对计算机安全专家们来说,2003年度是从Slammer网络蠕虫开始的,而且从那以后就再也没有好转过,不止一位计算机安全专家称该年度为“蠕虫年”和“有史以来最糟糕的年份”,但对各类组织而言,他们花费了珍贵的人力、物力、财力,对因病毒发作而受到极大影响的、从桌面工作站、服务器到机票预订系统和ATM网络的所有设备进行杀毒。2003年信息技术产业的工作人员们一直在忙于解决各种各样的安全问题,而2004年的形势有可能会更加严峻,由于端对端文件共享软件和间谍软件的不断开发和发展,网络安全将面临更多威胁和新的挑战。
2004年的网络安全形势会更加恶劣,各家公司由于病毒破坏所造成的损失将达到至少10亿美元。一些类似于Slammer和冲击波类型的病毒还会继续攻击网络。所谓的“零天攻击”,即由于技术能力的增强,病毒程序编写人员可能会在其它软件的漏洞被发现之前就开发出了病毒程序,从而使人们来不及打补丁就已经中招。这种“零天攻击”将在2004年有所增加。2004年信息安全开支的重点是对付黑客和病毒,其次是管理雇员通过虚拟专用网的访问和身份管理应用软件。安全开支排在前三位的是杀毒、入侵探测系统和防火墙。安全开支的其它项目还有网络应用安全、访问控制、存储安全、反垃圾邮件、身份识别技术和无线安全等。
2003年网络安全的特点:
毫无疑问,2003年的网络安全情况是有史以来最差的一年。2003年最引入注目的新闻就是新型蠕虫病毒的增多,这些新型病毒不再通过传统的电子邮件方式进行传播,而是通过软件漏洞和互联网上的开放端口直接攻击网络系统。2003年出现的几种病毒,包括Slammer、冲击波和Nachi等,全年共感染了数千台服务器和工作站,2003年底出现的病毒数量比年初时增加了2倍多。2003年网络安全方面表现如下特点:
特点1.E-Mail攻无不克:大部分蠕虫使用 email 大量繁殖感染,其中并有一部份使用社会工程学( social engineering),诱惑使用者 Click 鼠标,激活恶性程序的攻击行为。
特点2.病毒反监控:病毒自我保护能力提升,它们借着自我压缩和加密,反除害虫(anti-debugging)、解除防毒防火等功能,让自己更加复杂,也增加侥幸苟活的机率。
特点3.黑客嗜吃臭虫大餐:系统漏洞和软件臭虫,已经形成安全保护网上的一个显而易见的污点,而这却也是黑客和病毒撰写者难以抵挡的诱惑。
特点4.DOS 动弹不得:Denial-of-Service 阻断式服务攻击,是2003 年显而易见的主流攻击手法。在2002年也一度成为主流,所不同的是,当时是以Unix平台为主要攻击目标,而今已转向为数众多的Windows 平台。
特点5.系统后门洞开:系统后门将让黑客有机会再度光临和带来更多意外的灾难,假设被入侵者的网络权限愈高,那么风险指数就相对增高。除了少数安全厂商外,市面上封锁黑客入侵Port的解决方案乏善可陈,多数系统管理者只得安装软件厂商公布的修正程序,以避免系统门户洞开。
特点6.间谍程序不请自来:在Internet上以一个含有ActiveX程序代码的简单链接,就可以让许多人毫无警觉地下载间谍程序,甚至自动安装。而一般没有反间谍程序的防毒软件和内容过滤软件并无法给无知的使用者任何警讯。
特点7.恶性程序和你同步工作:愈来愈多的恶性程序有自我检查的功能,彷佛它们在自己的程序代码里安装监视器一般,一旦受害者激活计算机,便会同步激活病毒。甚至还能在受害者开机激活个人计算机防毒软件、个人防火墙和防木马程序时,同步让这些保护措施废功,毫无作用可言。
