日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

一般來講，黑客執(zhí)行下一步的網(wǎng)絡(luò)攻擊都需要非靜態(tài)數(shù)據(jù)，而進(jìn)攻取證是一種捕獲這種非靜態(tài)數(shù)據(jù)的黑客攻擊技術(shù)”，計算機(jī)取證和電子搜索公司LLC伯克利分校研究小組的首席研究員Joe Sremack表示。

成都網(wǎng)站設(shè)計、網(wǎng)站建設(shè)服務(wù)團(tuán)隊是一支充滿著熱情的團(tuán)隊，執(zhí)著、敏銳、追求更好，是創(chuàng)新互聯(lián)的標(biāo)準(zhǔn)與要求，同時竭誠為客戶提供服務(wù)是我們的理念。創(chuàng)新互聯(lián)公司把每個網(wǎng)站當(dāng)做一個產(chǎn)品來開發(fā)，精雕細(xì)琢，追求一名工匠心中的細(xì)致，我們更用心！

在進(jìn)攻取證過程中，黑客捕捉內(nèi)存中的非靜態(tài)數(shù)據(jù)用以獲取密碼、加密密鑰以及活躍網(wǎng)絡(luò)會話數(shù)據(jù)，這些都可以幫助他們不受任何限制地訪問寶貴數(shù)據(jù)資源。

為了說明這一點(diǎn)，舉一個進(jìn)攻取證攻擊的簡單例子。進(jìn)攻取證攻擊過成功中黑客會捕捉Windows剪貼板，這是一個不夠精明的企業(yè)網(wǎng)絡(luò)用戶經(jīng)常復(fù)制和粘貼安全密碼的地方。黑客通常利用Flash的漏洞來展開這種類型的攻擊。

“黑客往往利用瀏覽器中的Flash插件結(jié)合較弱的甚至錯誤的配置來讀取瀏覽器的完整信息，包括內(nèi)存中的密碼，”Sremack說。

安全意識是擊敗進(jìn)攻取證的第一步技巧和戰(zhàn)術(shù)，及時的行動是第二步。

目的和手段

黑客使用進(jìn)攻取證獲取憑證，如用戶名和密碼。這些都允許他們訪問敏感數(shù)據(jù)同時能夠隱瞞自己的身份，以拖延攻擊時被發(fā)現(xiàn)的時間并避免暴露自己的行蹤。

“他們還想延長時間，以便于其在被發(fā)現(xiàn)之前有充足的時間去訪問系統(tǒng)和目標(biāo)數(shù)據(jù)，從而增加其犯罪所得，” 安全和風(fēng)險管理公司Neohapsis的首席安全顧問Scott Hazdra說。

黑客尋找這種以半永久記憶的形式存在如RAM內(nèi)存或交換文件中的動態(tài)/非靜態(tài)數(shù)據(jù)。

“Windows臨時文件、Windows或Mac的剪貼板、從一個Telnet或FTP應(yīng)用程序中未加密的登錄數(shù)據(jù)，和web瀏覽器緩存等都是非靜態(tài)數(shù)據(jù)目標(biāo)，”Sremack說。

一旦黑客獲得暫時存儲在明文中的用戶ID和密碼，他們就可以進(jìn)入下一個等級的訪問，進(jìn)一步獲取資源，如內(nèi)部網(wǎng)站、文檔管理系統(tǒng)和SharePoint站點(diǎn)，Sremack解釋道。

“這基本上是一個黑客必須使用鍵盤記錄器才能夠檢索到的信息的途徑，但沒有鍵盤記錄器，”Sremack說。

這對于黑客來說極為重要，因為反病毒和反惡意軟件工具可以檢測并移除鍵盤記錄。黑客們則運(yùn)行其他的各種工具，比如查看剪貼板、注冊表或者電腦用明文存儲這些數(shù)據(jù)的任何工具。

這些工具，為黑客實(shí)時進(jìn)行這些進(jìn)攻時成為一件免費(fèi)的福利，并且極容易接入互聯(lián)網(wǎng)。雖然Linux上有工具，但是通常犯這種典型錯誤(以明文將密碼儲存在剪貼板)的人使在工作站的終端使用者進(jìn)行攻擊取證成為可能，而這些使用者通常運(yùn)行Windows和Mac操作系統(tǒng)。

一些黑客使用特定的工具包括腳本工具作為取證的利器。

“還有大范圍用于此用途的各樣其他工具，包括免費(fèi)的和高價的，比如FTK成像儀、RedLine、Volatility, CAINE, 和HELIX3 ”，Hazdra說。

企業(yè)響應(yīng)

“進(jìn)攻取證很難計數(shù)，因為攻擊目標(biāo)機(jī)器中的文件可能是安全的，而且傳統(tǒng)標(biāo)準(zhǔn)也將宣布系統(tǒng)是安全的，但是入侵者卻能夠訪問機(jī)器并能捕捉內(nèi)存，”Sremack說。

對付進(jìn)攻取證的方法包括運(yùn)行能夠掩藏和保護(hù)內(nèi)存數(shù)據(jù)的安全功能。這些類型的應(yīng)用程序包括KeePass和KeeScrambler。KeePass是一個加密的剪貼板工具，能夠自動清除剪貼板歷史;KeeScrambler則加密瀏覽歷史。

