安全风险报告显示 攻击目标呈现两大转变

网络军备竞赛还在继续。如今,网络罪犯和网络间谍再次转移目标,他们成功避开大多数公司和政府机构经过多年研究开发出来的网络安全对策。面对操作系统的切实改进以及网络安全性的提升,网络攻击者锁定两个新的攻击目标,以便逃避防火墙、杀毒软件、甚至防入侵工具的监控。这两个新目标是:易被误导的用户和专门定制的应用软件。这是一个重大转变,因为网络攻击者过去只是将目标锁定于大众软件的漏洞和缺陷上。

情景1:一个中等规模但涉及敏感问题的联邦机构的首席信息安全官发现,他的电脑正在向位于中国的电脑发送数据。他就是今年"Top 20"(20大网络安全问题)的受害者之一,这是一种称为鱼叉式网络钓鱼攻击(spear-phishing)的新型网络攻击。一旦入侵成功,攻击者就能利用受害者的电脑进入其所在机构的系统,并为所欲为。

情景2:数百名高官和企业家因为访问了某个受到病毒感染的政治智囊团的网站,导致他们的电脑系统瘫痪。由于罪犯(或某国)在他们的电脑中嵌入了按键记录器,从而在他们登陆个人银行账户、股票交易账户以及雇主的电脑时,能够获取他们的用户名和密码,并将这些数据发送到国外的电脑中。从而导致银行存款丢失,股票账户金额损失,他们公司/组织的服务器处于危险之中,敏感数据被复制并发给外人。有些电脑被安装了后门,而且现在还在那里。

情景3:由于网站开发商在编制程序时的错误,导致一家医院的网站处于危险之中。敏感的病人病例记录被盗取。当攻击者确认他们得到这些数据之后,这家医院就不得不向他们支付勒索费,或者任由这些病例数据在互联网上肆意传播。

情景4:一个中学生访问了一个激活了其老版本的播放器的网站,她从来没有对这个播放器进行过更新。她只是访问了这个网站,其他什么都没做,当她打开网页时,播放器就开始自动播放。攻击者这时在她的电脑里嵌入按键记录器。然后她的父亲使用这台电脑登陆了银行账户。攻击者从而就获取了他的用户名和密码,并取走了账户上所有的钱(当然银行后来偿还了他的损失)。美国执法官员对这笔钱的去向进行追踪,最后发现这笔钱流入一个雇用人体炸弹暴徒的恐怖主义组织的账户。

所有这些情景都源自真实事件。为避免受害者感到尴尬,我们对事件细节进行了修改,将多个攻击组织在一起。现在,每天都有成千上万的此类网络安全事件发生,几千万台电脑曾受到攻击。

11月27日,SANS研究所将公布2007年20大互联网安全风险报告,这也是该研究所的第七次年度发布。该报告列举了2007年对于个人、公司和政府机构危害最严重的网络安全风险。来自六个国家的政府、行业和学术界的43位网络安全问题专家(详细名单请登陆www.sans.org/top20)给予配合,评选出这20大互联网安全风险。"Top 20"对这20大网络安全风险进行列举,您可以登陆www.sans.org/top20对相关信息进行查询。

SANS研究所今年发布的"Top 20"显示,一方面攻击者盯上了两个新目标,另一方面他们加大了针对老目标的攻击力度。尽管Top 20重点关注新攻击模式,但老攻击模式仍然存在,自动攻击程序还在不断扫描网络中的系统并随时发起攻击。SANS网络风暴中心(互联网预警系统)报告称,人们只能寄希望于在受到攻击五分钟前采取措施来免受攻击,并且只有在连接到互联网之前对电脑进行安全设置,才能经受住攻击。

2007年度"Top 20"的摘要以及最有效的防范措施见本文末。

SANS研究所技术研发总监Alan Paller先生说到,"对于大多数大型和敏感机构而言,最新的网络安全风险造成的麻烦最大。新的网络风险更加难于防范。要防范这些风险,就要持续不断的进行监控,严格遵守制度,并对违规者处以实质性惩罚。但目前只有那些大银行和最为敏感的军事机构愿意采取这些措施。"

Paller先生称,互联网应用软件的不安全性尤其棘手,因为许多网络应用开发人员在编写和配置应用时,甚至都不能保证他们能够编写安全的应用软件。大多数应用软件都提供了进入存储敏感信息的后台数据库的通路。

