoảng 1 chữ ký mới mỗi 20 giây. Hãng đã tạo ra 2 triệu chữ khý trong nửa đầu của năm nay, hoặc khoảng 01 chữ ký mỗi 08 giây.
Các kết quả trực quan nhất của đại dịch về phần mềm độc hại này là các cuộc tấn công từ chối dịch vụ một cách phân tán theo chu kỳ mà chúng tạo ra nhiều sự chú ý. Ví dụ điển hình gần đây nhất là sự bùng nổ hôm 04/07 mà nó hình như đã được khởi tạo tại Bắc Triều Tiên và đã hướng vào các website chính phủ và thương mại tại Mỹ và Hàn Quốc. Những vụ bùng nổ nhỏ hơn đã tập trung vào các site mạng xã hội nổi tiếng, như Twitter và Facebook.
For the past year, the cyber threat landscape has been dominated not by new vulnerabilities and exploits so much as by the sheer number of attacks against information technology systems and the growing professionalization of the bad guys behind them.
“The sexiness of the threat has not increased,” said one industry observer who met with a multiagency task force on intrusion. “But the exposure in terms of the number of exploits is growing exponentially.”
The numbers are sobering.
“Malware is at the highest point we’ve ever seen it,” said Dave Marcus, director of security research at McAfee Avert Labs. “2008 was the biggest year so far. The first half of 2009 has eclipsed all of 2008,” with 8,000 new variants appearing each day. “It’s easier to create new malware than ever before.”
Symantec reports similar activity. The company created 1.6 million new threat signatures in 2008, or about one new signature every 20 seconds. It has created 2 million signatures in the first half of this year, or about one every eight seconds.
The most visible results of this epidemic of malware are the periodic distributed denial-of-service attacks that generate a lot of attention. The most high-profile recent example was the July 4 outbreak that apparently originated in North Korea and targeted government and commercial Web sites in the United States and South Korea. Smaller outbreaks have targeted popular social-networking sites, such as Twitter and Facebook.
Những cuộc tấn công như vậy đã trở thành một phần của cuộc sống trực tuyến, các nhà quan sát nói. Vì sự thịnh hành của các cuộc tấn công từ chối dịch vụ và số lượng lớn các giao dịch bây giờ được tiến hành trực tuyến, nên một số chuyên gia xếp các cuộc tấn công này như một mối đe dọa lớn nhất so với những tổn thương bên trong một hệ thống mà nó có thể được sử dụng cho việc tiến hành từ xa các mã độc hoặc việc ăn cắp thông tin. Nhưng hầu hết các chuyên gia đồng ý rằng về lâu dài, một sự khai thác thành công mà vận hành mã nguồn bên trong một hệ thống có lẽ sẽ gây ra những thiệt hại đáng kể.
“Tôi thấy chúng xảy ra nhiều hơn và nhiều hơn”, George Schu, phó chủ tịch của Booz Allen Hamilton, nói về các cuộc tấn công từ chối dịch vụ. “Nhưng nói chung, chúng sẽ không là một vấn đề rất nghiêm trọng”.
Các cuộc tấn công từ chối dịch vụ có thể làm ngắt quãng tính sẵn sàng trực tuyến của các doanh nghiệp đối với các tài nguyên nhưng gây ra ít hoặc không gây hại về lâu dài. Các tổ chức cần được chuẩn bị để xác định và khám phá từ những cuộc tấn công như thế này, nhưng cuối cùng, “bạn vẫn sẽ bị tấn công”, Schu nói.
Yuval Ben – Itzhak, giám đốc công nghệ của Finjan, đồng ý. “Không có nhiều thứ bạn có thể làm về nó”, ông nói.
Một khó khăn trong việc đối phó lại đối với các cuột tấn công trực tuyến, liệu chúng có là các cuộc tấn công từ chối dịch vụ hay là truy cập trái phép, là phải xác định được nguồn của chúng. Vì các botnet mà chúng khởi động các cuộc tấn công từ chối dịch vụ có thể là toàn cầu, nên nguồn ngay lập tức về giao thông độc hại đưa ra ít thông tin về nguồn cuối cùng của cuộc tấn công hoặc động cơ của nó. Các cuộc tấn công tháng trước được cho là của Bắc Triều Tiên dường như đã được kiểm soát từ một máy chủ tại Anh. Các báo cáo về sự thâm nhập vào các hệ thống mạng điện và chính phủ Mỹ bởi những tin tặc Trung Quốc cũng có thể chỉ là phỏng đoán.
