安全经验谈剖析零日攻击力量

正如远端操控隐蔽行动以及针对谷歌和其他公司的类似络攻击表明的那样，风险很复杂，而且越来越大。有时候公开谈论可以帮助其他机构加强防御。遭到络攻击后，不声不响是习惯做法，但是公开谈论有助于加强防备能力。

在7月4日的周末，就在其他人享受假期的同时，西北太平洋国家实验室的安全小组忙得不可开交：进行络取证分析，重新构建域控制器，重新制作系统映像，还恢复了之前停运的络服务。

本人接触电脑是在08年夏 谁策动了这些攻击？这是CIO Johnson不会讨论的一个问题。但值得一提的是，隶属美国能源部的诸机构据说是名为远端操控隐蔽行动（Operation Shady RAT）的一连串络攻击的目标。这起行动已持续了好几年，目标针对70多家公司、国防承包商和政府机构。从现有的证据来看，一些专家猜测那些攻击起源于中国。

在《信息周刊》500强大会上一场名为《剖析零日攻击》的分会上，Johnson坦率地谈论了该实验室针对入侵事件采取了怎样的对策。他还分享了从这起事件中学到的几个经验。

零日攻击经验1. 多层安全环境存在危险。虽然西北太平洋国家实验室的IT安全边界得到了妥善保护，但还是被攻击突破了防线。作为深层防御机制的拥护者，Johnson现在更加重视对数据本身的保护。

零日攻击经验2. 清除遗留的少数技术。第一起攻击中的那台Web服务器基于该实验室中很少使用的技术：Adobe ColdFusion。这种眼不见心不烦的技术本身就很容易遭到攻击，因为它们无法得到与组织机构的主要平台一样大的关注力度。

零日攻击经验3. 全天候不间断地监控络安全事件。高级持续性威胁（如攻击西北太平洋国家实验室的威胁）其特点就在于具有持续性，因而需要不断保持警惕。各政府部门正致力于持续监控工作，目的在于近乎实时地了解计算机系统安全的状况。

零日攻击经验4. 确保拥有基本的取证分析能力。如果你的络果真遭到了黑客的攻击，安全小组就必须能够重现事件、评估危害。你所汲取的经验教训有助于防止重蹈覆辙。

零日攻击经验5. 响应小组里面要有高级项目经理。针对安全泄密事件采取对策，不但需要注意细节、认真协调，还要能够在很短的时间内让高层管理班子行动起来；必要的话，交由更高层的管理人员作出决策。

零日攻击经验6. 要准备好寻求帮助，而不是坐以待毙。你可能需要请来安全专家、业务合作伙伴、执法人员或者其他外面的人。在西北太平洋国家实验室，Johnson通知了公共事务办公室，目的是为了准备应对媒体势必会提出来的问题。

零日攻击经验7. 订有确保通信连续性的应急计划。西北太平洋国家实验室断开络后，黑客们无法造成进一步的危害。遗憾的是，这一决定也意味着，实验室的员工失去了络服务，包括电子邮件和语音邮件。应当为可能出现的这种结果作好准备，所以事先要共享号码和替代的电子邮件地址。