【51CTO.com 專家特稿】安全方面值得關(guān)注的消息較多，云計(jì)算的安全問題仍是近期的熱點(diǎn)，上周Google Docs泄漏用戶敏感文件的風(fēng)波剛過，云計(jì)算服務(wù)對(duì)現(xiàn)有安全標(biāo)準(zhǔn)和法律法規(guī)在遵從性方面的缺失再次被安全行業(yè)所關(guān)注。惡意軟件的威脅在近段時(shí)間進(jìn)一步提升，安全廠商已經(jīng)捕獲到基于DHCP協(xié)議和專門針對(duì)ATM自動(dòng)柜員機(jī)的惡意軟件樣本。在本期回顧的最后，筆者仍為朋友們精心挑選了兩個(gè)值得一讀的推薦閱讀文章。

近期（090316至090322）安全要聞回顧

本周的信息安全風(fēng)險(xiǎn)為低，軟件廠商Adobe在3月18日為旗下產(chǎn)品Adobe Acrobat和Reader的7、8、9版本分別推出了安全更新程序，主要修補(bǔ)此前發(fā)現(xiàn)的能夠?qū)е掠脩粝到y(tǒng)感染惡意軟件的遠(yuǎn)程代碼執(zhí)行漏洞云計(jì)，建議用戶盡快使用Adobe Updater自動(dòng)升級(jí)，或從Adobe網(wǎng)站上下載并應(yīng)用程序。

云計(jì)算安全：云計(jì)算方案的合規(guī)性遵從風(fēng)險(xiǎn)引人關(guān)注；關(guān)注指數(shù)：高

由于最近一段時(shí)間全球的經(jīng)濟(jì)狀況持續(xù)惡化，云計(jì)算作為一種廉價(jià)高效的信息存儲(chǔ)和處理方式，就成為許多關(guān)注于降低IT運(yùn)維成本的企業(yè)的選擇。云計(jì)算方案的提供商也應(yīng)時(shí)提供了多種靈活的解決方案供用戶企業(yè)選擇，如Google和Amazon都允許用戶企業(yè)在其云計(jì)算平臺(tái)服務(wù)器上運(yùn)行用戶自己的互聯(lián)網(wǎng)應(yīng)用程序，而Salesforce等其他的服務(wù)提供商則向其用戶企業(yè)提供了多個(gè)特定用途的服務(wù)。

云計(jì)算市場份額快速擴(kuò)張的同時(shí)，因?yàn)槠洳煌趥鹘y(tǒng)應(yīng)用系統(tǒng)的架構(gòu)和安全形式，也使得安全業(yè)界和眾多用戶對(duì)云計(jì)算的安全性產(chǎn)生了顧慮。在上期回顧中筆者曾經(jīng)和朋友們一起關(guān)注過Google Docs存在泄漏用戶文件和隱私信息的消息，Google在收到受影響用戶的反饋之后，迅速通過移除用戶文件共享權(quán)限等操作來修補(bǔ)該漏洞，但這個(gè)事件還是給很多用戶留下了云計(jì)算不夠安全的壞印象。

本周在波士頓舉行的SOURCE安全會(huì)議上，安全專家向公眾揭示了云計(jì)算方案在安全上的又一個(gè)潛在風(fēng)險(xiǎn)——合規(guī)性遵從（Compliance）。盡管云計(jì)算服務(wù)商都向用戶承諾其服務(wù)的可靠性，保證7×24的在線率，但如何保證用戶存放在云計(jì)算平臺(tái)上的數(shù)據(jù)的安全，仍不在大多數(shù)云計(jì)算服務(wù)商的承諾范圍之內(nèi)，用戶在絕大多數(shù)情況下，也無法通過數(shù)據(jù)加密等傳統(tǒng)手段獲得更好的數(shù)據(jù)安全性。