“Chì vì nó nằm tại Trung Quốc không có nghĩa rằng một [người] Trung Quốc đứng đằng sau nó”, Patrick Peterson, một người của Cisco và một nhà nghiên cứu về an ninh, nói.
Dù có thể làm nhẹ bớt đi các cuộc tấn công từ chối dịch vụ, thì sự sẵn sàng của các botnet phạm vi rộng – các mạng toàn cầu của các máy tính bị tổn thương bị kiểm soát từ xa – như một nền tảng cho việc phân hối các giao thông độc hại làm cho các cuộc tấn công này khó nếu không nói là không thể ngăn chặn. Khó mà nói các botnet lớn thế nào. McAfee nói có chừng từ 3 tới 4 triệu lây nhễm mới trong một tháng, nhưng sự sống của một botnet có thể là ngắn, đôi lúc chỉ một hoặc hai ngày trước khi một lây nhiễm được phát hiện và loại bỏ. Tuy nhiên, một số máy cũng sẽ lại bị lây nhiễm lại một cách thường xuyên.
“Bạn phải được cập nhất và quét một cách thường xuyên” để tránh trở thành một phần của một botnet, Marcus nói.
Such attacks have become a part of online life, observers say. Because of the prevalence of denial-of-service attacks and the volume of transactions now conducted online, some experts rate the attacks as a greater threat than compromises inside a system that can be used for the remote execution of malicious code or theft of information. But most experts agree that in the long run, a successful exploit that executes code inside a system is more likely to do significant damage.
“I see them happening more and more,” George Schu, vice president of Booz Allen Hamilton, said of denial-of-service attacks. “But in general, they aren’t a very serious problem.”
Denial-of-service attacks can disrupt business and online availability of resources but do little or no long-term damage. Organizations need to be prepared to identify and recover from such attacks, but in the end, “you still are going to be attacked,” Schu said.
Yuval Ben-Itzhak, chief technology officer of Finjan, agrees. “There is nothing much you can do about it,” he said.
One difficulty in responding to online attacks, whether they are denials of service or intrusions, is determining their source. Because botnets that launch denial-of-service attacks can be global, the immediate source of the malicious traffic offers little information about the ultimate source of the attack or its motive. Last month’s so-called North Korean attacks appear to have been controlled from a server in the United Kingdom. Reports of infiltrations of U.S. government and power grid systems by Chinese hackers also could be only speculation.
“Just because it is located in China doesn’t mean that a Chinese [person] is behind it,” said Patrick Peterson, a Cisco fellow and security researcher.
Although denial-of-service attacks can be mitigated, the availability of large-scale botnets — global networks of compromised computers under remote control — as a platform for delivering the malicious traffic makes the attacks difficult if not impossible to prevent. It’s hard to say just how big botnets are. McAfee reports as many as 3 million to 4 million new infections a month, but the lifespan of a botnet can be short, sometimes only a day or two before an infection is discovered and removed. However, some machines also are reinfected regularly.
“You have to be updating and scanning regularly” to avoid becoming part of a botnet, Marcus said.
Sự lây lan của phần mềm độc hại
Các mạng độc hại phân tán cao độ này được tạo ra và duy trì sẵn sàng bởi sự gia tăng các phần mềm độc hại để lây nhiễm các máy tính và tuyển mộ nhiều hơn các máy tính sống dở chết dở.
“Sự bùng nổ của các biến thể phần mềm độc hại mới là những gì làm cho tôi thứ dậy vào ban đêm”, Zulfikar Ramzan, giám đốc kỹ thuật của Symantec Security Response (phản ứng về an ninh của Symantec), nói.
Những kẻ tấn công đang thu thập các công cụ chống phần mềm độc hại dựa trên chữ ký ở khắp nơi bằng việc thay đổi mã nguồn chỉ đủ để trốn các bộ lọc. Không phải biến thể nào cũng làm việc, nhưng là đủ trong số chúng thành công cho việc giữ cho những người viết ra các chữ ký số bận bịu.
“Mô hình này đang dịch chuyển từ sự phân phối số lượng cực lớn của một số ít các mối đe dọa thành những sự phân phối nhỏ của một số lượng lớn các mối đe dọa khác nhau”, Ramzan nói. “Có thể có một biến thể duy nhất của một mối đe dọa cho mọi người mà họ tải nó về”.