特点8.无附件的E-mail照"毒"不误:过去教育使用者别开启来路不明附件的方法,已经不能全面防御email病毒了。因为只要稍微运用社会工程学(social engineering),就可以避免含有病毒的附件在email进入的第一道关口-网关被拦截搜身。冒充微软技术部门发修正程序(Sobig)、假装提倡遏止儿童色情光盘蔓延(Mimail),就足以让使用者自己陷自己于兵荒马乱的地步。
特点9.发病毒信不求人:病毒撰写者不再依靠Microsoft的MAPI邮件应用程序接口发病毒信,它们用自己的SMTP发信,绕道而行,可以降低被防毒软件侦测的风险。
2004年网络安全趋势预测
2004年安全的核心问题仍然集中在计算机病毒和垃圾邮件领域。尽管几乎所有人都在与垃圾邮件作斗争,但垃圾邮件的发展势头仍然有增无减,甚至远远超出人们的想象。到2004年,垃圾邮件的数量有可能达到邮件总数量的2/3。同时,这些垃圾邮件发送者还将在国外设立服务器,以增加服务器数量。这使得垃圾邮件变得防不胜防,从而迫使一些大企业被迫放弃使用电子邮件作为日常交流的主要手段。
趋势1:垃圾邮件有增无减。垃圾邮件的传播在2003年达到了最疯狂的程度,这种趋势在2004年将继续持续下去,不会有太大改观。我们不能将这种责任推卸到安全供应商的头上。因为无论是入侵检测系统、脆弱性扫描系统,还是防火墙产品,其保护攻击的能力都在不断改善。问题是这些工具必须在适当的方法下使用才能更具效力。只有企业把防护病毒作为一种责任,而不是成本开销时这种情况才不会进一步恶化。
趋势2:计算机病毒、多重入侵、乱箭齐发,看不到一丝缓解迹象。就计算机病毒和蠕虫而言,因特网用户在2004年将看不到病毒发作有丝毫停滞。立场鲜明地检举揭发某些恶意病毒制作者以及微软带头悬赏惩处“冲击波”和“大无极”病毒的始作俑者,都无助于遏止这种趋势。检举和悬赏不能阻止现实世界发生犯罪行为,同样,也不能指望它们在网络上能有多大作用。此类做法还会令人曲解病毒代码编写者的动机,因为有时候他们正是想吸引外界关注、得到别人认可而不是谋取经济利益。多重入侵的网络攻击依然会成为"必备标准配备"。恶性程序将会继续于病毒程序代码中,设法让防毒软件、个人防火墙、反木马软件等监控程序无法发挥预期的作用。另外就是通过系统漏洞传播的病毒的危害也很严重。这种病毒的传播速度很快,对网络负载也有较大的影响,致使网络防毒产品也无法及时进行更新。
趋势3:网站链接隐藏风险。在eMail上放个简单的链接,就可能使员工连上含也恶意程序的网站,并带回木马等程序。企业需借助网站过滤软件或至少制订员工上网规章制度,避免员工链接至含有恶意程序的网站,导致企业环境暴露在风险当中。
趋势4:微软是病毒和黑客攻击的目标。2004年,微软的操作系统及其产品仍是黑客和病毒制作者攻击的目标。依靠微软产品代码中的缓冲溢出而进行的安全性能开发仍将是最常用的攻击手段。此外,除微软的.Net网络服务框架、IIS(Internet Information Server)网络服务器以及Windows2003Server外,黑客还会利用Windows的“内部”弱点如远程过程调用(RemoteProcedureCall)等安全漏洞。
趋势5:实时通讯存在危机。为了更有效率的沟通,实时讯息传送软件,如 P2P 、 IRC(象MSN,ICQ等)将持续被黑客利用。类似.Net环境中发起的攻击,成功的蠕虫将攻击除移动电话和个人数字助理(PDA)在内的多个操作平台。
2004年网络安全应对策略