“每當(dāng)用戶將字母鍵入瀏覽器，系統(tǒng)就會加密以防止黑客讀取儲存在內(nèi)存中的數(shù)據(jù)，”Sremack解釋道。目前有免費(fèi)版的KeeScrambler;同樣能對付鍵盤記錄程序的還有付費(fèi)版本。

最佳實(shí)踐要求一個企業(yè)網(wǎng)絡(luò)用戶必須在一個特定的機(jī)器上登陸進(jìn)行系統(tǒng)活動，這樣一來，黑客就更難以消除自己的行蹤。此外，企業(yè)應(yīng)該使用文件系統(tǒng)可僅標(biāo)記文件為“附錄”的特性(不會刪除或覆蓋現(xiàn)有的數(shù)據(jù))，這樣即使是那臺特定機(jī)器的系統(tǒng)管理員都無權(quán)刪除所寫，除非機(jī)器進(jìn)入離線維護(hù)模式，Lancope的首席技術(shù)官TK Keanini這樣解釋道。

放眼大局來看，企業(yè)必須做足充分準(zhǔn)備，以針對進(jìn)攻取證襲擊作出有效的事件響應(yīng)。一個企業(yè)應(yīng)該從三個等級做好救援事件響應(yīng)準(zhǔn)備，Keanini說，每一個等級需要添加一個維度來補(bǔ)充上一個等級力所不及的。

“即使攻擊者可以規(guī)避其中的一個等級，他們還是終將暴露在其他等級中，“Keanini說。

第一個等級是端點(diǎn)遙測。每個端點(diǎn)應(yīng)該有一些負(fù)責(zé)操作整個設(shè)備的系統(tǒng)級程序。

“雖然你永遠(yuǎn)不能做到100%的準(zhǔn)確率，然而百分之零的準(zhǔn)確率是絕對不可接受的，”Keanini說。

第二個等級是網(wǎng)關(guān)和接入點(diǎn)遙測。在網(wǎng)絡(luò)的入口和出口上，一些技術(shù)應(yīng)該記錄入站和出站連接。這將為網(wǎng)絡(luò)互聯(lián)提供檢測和網(wǎng)絡(luò)取證的依據(jù)。

第三個等級是基礎(chǔ)設(shè)施遙測。

“所有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施應(yīng)該展示未取樣的Netflow/IPFIX(流量分析 /互聯(lián)網(wǎng)協(xié)議流信息輸出)，”Keanini認(rèn)為，IT安全利用跟蹤所有元數(shù)據(jù)水平下網(wǎng)絡(luò)流量的工具來收集這些數(shù)據(jù)集。

“這個數(shù)據(jù)集作為網(wǎng)絡(luò)的總帳目，能夠提供給你網(wǎng)絡(luò)中最完整的活動列表，”Keanini說。

如果一個企業(yè)用三個等級的遙測技術(shù)來武裝其自身安全，幾乎沒有任何攻擊或者攻擊者可以找到藏身之處。

Keanini認(rèn)為，“更重要的是，當(dāng)黑客進(jìn)行某種形式的數(shù)據(jù)挖掘時，在執(zhí)行其他階段的攻擊時其仍然要想方設(shè)法地去掩藏自己。”

在運(yùn)營階段，企業(yè)可以發(fā)現(xiàn)具備這些遙測水平的攻擊者，并在黑客完成進(jìn)攻目標(biāo)之前做出相應(yīng)部署。

企業(yè)需要時刻留意進(jìn)攻取證，它像其他攻擊技術(shù)一樣將持續(xù)發(fā)展進(jìn)化。進(jìn)行網(wǎng)絡(luò)犯罪的黑客將使用一切可能的工具來完成網(wǎng)絡(luò)進(jìn)攻，即使該工具本身是良性的，網(wǎng)絡(luò)黑客也會背離其設(shè)計者的初衷而在犯罪過程中歪曲地使用它。

首席安全官和首席信息安全官們需要不斷對其IT團(tuán)隊和安全團(tuán)隊進(jìn)行技術(shù)培訓(xùn)，來讓他們知曉當(dāng)前的最新威脅及破解途徑。大多數(shù)IT安全團(tuán)隊最終還是需要最新的工具來檢測進(jìn)攻取證攻擊的，Hazdra說。

高價值資產(chǎn)需要最先進(jìn)的保護(hù)模式，以便安全團(tuán)隊能夠檢測威脅并防止黑客利用取證工具竊取企業(yè)數(shù)據(jù)，Hazdra認(rèn)為。

“未經(jīng)授權(quán)使用這些工具的情況很可能發(fā)生于大多數(shù)企業(yè)和組織網(wǎng)絡(luò)管理的盲區(qū)。因為管理員會監(jiān)控包括網(wǎng)絡(luò)流量、文件完整性、入侵檢測和未經(jīng)授權(quán)的訪問嘗試等在內(nèi)的行為，卻沒有適當(dāng)?shù)墓ぞ邅頇z測系統(tǒng)上執(zhí)行內(nèi)存轉(zhuǎn)儲的人或者其安全團(tuán)隊是否在使用進(jìn)攻取證工具，”Hazdra解釋道。

網(wǎng)頁題目：黑客獲取動態(tài)數(shù)據(jù)以備有效的隱形攻擊
分享網(wǎng)址：http://m.5511xx.com/article/dpshegc.html