Sự sản xuất số lượng lớn các biến thể này đang được thực hiện bởi các công cụ và các dịch vụ được tự động hóa, sẵn sàng đối với các tin tặc và bọn tội phạm, một sự thương mại hóa các phần mềm độc hại mà Peterson gọi là “sự lây nhiễm như một dịch vụ”.
“Chủ nghĩa tư bản là một động lực lớn”, Peterson nói. “Nhiều thứ mà họ làm, họ cần phải làm ở một phạm vi nào đó. 12 hoặc 24 tháng trước, nhiều tội phạm đã tự làm mọi thứ”.
Những lập trình viên dưới các tầng ngầm bây giờ đang chuyên môn hóa trong việc cung cấp các công cụ và các dịch vụ chuyên nghiệp cho cộng đồng của họ vì lợi nhuận, như các dịch vụ trực tuyến với một công cụ để chạy các biến thể phần mềm độc hại mới chống lại các máy chống virus phổ biến nhất để xác định xem cái nào mà có thể làm cho chúng đi qua mà không bị phát hiện.
“Những gì chúng ta đang thấy là việc có nhiều sự hợp tác đang diễn ra trong sự phát triển các mã nguồn độc”, Eddie Schwartz, giám đốc an ninh của NetWitness, nói. Sự hợp tác và sự chuyên môn hóa tạo điều kiện thuận lợi cho sự sản xuất nhanh chóng các phần mềm độc hại được thiết kế mà chúng có thể nhằm vào các nhóm đặc biệt, các dạng hệ thống và dữ liệu.
The spread of malware
These highly distributed malicious networks are created and kept available by the proliferation of malware to infect computers and recruit more zombies.
“The explosion of new malware variants is what keeps me up at night,” said Zulfikar Ramzan, technical director of Symantec Security Response.
Attackers are getting around signature-based anti-malware tools by changing the code just enough to sneak it past the filters. Not every variant works, but enough of them are successful to keep signature writers busy.
“The model is shifting from a massive distribution of a few threats to the microdistribution of a large number of different threats,” Ramzan said. “There can be a unique variant of a threat for every person who downloads it.”
This mass production of variants is being enabled by automated tools and services available to hackers and criminals, a commercialization of malware that Peterson calls “infection as a service.”
“Capitalism is a big motivator,” Peterson said. “A lot of the things they do, they need to do at scale. Twelve or 24 months ago, a lot of criminals were doing everything themselves.”
Underground developers now are specializing in providing professional tools and services to their community at a profit, such as online services with a tool to run new malware variants against the most popular antivirus engines to identify ones that can make it through undetected.
“What we’re seeing is that there is a lot of collaboration going on in the development of malicious code,” said Eddie Schwartz, chief security officer of NetWitness. Collaboration and specialization facilitate the rapid production of designer malware that can target specific groups, types of systems and data.
Sự chuyên môn hóa đang gia tăng đi cùng với sự bền bỉ của những chỗ có thể bị tổn thương nổi tiếng trong hạ tầng công nghệ thông tin là một tập hợp nguy hiểm. Những chỗ dễ bị tổn thương cũ một phần luôn dai dẳng được vì hạ tầng và nền tảng của người sử dụng là quá rộng và phức tạp. Ví dụ, các phiên bản cũ của phần mềm và phần cứng không chắc có được thay thế hoàn toàn hay không qua bất kỳ khoảng thời gian ngắn nào và được nhúng tới mức mà chúng thường bị bỏ qua trong việc vá, Schwartz nói.
“Tôi không nghĩ chúng ta bao giờ đó sẽ có được thời điểm nơi mà chúng ta có thể vứt bỏ những chỗ bị tổn thương cụ thể nào đó”, ông nói. Cơ sở của tính dễ bị tổn thương, đi cùng với các công cụ phân phối để triển khai phức tạp hơn, “sẽ cho phép những người viết ra phần mềm độc hại ném các ố bẩn ở bếp vào mọi người”.
Khả năng để vứt bỏ nhiều khai thác chống lại một hệ thống là mối đe dọa đang gia tăng khác. Các bộ công cụ tự động hóa cho phép những kẻ tấn công tạo ra các bó nhiều khai thác trong chỉ một gói duy nhất sao cho một máy tính hoặc một hệ thống có thể được tìm thấy cho nhiều sự có thể bị tổn thương. Kẻ tấn công cần tìm ra chỉ một chỗ rạn nứt không được vá trong hệ thống để lợi dụng.