當(dāng)然，用戶企業(yè)可以與云計(jì)算服務(wù)商簽署服務(wù)級(jí)別協(xié)議（SLA）和第三方的安全協(xié)議，通過書面的方式來進(jìn)一步保證云計(jì)算的安全性，但調(diào)查顯示許多用戶企業(yè)仍對(duì)其存儲(chǔ)在云計(jì)算平臺(tái)上的數(shù)據(jù)安全心存顧慮。此外，對(duì)現(xiàn)有的行業(yè)安全標(biāo)準(zhǔn)及法律法規(guī)的遵從性，也是用戶在選擇云計(jì)算方案作為業(yè)務(wù)數(shù)據(jù)存儲(chǔ)和處理平臺(tái)時(shí)要考慮的一個(gè)潛在風(fēng)險(xiǎn)，它存在于兩個(gè)方面：首先，用戶不可能了解到所選擇的云計(jì)算方案具體的實(shí)現(xiàn)和運(yùn)作形式，更不可能根據(jù)自己業(yè)務(wù)的需求對(duì)云計(jì)算進(jìn)行功能和實(shí)現(xiàn)上的自定義；其次，當(dāng)前使用的不少安全標(biāo)準(zhǔn)，具體規(guī)定和設(shè)置要求都不適用于云計(jì)算領(lǐng)域——如在網(wǎng)上支付領(lǐng)域廣泛使用的PCI DSS標(biāo)準(zhǔn)，就只規(guī)定了物理服務(wù)器應(yīng)該如何進(jìn)行安全設(shè)置和操作。

筆者覺得，盡管使用云計(jì)算和企業(yè)的其他IT外包項(xiàng)目并無太大區(qū)別，但企業(yè)也應(yīng)該意識(shí)到使用云計(jì)算方案并不等于將數(shù)據(jù)安全的責(zé)任也外包到云計(jì)算服務(wù)提供商的身上。在當(dāng)前云計(jì)算的運(yùn)營模式?jīng)]有發(fā)生利于用戶數(shù)據(jù)安全需求的變化，以及現(xiàn)有安全標(biāo)準(zhǔn)對(duì)云計(jì)算應(yīng)用做出相應(yīng)的修改之前，建議用戶還是不要將敏感和涉及商業(yè)機(jī)密的信息存儲(chǔ)到云計(jì)算平臺(tái)上，免得將來遇到眾多不必要的風(fēng)險(xiǎn)。

惡意軟件：惡意軟件技術(shù)快速發(fā)展，基于DHCP和專門針對(duì)ATM的惡意軟件出現(xiàn)；關(guān)注指數(shù)：高

黑客為了在企業(yè)的內(nèi)部網(wǎng)絡(luò)中擴(kuò)散他們的惡意軟件，所用的手段可以說是無所不用其極，除了慣用的遠(yuǎn)程漏洞攻擊和弱口令掃描等傳統(tǒng)攻擊方法外，黑客也打起了企業(yè)內(nèi)部網(wǎng)絡(luò)中各種常見服務(wù)的主意。根據(jù)互聯(lián)網(wǎng)安全組織SANS近段時(shí)間的監(jiān)測結(jié)果，一個(gè)基于DHCP服務(wù)的新惡意軟件目前正在互聯(lián)網(wǎng)上快速擴(kuò)散。該惡意軟件的工作原理與去年年底發(fā)現(xiàn)的Trojan.Flush.M木馬相類似，在感染企業(yè)內(nèi)部網(wǎng)絡(luò)中的一個(gè)系統(tǒng)之后，該惡意軟件會(huì)在受感染系統(tǒng)上安裝一個(gè)DHCP服務(wù)器，其后進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)的其他系統(tǒng)都可能被該惡意的DHCP服務(wù)器所欺騙，所有互聯(lián)網(wǎng)訪問的域名解析都會(huì)轉(zhuǎn)向至黑客預(yù)先設(shè)置的惡意DNS服務(wù)器。

雖然現(xiàn)在這類基于DHCP服務(wù)的惡意軟件并不多見，但因?yàn)樗惹皟赡炅餍械腁RP欺騙型惡意軟件更為隱蔽，用戶也更能發(fā)現(xiàn)、定位和消除在自己內(nèi)部網(wǎng)絡(luò)中存在的該類風(fēng)險(xiǎn)。筆者建議，用戶可通過嗅探器、IDS等網(wǎng)絡(luò)工具監(jiān)視網(wǎng)絡(luò)中DHCP服務(wù)器的活動(dòng)情況，同時(shí)觀察是否存在訪問不是已知DNS服務(wù)器的情況存在，如果有就證明可能感染了上述類型的惡意軟件（當(dāng)然也可能是有內(nèi)網(wǎng)用戶私自設(shè)置使用第三方的DNS服務(wù)器）。如果用戶使用了Windows域服務(wù)之類的內(nèi)網(wǎng)管理方案，防護(hù)基于DHCP或DNS服務(wù)的惡意軟件就更為簡單，只需通過防火墻禁用除內(nèi)網(wǎng)授權(quán)DNS服務(wù)器外的所有外部DNS查詢請(qǐng)求即可。