Paller先生说,"只有培养程序员的学校和聘用程序员的公司确保程序开发员掌握了安全编码,以及只有这些公司确保他们有一个安全有效的开发过程,我们才能不在看到近乎一半的网络应用软件存在严重漏洞。"(2007年11月20日,安全编程委员会首次发布网络编程员安全知识和技巧准则。欲知详情,请登陆http://www.sans-ssi.org/essential_skills_java.pdf)。

本年度的TOP 20项目由TippingPoint公司安全研究高级经理Rohit Dhamankar先生领导完成。TippingPoint公司在该领域拥有丰富的知识和经验,为许多最敏感的公司提供入侵防御系统。

Dhamankar先生说,"尽管2007年半数的攻击案例都与网络应用有关,但这只是冰山一角。该数据不包括专门定制开发的网络应用受到的攻击。受到攻击的网站为攻击者提供了攻击大量用户的通路,这些攻击或通过网络浏览器,或通过办公文件,也有可能通过媒体播放器。这一恶性循环使得对于网络风险的防范变得越来越困难。"

这个问题到底有多严重

Qualys公司是一家为全世界许多大型机构的系统寻找网络漏洞的公司,他们对于发现网络漏洞有着丰富的经验和卓越的能力。Qualys公司漏洞经理Amol Sawarte先生说到,"我们已经发现了Microsoft Office产品中的大量漏洞。"这些图表显示,从2006年2007年,这些产品中的漏洞增加了300%,尤其是Excel中的漏洞。在毫无戒心的用户打开通过邮件和即时信息发来的Excel文件时,这些漏洞就被攻击者利用了。

当系统成为新攻击目标的受害者时,多数情况下会感染间谍软件(包括按键记录器)。Webroot公司是最大的间谍软件查找与监控公司,对间谍软件如何传播进行跟踪。Webroot公司首席技术官Gerhard Eschelbeck先生说,"1,根据Webroot公司统计,自2007年1月以来,寄居在网站中的间谍软件数量增长了183%;2,感染窃取按键信息的间谍软件和木马程序的比例为31%,并且该比例还在继续上升;3,2007年9月对中小型公司的调查显示,有77%的公司表示他们的业务成功依赖于互联网,同时42.7%的公司声称由于感染间谍软件而受到损失。"

"TOP 20"将于11月28日在伦敦向大众发布,此次发布活动由SANS和英国国家基础架构保护中心(CPNI)赞助,届时200位著名的英国网络安全问题专家将出席此次活动并讨论相关对策。此次会议将于17:00时(协调世界时)开幕,并向媒体开放。

免费测试工具

和以前一样,Qualys公司将提供免费测试服务,使用户对"20大网络安全风险"进行检测。获得该免费测试服务,请登陆https://sans20.qualys.com。

今年,Applicure Technologies公司(一家网络应用防火墙提供商),将提供免费监控工具,此工具能够检测IIS服务器和Apache服务器受到的网络攻击。获得该免费工具,请登陆www.applicure.com/?page=Sans。

SANS研究所简介

SANS研究所是一家倍受信赖,也是现今世界最大的信息安全培训与认证机构。到目前为止,SNAS研究所已经培训了超过65,000千名信息安全专家。同时,SNAS还开发、维护和免费提供最全面的信息安全研究文献。

SNAS研究所还负责运营着互联网预警系统-互联网风暴中心。SANS研究所成立于1989年,并致力于合作研究和教育,其项目覆盖全球215,000名信息安全专业人士。通过SNAS研究所,监控员、网络管理员和首席信息安全官共同分享经验教训,寻求解决方案。SANS研究所的核心就是世界众多机构的信息安全专家,无论来自公司还是大学,通力合作,共同维护信息安全。

(能够帮助您了解20大网络安全风险的)信息安全专家:

Alan Paller,SANS研究所研究总监

联系电话:301-951-0102 x108

Email:apaller@sans.org

Rohit Dhamankar

TippingPoint公司安全研究高级经理,"SANS Top 20项目"项目经理

Email:rohitd@tippingpoint.com

Mark Osborn,英国,国家基础架构保护中心(CPNI)

Email:marko@cpni.gsi.gov.uk

以及:

Johannes Ullrich(主动攻击领域),SNAS互联网风暴中心首席技术官

Email:jullrich@sans.org

Marcus Sachs(主动攻击领域),SNAS互联网风暴中心和Verizon公司总监

Email:marc@sachs.us

Ed Skoudis(黑客查找领域),Intelguardians创始人,SNAS事件处理与黑客查找课程总监

Email:ed@intelguardians.com

Gerhard Eschelbeck,(间谍软件领域)Webroot公司首席技术官

Email:gerhard@eschelbeck.com

Amol Sarwate,(漏洞样式领域),Qualys公司

Email:asarwate@qualys.com

SNAS2007年20大互联网安全风险总览。

最新而且最难防范的风险:

