小心防范十种最常见的内部安全威胁

     最近安全领域的一个热门词语是端点(endpoint):端点是指可连接至公司网络的任何一种设备,从桌面工作站笔记本电脑、个人数字助理甚至到手机。由于端点数量不断增加,光靠防火墙和反病毒软件这类保护机制再也不够了。

    犯罪分子和各种新型恶意软件采用的新手法在伺机探测网络、寻找安全漏洞。而它们找到漏洞的机会越来越大。

    专家们表示,从根本上来说,端点引起了更多人的关注,原因在于攻击计算机网络的方式出现了巨大变化。

    在任何一种攻击中,第一步就是渗入某家组织的安全边界。过去通过外部威胁来实现这一步,比如被感染的电子邮件消息。虽然目前仍有许多携带病毒的电子邮件,但这种攻击途径的效果日益减弱。

    Centennial Software公司的产品管理副总裁Bill Piwonka说:“安全公司在对付外部威胁方面一般做得很出色。”该公司是安全软件生产商,并且建有博客WatchYourEnd.com。

    一个结果就是,电子邮件病毒的效果变弱了。安全软件生产商Sophos公司的高级安全分析师Ron O’Brien说:“从2006年1月到2007年1月,电子邮件被感染的比例从40封邮件中被感染1封减少至330封邮件中被感染1封。作为一种感染途径,电子邮件日渐式微。”

    Piwonka说:“在过去,最大的威胁来自公司外部,通过互联网或电子邮件。如今,黑客及不怀好意的人企图通过其他方式进入及访问组织。他们的目光盯在了‘这家组织的系统和数据还有哪些地方存在安全漏洞?’”

    O’Brien说:“普通用户已获得了足够到位的教育,懂得不会点击主动发来的电子邮件里面的附件。于是,恶意软件编写者改变了分发病毒、特洛伊木马和蠕虫的手段。”现在的攻击活动主要致力于把人们引到被感染的网站上,但越来越多的攻击牵涉其他种类的威胁,比如网络钓鱼。据卡巴斯基公司的Viruslist.com声称,截至2007年1月,网络钓鱼攻击比电子邮件里面的病毒还要常见。

    不过,越来越多的攻击企图绕过防火墙和反病毒程序,从公司内部未得到保护的角落发动攻击。虽然外部威胁的危害性与过去一样大、需要采用防火墙及其他防御机制加以防范,但是更重要的是关注内部薄弱环节。

    Piwonka说:“如今存在数量众多的插入式设备,这个事实绝对带来了新的风险领域。”

    当然,公司内外威胁会协同发力。比方说,对等网络是个内部问题,因为有人故意把它们安装在公司系统上;但它们之所以成为一种威胁,就在于外部人员可以利用它们来危及安全。

 

      如今存在好多安全漏洞。

    安全软件厂商Promisec公司的首席执行官Amir Kolter说:“早些年,我们调查了规模不一的30个客户;有的客户只有几百个工作站,有的在世界各地有成千上万个工作站。有的甚至拥有20万个端点。”

    据Kolter声称,结果让人沮丧。他说:“所有客户都存在内部威胁。威胁总数超出我们的预期。”此外,存在某种特定漏洞的公司其数量常常要比表明存在这种漏洞的计算机的比例高得多。Kolter表示,因而,尽管接受调查的所有端点当中只有4%安装了对等软件,但接受调查的公司当中22%存在一个或多个端点有这种漏洞的情况。

    虽然存在问题的计算机其比例似乎很低,但别忘了这点:一家组织当中只要有一台计算机存在安全漏洞,就会危及整个网络

    Promisec的部分发现结果并无新意:没有打上最新补丁的各版本Windows、需要更新特征文件的反病毒软件,等等。不过,Promisec发现的有些端点威胁不大常见,也不大明显。

    Promisec发现十大方面存在问题。不是每家公司都存在所有这些问题,但它们都至少存在其中一个问题。在某些情况下,端点威胁是完全可以消除的,比如没有打上最新安全补丁的计算机。在另一些情况下,比如未得到保护的USB设备,解决办法就是通常使用软件执行的安全政策来控制该漏洞。

