安全揭秘：企业数据是怎样泄漏的？

时讯百小生

大多数注意力都放在将黑客拒之门外。但是一旦黑客进入数据库，你如何防止数据被盗呢?Trustwave SpiderLabs的研究表明其实答案十分简单。
　　由于攻击方式变化多端，使得网络犯罪越来越复杂。通常我们将之归类为越界。数据越界，或者说数据泄漏通常是通过网络渠道从系统复制数据，但是移动媒介或物理盗窃行为也可以造成这一后果。
　　在2009年，SpiderLabs小组调查了24个国家的200个数据分支。虽然，黑客以各种方法从被侵入的环境中偷取数据，但是他们侵入环境的方式一般都是通过远程访问目标企业应用的方式实现。在SpiderLabs的调查中，45%的侵入都是通过远程访问应用进入公司系统。这些并非零日攻击或复杂的应用缺陷，这类攻击看上去和普通员工的操作没有什么不同。例如，某CEO在出差时连线伦敦。黑客也不需要强力攻击所使用的帐户。SpiderLabs发现90%的此类攻击都会成功，因为黑客可以很容易猜到被攻击对象的密码或者这些对象的密码本身是供应商默认指定的密码，如temp:temp或admin:nimda。
　　一旦黑客找到攻击点，就会使用网络枚举工具。网络枚举工具被黑客频繁使用，目的是发现目标环境内更多的攻击目标，并检索系统信息，如用户名，组权限，网络共享系统信息以及可用服务。枚举工具产生的噪音可以指示对攻击的防御。遗憾的是，我们发现大多数企业并没有监控好自己的系统，因此常常无法察觉这些指标。

　　

　　正是这类攻击帮助黑客通过受信任的私人线路进入到其他酒店式企业的系统。内部链接被黑客利用，由此导致数据泄漏。如果没有这类连接的存在，酒店业内的违例行为可控制在一定范围内。
　　访问目标系统和数据的平均网络犯罪时间为156天。在此期间，黑客进入到环境中，安装自己的工具以便在独立IT机构或安全部门发现其违法行为前删除数据和窃取数据。2009的一些调查显示在过去三年间，相同的网络犯罪在不断地重复上演。尤其在2009年，对这些犯罪的检测时间显得尤为要长，似乎黑客们在掌握了这些知识后，愈加肆无忌惮。
　　在38个案例中，黑客利用最初使用的远程访问应用来盗取数据。 其他已有服务，如本地FTP和HTTP客户端功能，也频繁被黑客用来盗取数据。特别是，当黑客利用恶意攻击盗取数据时，FTP, SMTP和IRC功能都被定期查看。(在自定义恶意攻击的逆向分析中，二进制可以表明FTP功能的存在，包括硬编码IP地址和凭证。) 除了现有的恶意攻击，如按键记录器，黑客常用来窃取数据的攻击还有嵌入式FTP和电子邮件功能。当邮件服务被用来窃取数据时，黑客往往选择直接将恶意 SMTP服务器安装到目标系统上，以便数按照合适的路由偷取数据。
　　只有一个案例中的数据提取涉及加密渠道的使用，这进一步表明网络犯罪并未受到很多重视。由于网络服务可在本地使用，再加上缺乏合适的过滤装置以及系统监控，黑客可以堂而皇之地使用这些网络服务或安装自己的基础服务。
　　显然，在所有案例中，敏感数据都被送到了目标环境中。在此期间，IT安全团队没有检测到损失。
　　当IT安全团队查找攻击迹象时，他们似乎把事情想得太复杂了。然而，这些攻击一般都很简单，甚至可以在例行审查记录中找到端倪。直到数据已经泄漏到目标环境以外并显示在其他地方时，他们方才察觉这些攻击。密切关注针对标准系统的普通操作是查找到这些问题的关键。每一个异常都应引起重视，都应通过内部审查。有必要的话，也可以由外部专家来审查。