對(duì)于企業(yè)來(lái)說(shuō)，木馬、黑客、病毒等網(wǎng)絡(luò)安全威脅已經(jīng)成為信息安全的重大隱患。為了保護(hù)企業(yè)數(shù)據(jù)的安全，就要清楚目前來(lái)自網(wǎng)絡(luò)的主要威脅都有哪些。

一、安全隱患：IPv6存在的攻擊漏洞

在從IPV4向IPV6過(guò)渡的過(guò)程中，企業(yè)面臨著很多信息安全調(diào)整，安全專(zhuān)家表示。讓情況更糟糕的是，一些攻擊者已經(jīng)開(kāi)始使用IPV6地址空間來(lái)偷偷向IPV4網(wǎng)絡(luò)發(fā)起攻擊。

Sophos公司的技術(shù)策略主管James Lyne表示，眾所周知，企業(yè)間從IPV4向IPV6過(guò)渡過(guò)程非常緩慢，而很多網(wǎng)絡(luò)罪犯就鉆了這個(gè)空子，很多攻擊者在IPV6基礎(chǔ)設(shè)施散步垃圾郵件并且利用了錯(cuò)誤配置的防火墻的缺點(diǎn)。

很多現(xiàn)代防火墻在默認(rèn)配置下都是讓IPV6流量自行通過(guò)的，Lyne表示。那些對(duì)IPV6流量不感興趣的企業(yè)就會(huì)設(shè)立明確的規(guī)則來(lái)嚴(yán)格阻止IPV6數(shù)據(jù)包，IT管理人員需要“知道如何與IPV6對(duì)話”，這樣他們就可以編寫(xiě)相應(yīng)的規(guī)則來(lái)處理該協(xié)議。

“從行業(yè)的角度來(lái)看，現(xiàn)在銷(xiāo)售IPV6的方式是錯(cuò)誤的，”Lyne表示，他指出關(guān)于該協(xié)議的內(nèi)置功能如何幫助提高隱私性方面的問(wèn)題很少有人探討。相反的，對(duì)IPV6難以部署的普遍觀念讓企業(yè)很容易受到潛在攻擊。

從一般規(guī)則來(lái)看，IPV4和IPV6網(wǎng)絡(luò)是并行運(yùn)行的。具有傳統(tǒng)IPV4地址的計(jì)算機(jī)不能訪問(wèn)在IPV6地址空間運(yùn)行的服務(wù)器和網(wǎng)站。隨著IPV4地址“逐漸衰敗”，業(yè)內(nèi)都鼓勵(lì)企業(yè)轉(zhuǎn)換到IPV6或者無(wú)法獲取新IP地址。負(fù)責(zé)向亞太地區(qū)分配IP地址的亞太網(wǎng)絡(luò)信息中心近日宣布所有新的地址申請(qǐng)將被分配IPV6地址。

一位安全研究人員近日發(fā)現(xiàn)攻擊者可能通過(guò)IPV6網(wǎng)站發(fā)動(dòng)中間人攻擊。InfoSec研究所安全研究人員Alec Waters表示，攻擊者可以覆蓋到目標(biāo)IPV4網(wǎng)絡(luò)上的“寄生”IPV6網(wǎng)絡(luò)來(lái)攔截互聯(lián)網(wǎng)流量，他的概念證明攻擊只考慮了windows 7系統(tǒng)，但是同樣也可能發(fā)生在Vista、Windows 2008 Server和其他默認(rèn)情況下開(kāi)啟了IPV6的操作系統(tǒng)上。

為成功發(fā)動(dòng)攻擊，攻擊者需要獲取對(duì)目標(biāo)網(wǎng)絡(luò)的物理訪問(wèn)，并且時(shí)間足以連接到IPV6路由器。在企業(yè)網(wǎng)絡(luò)的環(huán)境中，攻擊者將需要連接IPV6路由器到現(xiàn)有的IP4樞紐，但是對(duì)于公眾無(wú)線熱點(diǎn)，就非常簡(jiǎn)單了，只需要用IPV6路由器就能發(fā)動(dòng)攻擊。

攻擊者的IPV6路由器將會(huì)使用假的路由器廣告來(lái)為網(wǎng)絡(luò)中啟用了IPV6的機(jī)器自動(dòng)創(chuàng)建新的IPV6地址。

路由器廣告的作用就像是IPV6地址的DHCP(動(dòng)態(tài)主機(jī)配置協(xié)議)，它提供了一個(gè)地址池供主機(jī)來(lái)選擇，根據(jù)SANS研究所首席研究官Johannes Ullrich表示。在用戶或者IT管理人員不知情的情況下，他們的機(jī)器已經(jīng)變成IPV6獵物。