Growing specialization coupled with the persistence of known vulnerabilities in IT infrastructure is a dangerous combination. Old vulnerabilities persist partially because the infrastructure and user base are so large and complex. For example, old versions of software and hardware are unlikely to be completely replaced over any short period of time and are so embedded that they often are overlooked in patching, Schwartz said.
“I don’t think we’re ever going to get to the point where we can throw out certain vulnerabilities,” he said. That base of vulnerabilities, coupled with more sophisticated exploit delivery tools, “enables malware writers to throw the kitchen sink at people.”
The ability to throw multiple exploits against a system is another growing threat. Automated toolkits allow attackers to bundle exploits in a single package so that a computer or system can be searched for many vulnerabilities. Often, a successful cyberattack does not require a zero-day exploit, just a toolkit of tried-and-true exploits. The attacker needs to find only one unpatched flaw in the system to take advantage of.
Chuyển thành chuyên nghiệp
Những khai thác và các cuộc tấn công đang trở nên không chỉ tự động hóa hơn mà còn chuyên nghiệp hơn, Roger Thornton, giám đốc công nghệ của Fortify Software, nói. Các cuộc tấn công nghiêm trọng nhất có thể diễn ra mà không ai thấy gì vì chúng khó mà phát hiện ra được.
“Một số các cuộc tấn công là tuyệt đỉnh trong việc tìm ra một hệ thống và gây tổn hại cho nó”, Thornton nói. “Nhưng hệ thống đó thậm chí còn không phải là mục tiêu”. Hệ thống bị tổn thương được sử dụng để cấy mã nguồn ở đâu đó nữa trong mạng, nơi mà nó tập hợp các dữ liệu và sau đó thoát ra trong lúc che đậy các dấu vết của nó. “Ôi, những tên đó là tốt”, ông nói.
Những kẻ xấy cũng đang có sự phòng vệ tốt hơn, ông nói. Sâu Conficker lan truyền rộng rãi sử dụng mật mã để bảo vệ những giao tiếp lệnh và kiểm soát của nó. Khi những yếu kém đã được phát hiện trong một thuật toán băm được sử dụng bởi Conficker, nó đã được nâng cấp lên một thuật toán mới.
“Chúng sửa các lỗi bị tổn thương về an ninh”, Thornton nói. “Những đối thủ này đang làm an ninh còn tốt hơn chúng ta”.
Các máy tính bị tổn thương cũng có thể cung cấp cơ sở và năng lượng tính toán cho hoạt động để bọn tội phạm kiểm soát chúng. Thornton đã mô tả một trường hợp trong đó một công ty dịch vụ tài chính đã bị lây nhiễm.
“Những kẻ tấn công đã tải lên các dữ liệu nhiều hơn là chúng đã tải về”, ông nói. Thì ra mục đích là để tải lên các số thẻ tín dụng bị ăn cắp. Các tin tặc sau đó đã sử dụng cơ sở dữ liệu này về các số để kiểm thử các số định danh cá nhân được sử dụng để kiểm tra tính hợp lệ của chúng cho các giao dịch.
Việc cố gắng tìm ra số định danh cá nhân (PIN) có 4 con số đối với một thẻ nào đó có thể mất 10,000 kiểm thử, mà chúng có thể mất thời gian và có thể mất quyền sử dụng dịch vụ kiểm tra tính đúng đắn chiếc thẻ đó sau quá nhiều thất bại lặp đi lặp lại. Nhưng việc kiểm thử một PIN đối với một cơ sở dữ liệu hàng trăm ngàn số thẻ chắc chắn hầu như sẽ thành công. Phương pháp này không tạo ra con số đáng nghi ngờ đối với các kiểm thử bị hỏng trên bất kỳ thẻ nào, và sự đi lại mà nó đã tạo ra đã không bị để ý tới trên mạng của công ty.
Bọn tội phạm cũng che dấu tốt các dấu vết của chúng, Thornton nói. “Tất cả các nhật ký của chúng đã được mã hóa, và được mã hóa tốt. Đã không có bất kỳ sự giả tưởng nào để lại đằng sau”.
Turning pro
Exploits and attacks are becoming not only more automated but also more professional, said Roger Thornton, chief technology officer of Fortify Software. The most serious attacks can go unnoticed because they are difficult to detect.
“Some of the attacks are brilliant in finding a system and compromising it,” Thornton said. “But the system wasn’t even the target.” The compromised system is used to plant code somewhere else in the network, where it gathers data and then leaves while covering its tracks. “Man, these guys are good,” he said.
