Brent Oxley对今年感到十分沮丧,恐怕再难找到比他更为沮丧的IT用户了。Oxley是虚拟主机服务提供商HostGator公司的所有人,在今年九月份,他忽然发现一场弥天大祸正从天而降。
事情是发生在一个周五的下午,开始Oxley只是接到少量客户的投诉,但接着投诉的人数就成百上千地增加,不久之后就演变为他的公司四年以来最大的危机。
每个投诉人说的都是同一个问题:他们明明访问的是HostGator客户运营的一些合法站点,却莫名其妙地被重定向到一些流氓网站,接着就发现有病毒很快下载到用户的PC机上了。
在接下来的12小时里,Oxley简直就是在地狱中度过的。每次Oxley带领团队清除干净一台机器时,就有其他地方的另一个系统被感染了。Oxley说:"那简直是疯了。"他开始感觉自己正陷入一场不停攻击防守的"打鼹鼠(whack-a-mole)"游戏当中,同时还要不停地努力转移客户和终端用户的愤怒情绪。
威胁不断蔓延
当然,Oxley不是惟一的受害者。根据《InfoWorld》对430个企业安全负责人(这也是文中所有图表的数据来源)的调查显示,56%调查对象对其企业系统"比较自信",在调查中占据最大比例。但恶意软件和钓鱼式攻击的不断升级也足以让他们头疼不已。
如果说2005年是攻击者由好玩心重的年青黑客业余爱好者向更具犯罪思想的专业人员过渡的一年,那么2006年则显示出这种经过更好支持、更好训练培养出来的不法分子会带来多么致命的损害。
他们的恶意软件更具倾向性也更鬼祟,能深入操作系统和应用程序中挖掘出保密信息。你甚至能在网上买到DIY的恶意软件和钓鱼式攻击工具集,更可怕的是,其中一个名为Web Attacker的软件还提供维护协议,只需额外费用就能得到这种维护服务。同时,越来越精密的钓鱼式攻击也将目标锁定在更小型的企业身上。
"情况不会变得更好,有些人甚至认为情况会变得更糟。"谈及现今一般企业所面临的安全威胁,Intelguardians安全顾问公司合作创始人兼美国系统网络安全协会互联网风暴中心(SANS Institute Internet Storm Center)事故处理专家Ed Skoudis表示,"威胁已经在往很坏的方向发展,谋取利益是这些威胁的惟一动机。"
今天,安全威胁正变得越来越精密,HostGator所受到的攻击具备其中许多典型特点,这次攻击还进一步显示出Windows中零日漏洞的数量正与日剧增。据电子眼数字安全公司(eEye Digital Security)表示,不计算其他应用上的漏洞,仅Windows在今年就至少发现了8个零日漏洞。
当然,这一点在《InfoWorld》的调查中也有所体现,有51%的人认为日益精密的攻击是最大的安全问题。另外,也有50%的用户认为特洛依木马、病毒和其他恶意代码才是对网络安全的最大威胁。
Sunbelt软件公司研发副总裁Eric Sites对此并没有感到意外。在过去的几年里,特洛依木马通常使用恶意软件下载到设备上,常导致PC突然停机。"他们是挺讨厌的。"Sites表示,"但比起今天的恶意软件就是小巫见大巫了,今天的恶意软件不仅偷窃密码、发送垃圾邮件和连接僵尸网络(Botnets),而且还没有明显的迹象可循。"
对于企业来说,更糟糕的是,攻击者开始聚集在Cyberbazaars(网络市场)上。在那里,这些攻击者们就密码和其他通过恶意软件收集到的信息进行交易。Sites表示:"目前,那些人所做的就是想方设法得到你的钱、信用卡号码以及其他能用来卖钱的私人信息。"
攻击严峻性上升
安全专家表示,过去12个月内他们网络受攻击的数量有所下降,平均每家公司受到331次攻击,成功数只有39次。而在去年的调查中,平均每家公司受到攻击368次,成功数为44次。相比之下,今年的情势有所好转。
不幸的是,这并不意味着网络更安全了,至少SecureWorks公司的首席技术官Jon Ramsey并不这么认为。他监控着约5000台入侵防护系统设备的互联网攻击情况。
他指出,虽然整体警报数量有所下降,但严重攻击的数量却在急剧上升。据此推理,攻击数量减少的原因着实令人感到不安:在从恶作剧忽然转型时,唯利是图的攻击者是极不可能浪费时间和机会来使用过期或无效技术的。