雖然系統(tǒng)已經(jīng)有一個(gè)企業(yè)分配的IPV4地址，但是因?yàn)椴僮飨到y(tǒng)處理IPV6的方式，系統(tǒng)會(huì)被打亂到IPV6網(wǎng)絡(luò)?，F(xiàn)代操作系統(tǒng)將IPV6默認(rèn)為首選連接(如果系統(tǒng)同時(shí)被分配了IPV6和IPV4地址的話)。

由于IPV6系統(tǒng)無(wú)法與企業(yè)真正的IPV4路由器進(jìn)行連接，系統(tǒng)必須通過(guò)惡意路由器進(jìn)行路由，Waters表示，攻擊者然后可以使用一個(gè)通道來(lái)將IPV6地址轉(zhuǎn)換到IPV4地址，例如NAT-PT，這是一個(gè)實(shí)驗(yàn)性IPV4到IPV6轉(zhuǎn)換機(jī)制，但是因?yàn)榇嬖诤芏鄦?wèn)題，該機(jī)制并沒(méi)有獲得廣泛支持。

“但并不意味著它沒(méi)有作用，”Waters表示。

通過(guò)NAT-PT，具有IPV6地址的機(jī)器就可以通過(guò)惡意路由器訪問(wèn)IPV4網(wǎng)絡(luò)，使攻擊者對(duì)他們的互聯(lián)網(wǎng)活動(dòng)有了全面了解。,

這種攻擊的嚴(yán)重程度還存在爭(zhēng)議，InfoSec研究所安全計(jì)劃經(jīng)理Jack Koziol表示。根據(jù)常見(jiàn)漏洞清單，“IPV6符合RFC 3484(IPV6協(xié)議)，以及試圖確定RA的合法性目標(biāo)仍位于主機(jī)操作系統(tǒng)推薦行為的范圍外仍然存在爭(zhēng)議。”

不需要使用IPV6或者沒(méi)有完成過(guò)渡的企業(yè)應(yīng)該關(guān)閉所有系統(tǒng)上的IPV6，或者，企業(yè)應(yīng)該“像IPV4一樣對(duì)攻擊進(jìn)行監(jiān)控和抵御”。

#p#

二、來(lái)自客戶和合作伙伴的安全威脅

雖然企業(yè)盡其全力確保了自身網(wǎng)絡(luò)安全，但在電子商務(wù)和網(wǎng)上銀行的時(shí)代，這些還遠(yuǎn)遠(yuǎn)不夠。IT管理人員應(yīng)該要問(wèn)：與我們業(yè)務(wù)往來(lái)的合作伙伴的安全保護(hù)工作是否到位?

答案可能是否定的，因?yàn)榭蛻艉蜆I(yè)務(wù)合作伙伴并沒(méi)有實(shí)現(xiàn)安全數(shù)據(jù)共享，例如使用加密來(lái)保護(hù)敏感信息。當(dāng)他們的計(jì)算機(jī)被攻擊者攻擊或者他們的員工以不合法規(guī)的方式發(fā)送敏感數(shù)據(jù)時(shí)，這自然也會(huì)成為你們公司的問(wèn)題。

在醫(yī)療保健行業(yè)，與個(gè)人醫(yī)療信息和個(gè)人身份信息有關(guān)的數(shù)據(jù)必須通過(guò)加密后才能發(fā)送給業(yè)務(wù)合作伙伴，Lutheran Life Communities(醫(yī)療保健供應(yīng)商，1600名員工，為老年人提供醫(yī)療保健、家庭護(hù)理等服務(wù))的信息技術(shù)主管Richard DeRoche表示。

該醫(yī)療保健供應(yīng)商安裝了數(shù)據(jù)丟失防護(hù)設(shè)備來(lái)確保個(gè)人醫(yī)療信息和個(gè)人身份信息數(shù)據(jù)傳輸安全進(jìn)行，但是令人驚訝的是，最終是業(yè)務(wù)合作伙伴的問(wèn)題導(dǎo)致數(shù)據(jù)泄漏。

“85%到90%的數(shù)據(jù)泄漏是入站的，”DeRoche指出，雖然Lutheran Life的員工遵守加密敏感數(shù)據(jù)的規(guī)則，但是該供應(yīng)商的合作伙伴確實(shí)犯下最大錯(cuò)誤的一方,真是防不勝防。

這引起了Lutheran Life法律部的辯論，關(guān)于公司是否應(yīng)該接受看似違反了HIPAA以及HITECH法案的電子郵件，這些法案都會(huì)對(duì)違規(guī)者進(jìn)行罰款。