与传统通过软盘、光盘方式传播的文件型和引导区病毒不同,目前病毒传播方式、使用技术和带来的危害已经有了较大的变化。鉴于病毒的流行,有必要采取一些技术和管理措施以降低病毒传播带来的对企业广域网和办公网的影响。
对策1:要充分认识到所面临的内外部危险,并建立一套安全策略。正所谓知己知彼,百战不殆。只有充分了解所面临的内外部危险,并且对危险的严重性了如指掌,才能做到有效保护自己。而现实中所有企业所面临的危险不是共同的。每个企业都有自己独有的漏洞及安全隐患。随着企业网络逐步延伸到供应商、顾客及合作伙伴,外部威胁正变得日益严重。这使得网络安全在每个企业中必须得到更多的关注,在作某些决策时,须具有更高的优先权。外部威胁主要指未授权用户,如黑客、恶意破坏者及网络盗窃分子等,一些电脑缺乏安全保护的网络用户就给这些未授权用户以可乘之机。还有大多数企业未意识到的内部威胁主要是对离职员工的管理不当,使得他们在离开企业后仍能访问公司网络。另外,企业还必须考虑到因设备故障及自然灾害,如火灾,洪灾及意外事故所带来的危险。
对策2:求助专业安全公司,安全服务做到家。系统管理者必须慎选评估安全厂商,识别潜在威胁的一种方法就是求助第三方,在您购买安全硬件或软件时,让他们对您企业的计算机系统进行扫描评估,查出是否有漏洞。但有时找寻企业漏洞就像大海捞针一样。并不是所有的威胁都很明显,特别是当您没有专职的信息技术专家时。现在市场上的许多安全产品都会对整个系统进行完全扫描,这有利于管理员识别并修补安全漏洞,同时采取措施解决存在的安全问题。是否有能力实时地修补安全漏洞和持续提供可信赖的服务。主要关键在于,是否能在病毒爆发的那一刻充分发挥平日累积的实力,以先知般直觉保障网络安全。
对策3:加大中央控管力度。当企业成长到一定规模,中央集中控管将显得非常重要,不但可避免防毒软件在终端机被卸载,也可使得更新维护更为方便容易。在选择中央控管方案时,得仔细评估整体效率,包括产品结构使用是否有弹性?产品是否可与目前的网络管理工具结合?如果企业的计算机系统成长,是否依然能防止病毒的入侵?优选一种实用、好用的企业网络防毒策略,提供强大的集中控管能力。从而使企业能够更有效地管理整个企业的防毒策略。旨在能够快速部署、积极防制,主动遏止新病毒,这对于减少大量邮寄病毒的危害以及降低技术支持成本均大有帮助。
对策4:网关防毒最关键:过滤Email附件方式依然可以发挥拦截多数企图夹毒闯关的病毒。应用网关(gateway)把关,设置防毒软件,拦截企图进入企业网络的病毒文件,是最有效率的方法。在目前的邮件服务器前段安装网关防毒产品(可选措施),在目前邮件服务器上安装邮件防毒产品(需要进行合理配置,建议禁止危险附件邮件的接收和发送),从网关过滤邮件病毒。
对策5:过滤垃圾邮件兼具防毒功能。对付垃圾邮件根本的解决方法是阻止其传输。垃圾邮件制造者主要是依靠专门的邮址搜索软件和邮件群发软件,要对付它,需要借助相应的技术手段,在收发邮件的服务器将其堵在源头。过滤技术是目前反垃圾邮件用到的主要技术。邮件服务器通常会设立专门垃圾邮件用户投诉信箱,技术人员从中摘取关键词进行分析过滤,或是统计垃圾邮件的相关特征,输入反垃圾邮件引擎。另外就是加强对免费邮箱的管理,因为大部分垃圾邮件是通过免费邮箱发的。客户端是防垃圾邮件的最后一道防线,用户可以采用客户过滤软件。把接收下来的邮件进行检查和匹配,从发件地址、主题、正文内容中的关键词,对那些符合垃圾邮件特征的邮件,执行自动删除操作。这样客户端就不需要将电子邮件完全下载便能进行识别和处理了。使用防火墙对邮件附件进行过滤,保护Exchange服务器,如Foritgate防火墙支持在防火墙上进行病毒或者附件检测和过滤。在客户端(主要是Outlook)限制访问附件中的特定扩展名的文件。
