CIO需注意十大企业安全威胁 不可忽视

常言道,知识就是力量;于是我们采访了那些身处一线与不法分子作斗争的安全专家,帮助我们整理出了从针对性攻击到IPv6的十大企业安全威胁,建议贵企业如何才能最有效地减小随之带来的风险。

一、针对性攻击

针对性攻击又叫高级持续威胁(APT),这其实不是新出现的攻击,而是一个新的统称术语,指一伙人全方位收集情报。英国电信集团负责业务连续性、安全和治理的集团主管Jeff Schmidt说:“这伙人具有高超的侦察能力,以确定最佳的攻击途径。与此同时,持续性指明了这种攻击具有的具体性质。这类攻击具有针对性、持续性,直至达到目标,而不是打一枪换个目标。”

为了减小沦为针对性攻击受害者的风险,GData软件公司的安全宣传官Eddy Willems提醒,企业在选择安全解决方案时一定要小心。Willems说:“由于这些针对性攻击体现出来的人为因素,企业选择的解决方案应该包括行为阻止、应用程序控制和启发式分析等技术。教育用户以了解风险、如何识别这些攻击,这同样很重要。”惠普旗下Arc Sight公司的Jay Huff建议企业应采取通盘考虑的方法,分析企业网络上出现的情况。Huff说:“在军事领域,这叫作态势感知,换句话说就是观察环境。”

“目的在于观察可疑模式呈现出来的总体行为模式。”

二、高度复杂的恶意软件

恶意软件不是新的威胁,但它仍是企业面临的最大威胁之一,原因在于不法分子继续变本加厉,设计出了一些隐蔽性相当强的复杂漏洞,企图访问贵企业的数据。安全公司M86 Security Labs的Ed Rowley告诉我们,“复杂的恶意软件出现了显著增加”,这种恶意软件可以通过联合嵌入式文件(Combined Embedded Files)来扩散。这一类攻击常常不被网络钓鱼防护机制发觉;所用的其中一种方法就是,将HTML版本的克隆网站附加到电子邮件上,而不是直接与克隆网站建立链接。

联合攻击呈上升态势;2011年上半年,M86 Security Labs发现无数的针对性攻击使用了带嵌入式Flash(.swf)文件的微软Excel文件,目的是为了钻安全漏洞的空子。这种方法曾应用于针对RSA安全公司发起的针对性攻击,很难被反病毒软件及其他安全解决方案发觉,因为这两个部分必须分开来进行分析。Rowley提醒道,“如果企业没有合适的补丁管理政策,又采用过时的网关保护机制,会开始发现要阻止采用复杂恶意软件方法的这类攻击,注定会失败。”

三、SQL注入攻击

你可能认为:到现在为止,SQL代码注入技术这种攻击方法早就没戏了。毕竟,每个人都了解它们,它们早已过时了,果真如此吗?不妨把这个问题抛给Heartland支付服务公司或索尼PlayStation网络之类的组织,两者不幸成为了主要采用SQL注入技术的攻击的受害者。代码注入技术只是利用了出现在应用程序数据库层的某个安全漏洞,随后恶意代码被注入(或被录入)到任何空子,比如用户输入登录资料的地方。随后,恶意代码让不法分子可以获得管理员权限,进入企业网络上权限所允许的地方。

戴尔旗下Secure Works公司反威胁部门研究小组的Don Jackson表示,所有企业都应该利用“任何形式的输入验证机制,确保只允许一种预期的输入。”Jackson提醒:“保护Web应用程序在上面运行的Web服务器,Web应用程序从中提取信息的数据库,以及Web服务器、应用程序和数据库驻留在上面的操作系统,这一点很重要。”

与此同时,Webroot公司的技术工程主管Jacques Erasmus表示,更严格的分析和标准是将来的出路。Erasmus告诉我们:“最近发生了几起重大的黑客攻击事件,客户信息因而遭到泄密,这暴露了如今的在线和互联网基础设施存在的薄弱环节。”

“要减小这些风险,起初最有效的措施就是评估这类攻击是如何发生的,并采取必要的措施,比如采取更严格的编程标准。然后,公司企业必须分析哪些环节面临的风险最大,并采取专门定制的方法来堵住这个环节。”

四、分布式拒绝服务(DDoS)

另一种老套的攻击手段再次备受媒体的关注,这还得感谢出于政治动机而对大型网上组织发动的重大攻击。DDoS攻击从来就没有真正消失过,不过在维基解密事件之后,这种攻击多少出现了卷土重来的迹象,黑客行动主义活动似乎再次抬头。惠普公司欧洲、中东和亚洲地区负责信息安全的首席技术官Richard Archdeacon说:“社交网络通讯活动的崛起,加上易于使用的黑客工具广泛普及,已吸引了新一代的年轻黑客行动主义分子,他们把自己看成是网上捍卫自由权的勇士,肆意攻击他们认为是政治敌人的企业或组织。”

问题在于,DDoS攻击采用了蛮力:利用庞大网络流量来造成混乱局面,实际上利用了合法的应用服务,这种方法已被称为非安全漏洞或“零分钟”攻击方法。Radware公司的Ron Meyram警告:“标准的安全解决方案依赖静态特征码保护技术来对付已知的安全漏洞,依赖基于出现频率的保护技术来对付高容量攻击和未知攻击。”“传统的边界安全依赖定期更新特征码,由于没有哪个解决方案能对付基于非安全漏洞的攻击,因而企业很容易遭到零分钟攻击的破坏。如此看来,解决办法应该采用基于行为的实时特征码技术,包括拒绝服务(DoS)防护、网络行为分析、信息保护服务和信誉引擎。”

五、IPv6

互联网协议版本6(IPv6)也上了企业安全威胁榜单似乎很奇怪,但请耐心听我们解释。6月8日即大名鼎鼎的IPv6日带来的喧嚣早已消退,谷歌和Facebook等公司现在通过IPv6网络来提供大部分公共服务。使用IPv6后,IP地址空间从32位增加至128位;地址范围加大后,很难认定设备会与任何特定的一段IP地址相关联,随机的攻击应该会减少。

据Sourcefire网络安全公司的Leon Ward声称,但随着每家企业最终不得不实施IPv6,安全问题很快浮出水面。Ward提醒:“IPv6给黑客们带来了一大堆的新机会,可以好好利用。”“当前的IPv4网络安全基础设施大部分与IPv6不兼容,有时可能会导致系统完全敞开。随着你购买新的设备、更新操作系统,可能会发现IPv6在默认情况下会被启用。”减小这些风险的最佳办法又是什么呢?Ward解释:“贵企业要满足安全方面的要求,采取同时支持IPv6和IPv4的控制措施、安全解决方案和政策显得至关重要。”