2010年间最受安全产业关注的议题Stuxnet(编按:2010 年11月Stuxnet蠕虫攻击伊朗核电厂,锁定水库、油井、电厂等重要基础设施。大多数Stuxnet的攻击目标出现在伊朗,引发意图破坏核子设施的阴谋论说。)。毫无疑问的是,Stuxnet是一款高度精良的恶意软件,其开发动用了大量资源,不管是在时间,金钱或人力等方面来看。但就冲击度而言,多数的使用者并未受显明的影响。没错,Stuxnet的确散布到世界上许多的系统中,但对几乎是所有受到感染的系统来说,它并不是个大问题。它既不偷盗数据,不促销假防病毒软件,也不会大量传送垃圾讯息。
说Stuxnet预告了恶意软件威胁影响“真实世界”机构的新世代来临,也不完全正确。早在2003年,Slammer蠕虫就打击了俄亥俄州一个核能机构,并关闭了一个监视系统。而DOWNADConficker蠕虫攻击了多个高知名度机构如医院(甚至影响了MRI磁核共振造影),执法单位,甚至不同的军事机构。
要说Stuxnet,可以说它的独特性在于,第一次有人决定花时间,刻意以特定供货商的SCADA系统监控与数据抓取功能软件(Supervisor Control And Data Acqusition,简称SCADA)平台做为攻击目标。其技术过去就已经存在,欠缺的是进行的动力。
这类的恶意软件攻击数量少也远在今日的威胁情势之外。目前资料窃盗仍是最大的问题。趋势科技每日所发现的恶意软件中,大多数皆属数据偷盗型恶意软件。今日所见的每一件Stuxnet感染,皆相对地会发现上千件牵涉到偷盗数据的恶意软件,如Zeus和SpyEye。
从Stuxnet我们可学到两个教训。对那些和被Stuxnet视为目标类似的企业控制系统来说,这应该是一记警钟。Stuxnet攻击的“软”目标皆未受到良好的防护。这些系统之所以未受到良好防护,是因为他们是位在网络的“内部”,可能被认为其区域防护已足够。网络的安全性其实取决于其最弱的环节。因此,企业控制系统中的计算机和网络皆需要全面强化。
第三者的应用程序最常被做为入侵破坏的目标,例如Adobe Flash和Adobe Reader,因此如果不能将这两者自系统中移除的话,最好是将两者随时更新。对可移除式装置如USB记忆碟的攻击也不能等闲视之,且需加以防范。这将不会是迅速,简单或便宜就可以解决的。
不过对负责重要系统的用户而言,来自Stuxnet的危险必须要被放在适当的内容中。凭证窃盗软件是远比Stuxnet更重大的威胁。除此之外,要记得针对重要系统而来的威胁很可能目标就单只是该系统。一般的使用者更常看到的威胁类型,会是凭证窃盗和假防病毒软件类的恶意软件。
Stuxnet终归是享受了大量的媒体关注。它最主要的是对系统管理者在防护重要系统,甚至那些他们认为不会受恶意软件威胁的系统,产生警告作用而非是实际的威胁。这个问题必须要被囊括在更大的恶意软件威胁内容中,这类的威胁每日皆可见到上万新数量的产生,绝大多数都是在偷盗用户的数据。
注释:作者Ivan Macalintal现为趋势科技信息安全分析经理。