    一、USB设备

    Promisec的调查发现,最大的威胁是未加登记或未加保护的USB设备。接受调查的端点当中约有13%存在这个威胁。

    这不只是理论上让人担心的问题。扬基集团在早些年的一项调查发现,接受调查的公司当中37%认为,USB设备被用于泄露公司信息。

    感染的来源未必是内部员工。来访者(不管有没有受到邀请)访问公司的计算机后,就能轻易插入拇指驱动器。更精心策划的是,前几年有家计算机安全公司往20只USB驱动器上安装了窃取密码的恶意软件,然后把它们故意扔在目标公司外面的停车场及其他有可能被捡到的地方。结果,50%的驱动器被该公司的员工捡到了,他们插入计算机后想看看里面有什么东西;短短数小时之内,这家安全公司就源源不断地获得了密码及其他关键数据(这家安全公司是Secure Network Technologies,它当时在客户地方测试安全)。

    Windows下的USB设备保护机制相当有限。你基本上只能启用或禁用系统上的USB。由于USB是Windows的默认外设连接,所以这带来了极大的限制。不过,Sophos、Devicelock或Promisec等第三方软件对USB设备提供了基于安全政策的管理,从而摆脱了这种限制。

    二、对等文件共享

    虽然公司政策常常禁止使用未经授权的对等(P2P)文件共享程序,但接受调查的计算机当中还是有4%安装了这类应用程序。这个问题变得日益严重。不但更多的对等网络出现在了公司网络上,计算机犯罪分子也开始大规模使用对等网络来危及并控制计算机。

    据安全软件公司Prolexic声称,P2P如今被用于针对公司网站发动分布式拒绝服务攻击。该公司表示,它发现有一种名叫dc++的基于P2P的分布式拒绝服务攻击动用了30万台受到危及的计算机。

    未经授权的P2P软件可能是导致信息泄漏的一条重要途径,以至于有人建立了一个名为See What You Share的网站,仅仅为了显示通过文件共享、可以从政府部门窃取哪些信息,包括绝密文件。

    当然,P2P文件共享也是非法分发盗版材料的主要方式之一――如果美国唱片业协会(RIAA)的律师发出律师函,你不但面临巨额罚金,还会陷入尴尬境地。

    三、反病毒问题

    Promisec的调查发现,大约1.2%的计算机其反病毒软件存在问题,通常表现为特征文件过时。

    由于各大反病毒软件厂商每周发布的更新程序在1200个到2400个之间,让保护机制处于最新版本显得很重要。特别是由于恶意软件编写者使用的一种感染手法就是,趁安全厂商还没有来得及响应,在尽可能短的时间内感染尽可能多的计算机。比方说,在2001年7月19日,“红色代码”蠕虫在短短14个小时内感染了359000台计算机。

    让人意想不到的是,“红色代码”攻击的目标居然是Windows系统当中两年多前就已经有补丁的一个漏洞。

    四、过时的微软服务包

    运行未安装最新更新程序的Windows是另一个严重问题。大约1.5%的受调查计算机没有为该操作系统更新最新版本的服务包。

    及时更新软件是一条安全基本常识,每家公司都在设法做到这点,但大多数公司是借助于自动更新。

    然而,为公司的每个台式机打上补丁已经是一项艰巨任务,更不用说还要顾及连接到网络上的笔记本电脑、个人数字助理和手机了。总会有漏网之鱼;同样道理,只要有一个端点存在已知安全漏洞,就足以危及整个网络。

    Windows服务包是个特殊问题,因为有些软件免不了会存在一些问题。以服务包2为例,微软承认50款主要的应用程序最初无法与该服务包兼容,主要原因是该服务包在默认情况下打开防火墙。等所有厂商步调一致、微软发布了服务包,通常已经是几周、甚至几个月以后的事。如果你的用户需要使用的软件在新的服务包发布后无法兼容,一个常见的解决办法就是“暂时”放弃安装该服务包,直到微软公司解决了相关问题,再安装。这意味着到时你要回过头去,检查一下那些系统更新了微软发布的最新程序――如果你记得的话。

    五、未安装安全代理

    许多公司要求在所有端点上安装代理。这种代理可以监控网络流量、确保补丁版本最新、跟踪及报告失窃的计算机。不过,需要这种代理未必意味着实际安装了代理。理应安装这种代理软件的端点当中约有1.2%并没有安装。

    据Kolter声称,以下五个问题在调查样本中出现的概率不到1%。

    六、未经授权的远程控制软件

    远程控制软件对诊断软硬件方面的故障大有帮助。但这类软件对不法分子来说同样大有帮助,因为它为进入计算机提供了一条便道。

    在某些情况下,PCAnywhere等远程控制软件由需要能够从其他地方访问台式机的用户来安装。在另一些情况下,却是有人未经授权擅自安装上去的,这些安装或改动的软件旨在用户浑然不知或未经同意的情况下,允许第三方使用系统。

