零日攻击的七个生存经验

　　西北太平洋国家实验室在今年7月检测到针对其技术基础设施发动的网络攻击(实际上有两起攻击)后，这家实验室迅速采取了行动，查明了漏洞根源，并确保了网络安全。该实验室随后做出了很少有其他网络攻击受害者愿意做出的举动：它决定公开谈论发生的情况。

　　西北太平洋国家实验室的CIO Jerry Johnson在上周详细叙述了遭到的网络攻击。Johnson在加利福尼亚州戴纳波恩特市举行的《信息周刊》500强大会上作了发言，叙述了入侵者如何利用该实验室其中一台面向公众的Web服务器存在的安全漏洞，从而把“路过式”安全漏洞植入到网站访客(其中就有实验室员工)的PC上。在之后的几星期，黑客通过中招的工作站，偷偷摸摸地侦察该实验室的网络。

　　与此同时，一起鱼叉式网络钓鱼攻击袭击了该实验室的其中一个主要的业务合作伙伴，该实验室与业务合作伙伴共享网络资源。这第二伙黑客设法获得了一个特权帐户，闯入了该实验室与合作伙伴共享的root域控制器。入侵者试图重新创建并提升帐户权限时，这一行动触发了警报，结果实验室的网络安全小组引起了注意。

　　实验室在短短几小时内立马决定断开网络，目的是为了切断黑客的通信路径，遏制任何进一步的破坏。在7月4日的周末，就在其他人享受假期的同时，西北太平洋国家实验室的安全小组忙得不可开交：进行网络取证分析，重新构建域控制器，重新制作系统映像，还恢复了之前停运的网络服务。

　　谁策动了这些攻击?这是CIO Johnson不会讨论的一个问题。但值得一提的是，隶属美国能源部的诸机构据说是名为远端操控隐蔽行动(Operation Shady RAT)的一连串网络攻击的目标。这起行动已持续了好几年，目标针对70多家公司、国防承包商和政府机构。从现有的证据来看，一些专家猜测那些攻击起源于中国。

　　在《信息周刊》500强大会上一场名为《剖析零日攻击》的分会上，Johnson坦率地谈论了该实验室针对入侵事件采取了怎样的对策。他还分享了从这起事件中学到的几个经验。

　　零日攻击经验1. 多层安全环境存在危险。虽然西北太平洋国家实验室的IT安全边界得到了妥善保护，但还是被攻击突破了防线。作为“深层防御”机制的拥护者，Johnson现在更加重视对数据本身的保护。

　　零日攻击经验2. 清除遗留的少数技术。第一起攻击中的那台Web服务器基于该实验室中很少使用的技术：Adobe ColdFusion。这种眼不见心不烦的技术本身就很容易遭到攻击，因为它们无法得到与组织机构的主要平台一样大的关注力度。

　　零日攻击经验3. 全天候不间断地监控网络安全事件。高级持续性威胁(如攻击西北太平洋国家实验室的威胁)其特点就在于具有持续性，因而需要不断保持警惕。各政府部门正致力于“持续监控”工作，目的在于近乎实时地了解计算机系统安全的状况。

　　零日攻击经验4. 确保拥有基本的取证分析能力。如果你的网络果真遭到了黑客的攻击，安全小组就必须能够重现事件、评估危害。你所汲取的经验教训有助于防止重蹈覆辙。

　　零日攻击经验5. 响应小组里面要有高级项目经理。针对安全泄密事件采取对策，不但需要注意细节、认真协调，还要能够在很短的时间内让高层管理班子行动起来;必要的话，交由更高层的管理人员作出决策。

　　零日攻击经验6. 要准备好寻求帮助，而不是坐以待毙。你可能需要请来安全专家、业务合作伙伴、执法人员或者其他外面的人。在西北太平洋国家实验室，Johnson通知了公共事务办公室，目的是为了准备应对媒体势必会提出来的问题。

　　零日攻击经验7. 订有确保通信连续性的应急计划。西北太平洋国家实验室断开网络后，黑客们无法造成进一步的危害。遗憾的是，这一决定也意味着，实验室的员工失去了网络服务，包括电子邮件和语音邮件。应当为可能出现的这种结果作好准备，所以事先要共享手机号码和替代的电子邮件地址。

　　正如远端操控隐蔽行动以及针对谷歌和其他公司的类似网络攻击表明的那样，风险很复杂，而且越来越大。Johnson觉得公开谈论可以帮助其他机构加强防御。因此，他理应受到莫大的赞扬。遭到网络攻击后，不声不响是习惯做法，但是公开谈论有助于加强防备能力。