Bad guys also are getting better at defense, he said. The wide-spreading Conficker worm uses cryptography to protect its command and control communications. When weaknesses were found in a hashing algorithm used by Conficker, it was upgraded to a new algorithm.
“They fix security vulnerabilities,” Thornton said. “These adversaries are doing security better than us.”
Compromised computers also can provide computing power and bases of operation for the criminals controlling them. Thornton described one case in which a financial services company was infected.
“The hackers had uploaded much more data than they had downloaded,” he said. It appeared that the objective had been to upload stolen credit card numbers. The hackers then used this database of numbers to test personal identification numbers used to validate them for transactions.
Trying to find the four-digit PIN for a given card could take 10,000 tries, which would be time-consuming and would tip off the service validating the card after too many repeated failures. But testing one PIN against a database of hundreds of thousands of card numbers is almost certain to be successful. This method creates no suspicious number of failed attempts on any one card, and the traffic it generated was not noticed on the company’s network.
The criminals also covered their tracks well, Thornton said. “All of their logs were encrypted, and encrypted well. There were no artifacts left behind.”
Hướng vào các phương tiện xã hội
Xu thế về mối đe dọa khác là tốc độ với nó những công cụ tiến hóa nhanh này được sử dụng chống lại những mục tiêu mới, đặc biệt các site mạng xã hội. Một ví dụ là dịch vụ microblogging (blog nhỏ) được sử dụng một cách rộng rãi của Twitter.
Trong vòng 1 tháng có sự xuất hiện của nó, những kẻ đánh phishing đã nhắm vào Twitter, Marcus nói.
“Tôi không nhớ thứ gì khác mà đã bị tấn công nhanh đến thế”, ông nói.
Twitter không đơn độc. Các dịch vụ mạng phổ biến, như Facebook và dịch vụ video của YouTube, thường đối mặt với các cuộc tấn công mà mưu toan sử dụng chúng như những vật trung gian để phát tán phần mềm độc hại. Chúng cũng là đối tượng của các cuộc tấn công phishing mà nhử người sử dụng vào trong các site thăm viếng không phù hợp và dâng nộp các thông tin cá nhân.
Bất chấp những đổi mới sáng tạo, các cuộc tấn công đang được phân phối thông qua những site mới này thường có cùng những dạng mà hầu hết mọi người đã học được để tránh trong thư điện tử. “Nhiều xu hướng công nghệ mới để được khai thác trong tất cả các cách thức đã – thử – là – đúng cũ mèm”, Marcus nói. “Công nghệ mới dù là thế nào, thì bạn cũng có thể sẽ thấy spam, phishing và việc ăn cắp mật khẩu”.
Bản chất tự nhiên của mạng xã hội giúp cho phép sử dụng kỹ thuật xã hội trong các cuộc tấn công độc hại, Ramzan của Symantec, nói. Kỹ thuật xã hội tiến hóa ngón ngề một cuộc tấn công với những thông tin đặc thù để làm dịu đi một nỗi sợ hãi của nạn nhân và thuyết phục anh hoặc chị ta rằng một giao tiếp là thật chính cống.
“Ý tưởng của kỹ thuật xã hội đã từng có từ nhiều năm nay”, ông nói. “Nhưng với các site mạng xã hội, thông tin mà được sử dụng để là cá nhân thì nay là công khai, nên nó có thể dễ dàng cho những kẻ tấn công trích ngữ cảnh xã hội vào trong một cuộc tấn công”.
Tất cả những thứ này có nghĩa là những người quản trị và người sử dụng cần phải luôn luôn đánh giá lại cách mà họ bảo vệ các hệ thống của họ, các chuyên gia nói. Mọi người cần phải nghi ngờ những thứ lứu lo và những video khi họ làm việc với thư điện tử, và các nhà quản trị cần nghĩ một cách chủ động và hiểu các cuộc tấn công này đang được sử dụng để chống lại họ khi bảo vệ các hệ thống của họ.
Các nhà cung cấp an ninh cũng cần thường xuyên nâng cấp các công cụ và sản phẩm của họ. Đôi lúc, sự phòng vệ tĩnh, như các tường lửa và các phần mềm chống virus và sự phát hiện truy cấp trái phép dựa trên chữ ký, bản thân chúng đã không tương xứng. Ben – Itzhak, công ty của ông luôn tiến hành các phân tích, nói rằng phân tích nội dung thời gian thực là sống còn đối với các hệ thống. Các tổ chức phải quét mã tới để xác định ý định của nó trước khi nó được phép vào.
