黑客如何规避入侵检测系统的技术手段与方法探析

在戴尔公司工作的SecureWorks部门研究人员告诉我们,更多的黑客组织入侵网络不再使用恶意软件,即使有,也会留下很少的痕迹。

因为如今很多攻击者利用的是远程接入和网络漏洞,而不是通过安装恶意软件,许多传统入侵检测工具都没有办法捕捉入侵行为,高级安全研究员菲尔说:“戴尔公司的SecureWorks部门成立了反击威胁特别行动小组,专门负责调查入侵事件。”

这就是为什么黑客组织强制使用远程网络接入双因素身份验证服务器的重要原因,特别是那些运行特权帐户管理系统以及网络管理员提供了独立网段的服务器,Burdette接受采访时,对信息安全传媒集团记者如是说。

“越来越多的攻击者使用本地工具,或者至少是合法的Windows系统管理工具来实现他们的目标,”Burdett说。而且,由于这些攻击者正在利用这些合法工具,当他们连接到一个网络管理员的帐号时,他们的活动并不会被传统的入侵检测系统所捕捉到。

Burdett建议企业考虑使用特权帐户管理系统,这将限制用户名和密码的生命周期。“这么做的话,对使用证书的账户非常有益,”他说。“如果敌人获得了用户名和密码,但是该帐户的生命周期是非常短暂的,因为这个帐号的密码会经常更改,它扰乱对手被迫使用证书或者生成一个证书来实现他们的目标。”

企业也应该确保那些管理权限操作在一个隔离网络或网段,这样除了来自管理员的任何活动外的网络活动都将被捕捉,Burdette补充道。

Burdette领导着戴尔公司SecureWorks研究部,执行入侵目标威胁分析,以及防御日益增加的威胁活动。他曾是一个编写恶意代码团队的前成员,后在社区应急响应团队,联邦应急管理局,美国国防部和美国Gypsum Corp工作过。