零日攻击:谁容易受到攻击?
鉴于Stuxnet如此受人关注,似乎许多系统都被该病毒感染。虽然10万个系统不算少,但是与被Renos恶意软件感染的百万个系统相比还是小数目。然而,受到感染的系统虽然比较少,但是容易受到利用多个零日漏洞的恶意软件攻击的系统数量却极其巨大(前提是零日攻击的目标为电脑中的多个软件)。
有趣的是,最应该关心多个零日攻击的企业通常是那些已经阻止了其他常见攻击的企业。如果传统攻击技术无效的话,攻击者更可能利用零日技术进行攻击。没有阻止过常见攻击的企业也会受到多个零日技术的攻击,但是他们可能已经被普通的恶意软件入侵过了。
为了确定你的企业是否容易受到此类攻击,请仔细评估现存的安全保护系统,并确定所有的这些保护是否会被最近的零日攻击绕过。企业必须自己进行这些具体的评估,因为它们取决于你系统上的各种保护措施。
注重安全的企业在评估系统和网络时需要了解利用多个零日漏洞的恶意软件,并且要把它们考虑进去。如果系统保护措施相互重叠严重,并且会以同样的方式失败,那么即使安装多层保护也可能无法提供重要的额外安全,反而会增加系统的攻击面,让管理更加困难。
企业对多个零日攻击的防御策略
为了防御多个零日攻击或者有针对性的攻击,企业不仅需要使用杀毒软件、更新补丁、采用基于主机的防火墙等标准措施,还应该考虑部署外围防火墙、基于网络的杀毒监测和阻断、以及入侵监测等,从而防御各种类型的攻击。虽然额外的多层安全在某层失败后可以提供协助保护,但是多层保护并不能真正提供足够的深层次防御。
比如,如果你的企业在台式机、服务器、电子邮件系统以及网络设备中使用相同的杀毒软件引擎,单靠这些杀毒软件监测提供的保护范围可能并不会比只在台式机中安装这种杀毒引擎提供的保护范围大多少。如果不是所有的台式机都安装了杀毒软件,或者不是所有机器中的杀毒引擎都进行了合适的操作,那么使用相同监测引擎的额外层才可能会提供额外的安全保护覆盖面。在服务器、电子邮件系统以及基于网络的杀毒设备中运行不同的或者额外的杀毒引擎,可以增加额外的零日保护或者恶意软件的监测覆盖面。
如果你的企业担心这类攻击,你可以采取额外的步骤(保护USB连接的安全)以防护或者限制攻击。如果不需要USB连接,请禁用它们,确保USB设备是在安全的配置中使用,确保USB设备的自动运行不能攻击系统。禁用USB设备之后,请锁定其他的物理安全设置,比如说系统BIOS。还有,只允许用有效的证书进行软件签名,并与应用程序白名单一起使用,从而防止恶意代码在系统中执行。微软的增强的减灾体验工具包 (EMET)可以为微软软件提供额外的恶意软件保护,防止软件被攻击者进行漏洞利用。只要有可能,企业还应该考虑不要把任务优先的系统连接到通用网络或者互联网上。
总结
Stuxnet只是使用高级功能和利用多个零日漏洞的恶意软件之一。历史的经验告诉我们,恶意软件和攻击者只需做最少工作的就可以入侵系统,而随着防护水平的提高,攻击者的水平也会相应提高。Stuxnet以及将来可能利用多个零日漏洞的恶意软件,表明了企业需要仔细评估自己的安全保护措施,并且弄清这些保护是否能够阻断以及如何阻断这种攻击。利用多个零日漏洞的攻击将会更加常见,因为在恶意软件中可以绑定攻击的平台不断涌现,而且在恶意软件中包含新型攻击变得越来越简单了。