“Bạn có thể đọc mã giống như một cuốn sách và thấy những gì nó làm”, ông nói.
Targeting social media
Another threat trend is the speed with which these rapidly evolving tools are used against new targets, especially social-networking sites. One example is the widely used Twitter microblogging service. Within a month of its appearance, phishers were targeting Twitter, Marcus said.
“I don’t remember anything else that was attacked that quickly,” he said.
Twitter is not alone. Popular networking services, such as Facebook and the YouTube video service, often face attacks that attempt to use them as vectors for delivering malware. They also are subjects of phishing attacks that lure users into visiting inappropriate sites and surrendering personal information.
Despite the innovations, the attacks being delivered through these new sites are often the same types that most people have learned to avoid in e-mail. “A lot of the new technology tends to get exploited in all the old tried-and-true ways,” Marcus said. “Whatever the new technology is, you are probably going to see spam, phishing and password stealing.”
The nature of social networking helps to enable the use of social engineering in malicious attacks, Symantec’s Ramzan said. Social engineering involves crafting an attack with specific information to calm a victim’s fears and convince him or her that a communication is genuine.
“The idea of social engineering has been around for years,” he said. “But with social-networking sites, information that used to be private is now public, so it can make it easier for attackers to inject social context into an attack.”
All of which means that administrators and users need to constantly re-evaluate how they defend their systems, experts say. People need to be as suspicious of tweets and videos as they are of e-mails, and administrators need to think offensively and understand the attacks being used against them when protecting their systems.
Security vendors also need to constantly upgrade their tools and products. For some time, static defenses, such as firewalls and signature-based antivirus and intrusion detection, have been inadequate by themselves. Ben-Itzhak, whose company does content analysis, said real-time content analysis is the critical to defending systems. Organizations should scan incoming code to determine its intent before it is allowed in.
“You can read the code like a book and see what it does,” he said.
Các nhà cung cấp các công cụ truyền thống dựa trên chữ ký như Symantec và McAfee đang bổ sung các công cụ mới cho các sản phẩm của họ vì sự nở rộ nhanh chóng các phần mềm độc hại đang làm cho các chữ ký là không phù hợp. Chúng đang sử dụng sự dò tìm dựa trên hành vi và phương pháp hướng dẫn để bổ sung cho các chữ ký và đang chuyển sang an ninh dựa vào uy tín bằng việc giám sát sự đi lại có nghi ngờ trên hàng triệu máy tính để xác định các nguồn đi lại độc hại mà chúng phải bị khóa.
Tuy nhiên, không một khuyến cáo nào tách khỏi các phòng vệ dựa trên chữ ký. Vì quá nhiều khai thác phổ biến vẫn còn làm việc và còn trong lưu thông, nên các công ty chống virus nâng cấp các tệp chữ ký của họ nhanh như có thể để cung cấp một dòng đầu tiên có hiệu quả cho sự phòng vệ.
“Các dạng về các mối đe dọa này vẫn còn được quản lý tốt nhất bằng các chữ ký”, Ramzan nói.
Bất kể các công cụ là tốt như thế nào trong việc canh phòng làn sóng phần mềm độc hại gia tăng nhanh chóng này, thì chúng (những công cụ) cũng sẽ có lẽ không duy trì phù hợp được lâu.
“Trong một hoặc hai năm tới, sẽ có cách khác để tấn công mà nó sẽ nằm đâu đó quanh những thứ này”, Ben – Itzhak nói. “An ninh là thứ năng động”
Vendors of traditional signature-based tools such as Symantec and McAfee are adding new tools to their products because the rapid proliferation of malware is making signatures inadequate. They are using heuristic and behavior-based detection in addition to signatures and are moving to reputation-based security by monitoring suspect traffic on millions of machines to determine the sources of malicious traffic that should be blocked.
However, no one recommends doing away with signature-based defenses. Because so many known exploits still work and are in circulation, antivirus companies update their signature files as quickly as possible to provide an efficient first line of defense.
“These kinds of threats are still best handled by signatures,” Ramzan said.
No matter how good tools get at warding off the wave of rapidly morphing malware, they are not likely to remain adequate for long.
“In a year or two years from now, there will be another way to attack that will get around these,” Ben-Itzhak said. “Security is dynamic.”
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.