对策6:针对利用系统漏洞传播的病毒要加强日常工作。使用漏洞扫描器定期检查网络中存在漏洞的主机,对于存在严重安全问题的设备使用者进行通告,未能按期修补的,按照防范策略进行断网或记入公司考评处理。网络防毒产品根据病毒防范策略定期定时进行扫描。每月进行汇总,对感染病毒次数最多的用户进行通报。移动用户在可能的情况下,需要首先进行查杀病毒后方可接入网络。日常工作中,强制要求配置Windows Update自动升级(仅对Windows 2000/XP、且能够与互联网联通的系统有效);当安全服务商紧急公告发布时(通常是严重漏洞),给全体员工(或者是经过检查,尚未安装补丁的员工)下发安全通知,将安全补丁作为附件,要求立即安装补丁并重新启动;对于已经感染病毒的主机,应该尽可能断网后进行处理,首先安装补丁,推荐使用专杀工具进行查杀重新启动系统;对于支持域的内部网来说,需要在域控制器的域安全策略上增加口令强度策略,定期对网络中的登录口令进行破解尝试。存在弱口令的主机必须及时通知使用者修改,未及时关闭者将限制网络访问。
对策7:空档期有效隔离灾区:在网络攻击频传情况下,系统管理者需要更好的管理工具,让他们能够将网域做区段式的隔离。比如在病毒疫情爆发时,下载病毒爆发防范服务)可以在第一时间内快速隔离高度风险区和受感染区,预防灾情在病毒码公布之前的空档期破窗而入。
对策8:杜绝犯一些安全小错误,不要为黑客留下把柄。
许多黑客只攻击大公司是出于道德的原因,但是他们并不是不愿意在能力所能及的范围内制造点小混乱,其实他们比用户自己都更清楚其电脑里的东西。要确保免受病毒入侵,不丢失数据,您就必须不断地升级、不断地为漏洞打补丁。
对策9:对紧急事件的快速处理。紧急事件状态是指当接收到安全服务商的较高级别安全通告或已经确认开始爆发蠕虫事件时,管理人员应该进行的应急处理工作。在这个状态下,安全管理员具有更多的权限,包括强制性补丁安装和对特定设备申请断网等。进入紧急状态时,可以使用域登录脚本给普通用户,尤其是非技术用户自动安装补丁。对于存在问题的尚未感染或已经感染病毒的服务器,通知到人,并且必须在当天完成杀毒和修补工作,否则将进行断网设置和通报备案。对于高层管理人员的设备,安全管理员将协同系统管理员一起,直接为此类用户进行杀毒和修补的工作。
对策10:灾后系统迅速还原。灾后清除与复原仍将是一个重要的议题。让企业可以在有限的时间与人力资源下,让他们的系统尽速恢复原貌。比如选择有效的损害清除服务等即可有效避免木马程序残存在系统内。
对策11:采用本地化技术支持与服务。设立本地防病毒研发暨技术支持中心,便于用户能够进行广泛的技术交流和支持,促进本地区网络安全事业的发展,协助打击网络安全犯罪和更好地服务于广大用户。因为本地技术支持中心能够为用户提供及时的不间断的专业防毒服务,必将对本地用户的网络安全起到积极的促进作用。
对策12:采取预防措施来增强企业网络系统的安全。利用密码管理软件帮助您的员工选择安全性好的密码,对时间太长的密码要设置为过期。将密码与检验结合起来,建立一种高效的认证制度。虽然不能保证防止黑客攻击,但至少起到一定的预防作用,在下次黑客敲您的门时,您可将他拒之门外。
从总体安全策略上来看,对于普通用户,尤其是非技术员工,尽量以自动和强制性执行的策略进行管理;对于服务器管理员,应该通过自主修补,安全管理员监督的方式管理;对于高层管理用户,则建议由安全管理员直接支持的方式进行。(e-works)