在成功侵入的例子中,对受害用户来说,企业ID的欺骗(网络钓鱼式垃圾邮件的一个共同技巧)是最普遍的。在调查中,有25%的用户表示他们遇到过这种情况,比起去年的23%,比例有所上升。"对此次比例的上升也没什么可惊讶的。"Sunbelt公司的Sites表示,"事实证明,一个50美元的钓鱼式攻击工具包就能提供模板,甚至能模仿十大最受欢迎银行网站的最详细资料。"更糟糕的是,钓鱼式攻击以前主要集中针对大企业(如易趣),现在却也渐渐成为规模小得多的企业的一个问题。SecureWorks公司的Ramsey表示,据他的公司计算,有56%信用卡合作公司都遭受到钓鱼式攻击。
此次报告也显示,对操作系统缺陷进行攻击的成功率已是连续的第二年有所下降。在《InfoWorld》的调查中,仅有23%的人表示有遭受过针对操作系统的攻击,比起去年的24%和前年的40%是有所下降的。同时,在报告中针对Web应用、路由器或网络基础设施其他部件上弱点的攻击率也是有所下降或是基本持平。
"软件供应商似乎很清楚地知道企业对安全的重视程度,安全性是企业购买产品时要考虑的一个非常重要的功能。"Gartner公司互联网安全副总裁John Pescatore表示,"我们发现使用漏洞检测工具的软件供应商正变得越来越多。"
来自内部的威胁
与黑客入侵同样致命的是,用户也面临着许多来自其企业内部的威胁。没有比企业自身缺乏一个全面安全规划更为突出的问题了,调查中多达42%的人表示,他们的企业没有文档化的安全策略。这比起去年有了轻微改善,去年的调查显示,没有正式策略的比率达到了46%。
但几乎同样令人沮丧的是,调查中有18%的人有正式策略却没培训员工如何遵循这些策略。Pescatore 表示:"老话说得好,磨刀不误砍柴工。"尽管现实中执行一个策略可能会有大量工作,但美国系统网络安全协会(ANS Institute)仍通过在其网站上免费提供一个样本安全策略,并对这个过程进行了大量投入。
安全策略抵制和实施过程中有很长时间花在解释隐私漏洞问题上,这个问题在今年一年的大部分时间占据了新闻的头版头条。比如一个很知名的案例,一名美国退伍军人事务部(Department of Veterans Affairs)员工的居所被盗,一台存有约2650万退伍军人保密信息的电脑被偷。
而在这个案例中,那个员工工作的机构有着严格的安全策略,只是员工未得到授权许可就将数据带回家。这一事件突出了一个严峻的事实--要想员工完全遵循策略可能是很难的。《InfoWorld》在调查中还发现,只有55%的人表示在PC机和手提设备上部署加密软件,而加密软件正是可长期、安全防护数据,避免数据落入错误人手中的解决方案。
用户并没放过来自企业内部员工的威胁,他们中56%的人将不能遵循安全策略的员工作为一个显著的安全问题。华盛顿信托银行(Washington Trust Bank)首席信息官Jim Brockett表示:"我们现在正处于必须严肃考虑'对于互联网威胁我们要做些什么?'这一问题的关键时刻。"这里的"我们"指的是普通员工。
他表示仍需特别警惕"社会工程学"风险,那些巧舌如簧的访问者扮作PC修理工或用户久未联系的亲友,通过与员工交谈来获取保密数据,或提供到其网络的物理访问。
对员工进行监控
Brockett 还表示需要警惕员工可能偷窃数据的威胁。这与隐私保护公司CardCops公司的首席执行官Dan Clements的想法不谋而合。Clements总匿名上网络聊天室,他每一天都能发现有被偷的社会保障号码、信用卡账号和其他保密信息。他表示:"数据背后的价值正将这数据从现实带入网络空间。"他指出,数据小偷现在只需付20美元就能得到一定的数据。
企业目前正考虑许多解决方案来应对来自内部的威胁。多年来,用户的IT专家使用防病毒软件、防火墙和VPN系统来防止坏人侵入,现在他们则是使用产品来帮助保护信息不外泄。
调查中,有24%的用户表示,他们已经部署了员工监控解决方案,同时另有8%的人表示他们计划在明年引入此类系统。有44%的用户表示,他们监控或过滤出站的电子邮件,还有8%的人表示他们将在未来12个月内这样做。?