1. 网络应用中的致命漏洞,导致网站被感染,网站数据丢失,也使得连接于该网站的电脑处在危险之中

最佳防范措施:网络应用防火墙,网络应用安全扫描器,应用源代码测试工具,应用渗透测试服务,而最重要的就是正式的政策,重要的网络应用应通过验证的安全过程进行开发,并且只由那些(通过测试)证明其具有编写安全应用程序的技能与知识的软件开发商编写网络应用程序。

2. 易受骗的、忙碌的、以及新的电脑用户,包括高级管理人员、IT员工以及其他具有访问特权的人,他们可能在含有钓鱼软件的邮件中按其指令进行操作,从而导致银行账户损失,全球主要军事系统以及政府承包商处于危险之中,以及商业间谍行为等。

最佳防范措施:这是最具挑战性的风险,所以安全知识培训是非常重要的,但同时也不能完全解决该问题。可以采取两种方法加以防范:(a), "演习"—定期给用户发送无恶意的钓鱼邮件,测试用户反映。对于防范意识薄弱者进行教育或开除。(b)此问题无法彻底杜绝,因此应该不断监控网络流量和系统,及时发现入侵问题。

其他日益严重但能够采取合理的技术措施进行防范的网络安全问题:

3. 公司内外的个人电脑中软件的致命漏洞(客户端漏洞)会导致公司系统瘫痪,使系统成为僵尸网络(Botnet),并使得这些电脑被当作后门,供攻击者窃取大型机构信息和控制其服务器。

l 互联网浏览器

l 办公软件

l 邮箱用户

l 媒体播放器

最佳防范措施:严格对所有应用程序进行安全配置(在安装程序时),始终对应用程序和系统软件的补丁安装和升级过程进行验证,始终对漏洞进行扫描并对找出的问题迅速提出解决方案,严格配置防火墙和防入侵系统,在网关和电脑中及时更新杀毒软件和防间谍软件。

4. 为电脑用户提供操作环境及主要服务的软件和系统中的重要漏洞(服务器端软件)

l Windows服务

l Unix和Mac(苹果)操作系统服务

l 备份软件

l 杀毒软件

l 管理服务器

l 数据库软件

l VOIP服务器

最佳防范措施:(与第3组基本相同)严格对所有应用程序进行安全配置(在安装程序时),始终对应用程序和系统软件的补丁安装和升级过程进行验证,严格配置防火墙和防入侵系统。

5. 导致恶意软件进一步侵害系统并使大量数据丢失的政策和执行问题

l 过度的用户权利以及未授权设备

l 未加密的笔记本电脑和可移动媒体设备

最佳防范措施:"无例外"政策,始终进行监控,并制定实质性的处罚措施。

6. 对于受用户欢迎的应用程序的滥用,导致用户和服务器处于危险之中,敏感数据丢失,以及利用公司系统进行非法活动,比如提供儿童色情服务。

l 即时信息

l 点对点程序

最佳防范措施:只使用安全版本的工具,或彻底禁止使用。

7. 零日攻击

最佳防范措施:创建具有"全部拒绝,部分允许"防火墙规则的,更严格的外围配置,并重新设计网络,以保护内部系统不受面向于互联网的系统的侵害。

底线:对于系统的保护,我们还有哪些没有做?

对于防范20大网络安全风险的最佳措施:

1) 配置系统。从第一天开始就采用最安全的配置,并利用自动控制限制用户安装/卸载软件。

2) 使用自动控制来保证系统处于安全配置中,即时、全面地安装软件最新版本的补丁(包括即时更新杀毒软件)。

3) 在您的边界网络使用代理,并对所有用户服务进行配置(比如HTTP, HTTPS, FTP, DNS),从而必须先通过这些代理才能够使用互联网。

4) 通过加密,数据分级进行通路控制,以及数据泄漏自动保护措施,对敏感数据进行保护。

5) 使用自动"演习",提高安全意识,对违反使用政策的人进行处罚。

6) 通过防火墙对非军事区(DMZ)进行划分。

7) 通过测试编写人的安全知识以及测试软件的缺陷,来消除安全缺陷。

总而言之,通过自动控制和测试进行辨别和验证。