    尽管存在明显的危险,但调查发现,还是有近1%(0.82%)的受调查计算机安装了不该安装的远程控制软件。

    七、媒体文件

    未经授权的媒体文件之所以很危险,一是由于所含内容本身,二是可能隐藏在里面的恶意内容。视频和音乐文件成了有人偷偷把恶意软件植入一家组织的越来越普遍的方法,包括间谍软件、特洛伊木马、病毒以及你能想到的几乎其他各种恶意软件。

    一种流行的方法就是,把利用媒体播放器中安全漏洞的代码嵌入到媒体文件中。比方说,被感染的媒体文件可以打开用户计算机上的某个恶意网页,利用该网页自动感染该系统,然后再由该系统感染整个网络。因为这种攻击基本上不需要用户的交互,所以用户常常甚至不知道发生了什么情况。

    连唱片行业也玩起了这一招。2004年,一家为唱片公司服务的公司开始往多个文件共享网站植入媒体文件,该媒体文件所含的特洛伊木马下载了广告软件后,可在用户的计算机上打开多个弹出式窗口。

    即使文件里面没有隐藏的恶意内容,文件本身也可能成为问题,最明显的例子就是侵犯版权、含有色情内容。

    八、没有必要的调制解调器

    不管需不需要,许多计算机、特别是比较旧的机型都含有内置调制解调器。在其他情况下,服务器里面的调制解调器直接连接到外面,用于监控及维护。不管怎样,没有必要的调制解调器提供了进入网络的另一条通道,这条没有必要的通道会随之带来众多潜在问题。

    虽然战争拨号(war dialing)这种攻击不像过去那样流行,但有些不法分子仍在使用,连接到你网络上的未加保护的调制解调器与过去一样危险。

    许多这些多余的调制解调器并不受到公司防火墙的保护;实际上,IT部门可能甚至没有认识到它们的存在。在许多情况下,用户只要把调制解调器插入到电话系统,就可以直接连接到互联网,随之带来的还有种种危险。用于监控及维护的调制解调器通常由供应商来负责,所以你得依赖这家公司来确保安全软件处于最新版本。

    虽然有些调制解调器可能有必要,特别是用于远程维护,但关键是全面清查连接到网络上的所有调制解调器,并确保连接的调制解调器既必不可少、又得到合理保护。

    九、未经授权或未加保护的同步软件

    笔记本电脑、个人数字助理、甚至手机使用同步软件来更新从日历到联系人列表的各项内容。这很方便,结合诸如Wi-Fi或蓝牙之类的技术时更是如此。然而,允许任何设备可以同步,会带来严重的安全漏洞,特别是因为许多这种程序在后台运行、用户可能不知道上传或下载了什么。至少,这让人可以访问共享文件夹和Exchange服务器

    十、无线连接

    据In-Stat公司和梅塔集团声称,如今的笔记本电脑当中约有95%随机配备了内置的无线访问功能。尽管应当汲取零售商TJX丢失大批客户信息后股价应声下跌、要求支付1200万美元的教训,但有些企业还是没有保护配备无线连接功能的所有端点。

 

     推荐的策略一般是控制威胁,而不是试图完全消除威胁。虽然端点安全面临的有些威胁(比如未经授权的对等文件共享)能够从公司网络上加以消除,但另一些威胁(比如无线连接和USB设备)对现代公司的IT部门来说相当必要。

    据Kolter声称,保护端点安全的第一步就是,制订安全政策,规定允许什么、不允许什么。他忠告:“根据组织的自身特点来制订政策。”

    Centennial公司的Piwonka说:“最终的决策需要由各个组织来决定。”这个过程常常需要让用户参与起来。“有些公司可能会说,任何人都可以使用任何一种可移动存储设备,这没有正当理由。实际上,一旦你试图制订这种政策,就有人会指出,有正当的理由需要使用这种设备。营销部门如何制作图像?如果他们需要与业务合作伙伴和分析师共享财务演示文档,主管们该怎么办?”

    解决办法就是制订详细的政策,而不是规定绝对的禁止。你可以说,只有这几种设备可以使用;或者只有这些人可以拥有这些设备。你还可以指定设备、不同的加密级别或者其他的必要方面。

    一旦你制订了政策,下一步就是堵住明显的安全漏洞。然后,公布使用政策,并且监控网络,确保政策得到了遵守。在大多数情况下,这需要软件来执行政策。

    不过与往常一样,第一步是要有风险意识。风险迟早会出现。Piwonka说:“我们发现许多公司如今认识到自己存在风险。这样一来,风险会成为一个更受重视的问题。”