Brockett采用来自NextSentry公司的一种欺诈监控服务来防止公司员工偷窃数据。无论何时,员工从一个托管的应用程序(如银行的数据库)拷贝数据,然后粘贴进一个未托管的应用程序(如一个Web浏览器或电子邮件系统),Brockett都能得到有关通知。这个解决方案还能阻止U盘和其他未经批准的USB设备的使用。
传统技术只要适当配置也能成为很好保护安全的重要工具。不过据《InfoWorld》的调查,对恶意代码扫描和网络监测的新技术的需要正日益增加。"我们必须发展行为监控系统。"趋势科技公司互联网内容安全首席技术官Dave Rand表示,"设备可以设定在早上3点起动,它能分析是否发送电子邮件。"
假设安全产品提供商能够开发如此精密的产品,不管是多么细微问题都将被收到已充满昂贵安全解决方案的市场中,当然,许多用户对此都在心中打一个大大问号。据调查显示,仅有35%的人预期,明年他们的安全预算会有所增加。
进行回击
重新看看HostGator公司,当知道攻击者是通过名为cPanel的一个网站管理应用上未知漏洞渗透进HostGator防护系统时,Oxley和他的团队终于掌握了主动权,占得了上风。不法分子是通过这个漏洞进入防护系统后,以HostGator的服务器为据点,使用一个零日弱点阻挠微软 Windows使用VML(向量标记语言)提供图表。据统计,攻击者感染的HostGator运行的设备200多台。Oxley还表示,攻击者至少还攻击了两种其他主机服务,虽然他并未透露主机名称。
虽然Oxley的团队最后平息了这件事情,Oxley本人像我们调查中许多人一样还得进行整个事件的反思。"我们面临的最大风险是,某一天早上起来,突然发现情况,这种情况糟到使所有Web主机公司的业务都停了。"
如说这些想法只是杞人忧天那就太好了。不幸的是,许多Oxley的同行可以证明,他的担忧很切合实际。
各种威胁对网络安全的影响指数
请估计以下安全威胁对您企业网络安全造成的影响?
特洛伊木马、病毒、蠕虫以及恶意代码(无关源程序) ………… 50%
间谍软件 ………… 45%
垃圾软件 ………… 44%
员工失误(无心的) ………… 39%
应用程序漏洞 ………… 37%
数据被员工或商业合作伙伴窃取 ………… 27%
黑客 ………… 36%
内部人员蓄意损坏 ………… 30%
无线LANs ………… 30%
新技术的部署(如无线LANs,远程访问) ………… 27%
商业合作伙伴的失误(无心的) ………… 24%
不属竞争对手和网络恐怖主义范畴的无意入侵者、员工或合作伙伴 ………… 20%
网络恐怖主义 ………… 19%
不能遵循政府调整命令 ………… 16%
竞争者派来的间谍 ………… 15%