自動(dòng)柜員機(jī)ATM是犯罪集團(tuán)最常攻擊的目標(biāo)之一，使用附加的卡復(fù)制器、通過網(wǎng)絡(luò)釣魚獲取用戶信息并制造偽卡，甚至使用炸藥來爆破，攻擊的手段可謂是種類繁多——反病毒廠商Sophos的新發(fā)現(xiàn)，又暴露了犯罪集團(tuán)對(duì)ATM機(jī)攻擊的一種新手段：惡意軟件。本周來自Sophos的研究人員稱，犯罪集團(tuán)正利用能夠在ATM機(jī)上運(yùn)行的新一代惡意軟件，偷取ATM用戶所輸入的各種信息。

根據(jù)惡意軟件樣本分析的結(jié)果，這種攻擊最早在今年初出現(xiàn)在俄羅斯，黑客破解了ATM廠商Diebold在一月份為其基于Windows的產(chǎn)品發(fā)布的軟件更新補(bǔ)丁，并在其中插入了一個(gè)惡意軟件。在稍后的調(diào)查顯示，黑客必須通過物理接觸ATM機(jī)才能夠在ATM機(jī)上安裝上述惡意軟件，但在黑客本身是金融機(jī)構(gòu)內(nèi)部人員或得到內(nèi)部人員的協(xié)助的情況下，并不難達(dá)到這一目的。

盡管Diebold在稍后的消息發(fā)布中稱，在ATM機(jī)上安裝惡意軟件的攻擊者已被抓獲，并正在進(jìn)行調(diào)查，但這種對(duì)ATM機(jī)的惡意軟件攻擊趨勢仍值得我們關(guān)注，只需熟悉ATM機(jī)的內(nèi)部軟件運(yùn)作機(jī)理和銀行的業(yè)務(wù)流程，一個(gè)有編程經(jīng)驗(yàn)的黑客是能夠?qū)懗隹梢栽贏TM機(jī)運(yùn)行的惡意軟件，再加上有銀行內(nèi)部人員的配合，一次針對(duì)ATM機(jī)的惡意軟件攻擊就可以實(shí)施，而且這種威脅和傳統(tǒng)的ATM攻擊手法比起來，無需添加額外的設(shè)備，因此也更為隱蔽和難于消除。筆者覺得，ATM廠商和金融機(jī)構(gòu)應(yīng)該開始關(guān)注ATM機(jī)的軟件和網(wǎng)絡(luò)安全問題，并將其提升到和物理安全同等重要的地位，而目前大多數(shù)的ATM系統(tǒng)仍沒有專門針對(duì)惡意軟件或?qū)ζ滠浖膼阂庑薷牟渴鸱烙胧?，網(wǎng)絡(luò)邊界安全措施也有所缺失，這一點(diǎn)也值得安全行業(yè)所關(guān)注。

推薦閱讀：

1） DIY安全測試實(shí)驗(yàn)室；推薦指數(shù)：中

許多朋友有興趣于測試安全工具、分析惡意軟件和漏洞或?qū)W習(xí)安全技能，一些企業(yè)的IT部門也常常需要對(duì)一些安全工具進(jìn)行適應(yīng)性測試，因此，使用手頭上的資源DIY小安全測試實(shí)驗(yàn)室是一個(gè)不錯(cuò)的解決辦法。Darkreading.com文章《DIY安全測試實(shí)驗(yàn)室》介紹了在這個(gè)過程中的主要注意事項(xiàng)，推薦有這方面興趣的朋友了解下。文章的地址如下：

http://www.darkreading.com/security/management/showArticle.jhtml?articleID=215901457&subSection=Security+administration/management

2） E-Health可能面臨的14個(gè)安全風(fēng)險(xiǎn)；推薦指數(shù)：高

醫(yī)療過程的信息化是未來發(fā)展的一個(gè)趨勢，盡管在國內(nèi)還沒有大面積的推廣醫(yī)療信息化技術(shù)和方案，但事先了解E-Health可能遇到的各種問題，可以作為醫(yī)療行業(yè)在實(shí)施信息化過程中的重要參考。歐盟網(wǎng)絡(luò)安全機(jī)構(gòu)ENISA在前段時(shí)間推出了一個(gè)調(diào)查報(bào)告《E-Health可能面臨的14個(gè)安全風(fēng)險(xiǎn)》，推薦醫(yī)療和IT行業(yè)的朋友閱讀下。

報(bào)告的地址如下：

http://www.darkreading.com/security/app-security/showArticle.jhtml?articleID=216000012&subSection=Attacks/breaches

【51CTO.COM 獨(dú)家特稿，轉(zhuǎn)載請(qǐng)注明出處及作者！】