DeRoche表示，公司已經(jīng)決定開(kāi)始向違反其安全和隱私政策的電子郵件發(fā)送者發(fā)送警告信息，信息中稱(chēng)本公司無(wú)法接受這種形式的信息。他指出，有必要建立更多的業(yè)務(wù)伙伴協(xié)議，以防止類(lèi)似問(wèn)題再次發(fā)生。

像許多公司一樣，Lutheran Life Communities發(fā)現(xiàn)很難讓業(yè)務(wù)伙伴使用加密技術(shù)，建立的微軟SharePoint作為業(yè)務(wù)伙伴共享機(jī)密信息的外部端口，這個(gè)系統(tǒng)是使用密碼和加密的系統(tǒng)，但是對(duì)最終用戶卻不實(shí)用。

銀行業(yè)也是同樣的情況，其他人犯的錯(cuò)誤可能帶來(lái)不必要的麻煩。

網(wǎng)絡(luò)罪犯很擅長(zhǎng)欺騙零售業(yè)和企業(yè)網(wǎng)上銀行客戶，有時(shí)候他們會(huì)精心設(shè)計(jì)騙局來(lái)引誘受害者電機(jī)假冒釣魚(yú)網(wǎng)站來(lái)竊取賬戶信息或者使用木馬軟件劫持個(gè)人電腦來(lái)通過(guò)自動(dòng)清算系統(tǒng)服務(wù)進(jìn)行欺詐交易。

罪犯可以遠(yuǎn)程通過(guò)受害者的電腦發(fā)起大金額支付，而這些未經(jīng)授權(quán)的付款最終由錢(qián)螺幫助他們兌現(xiàn)(錢(qián)騾指通過(guò)因特網(wǎng)將用詐騙等不正當(dāng)手段從一國(guó)得來(lái)的錢(qián)款和高價(jià)值貨物轉(zhuǎn)移到另一國(guó)的人，款物接收國(guó)通常是詐騙份子的居住地)。當(dāng)企業(yè)銀行客戶發(fā)現(xiàn)這種情況發(fā)生時(shí)，他們不得不請(qǐng)銀行幫忙，而根據(jù)法律，企業(yè)客戶對(duì)于網(wǎng)上銀行操作并沒(méi)有相同的欺詐保護(hù)。

一些銀行正在嘗試更有效的辦法來(lái)制止這種類(lèi)型的攻擊對(duì)他們的客戶和銀行體系的損害。

例如，美國(guó)費(fèi)爾菲爾德縣銀行決定，為了阻止攻擊行為，他們要求其企業(yè)自動(dòng)清算系統(tǒng)銀行客戶(約80家公司，幾百名終端用戶)使用特定的安全保護(hù)來(lái)保護(hù)ACH支付。

該銀行的所有客戶都會(huì)獲得一個(gè)IronKey Trusted Access作為網(wǎng)上銀行令牌，這是一個(gè)安全的USB令牌，可以通過(guò)IronKey云服務(wù)來(lái)管理。這種令牌保護(hù)能夠通過(guò)創(chuàng)建一個(gè)獨(dú)立于用戶操作系統(tǒng)的受控制的在線工作環(huán)境防止鍵盤(pán)記錄和基于瀏覽器的攻擊以及惡意軟件。

“這將是必需的，” 該銀行助理副總裁、現(xiàn)金管理辦公室和電子銀行業(yè)務(wù)Christina Bodine表示。

她表示，這種強(qiáng)制性安全設(shè)備將有助于保護(hù)客戶和區(qū)分銀行的服務(wù)。像其他銀行一樣，該銀行建議客戶使用專(zhuān)門(mén)的電腦進(jìn)行資金轉(zhuǎn)賬。

#p#

三、有補(bǔ)丁不打，四分之一SSL網(wǎng)站有風(fēng)險(xiǎn)

在互聯(lián)網(wǎng)工程任務(wù)組(Internet Engineering Task Force ，IETF)發(fā)布修復(fù)SSL協(xié)議中存在的漏洞(主要影響服務(wù)器、瀏覽器、智能卡和VPN產(chǎn)品，以及很多低端設(shè)備，如攝像頭等)的安全補(bǔ)丁的一年多后，仍然有四分之一的SSL網(wǎng)站沒(méi)有安裝這個(gè)補(bǔ)丁，這讓這些網(wǎng)站很容易收到中間人攻擊。

Qualys公司的工程主管Ivan Ristic近日對(duì)120萬(wàn)個(gè)啟用SSL網(wǎng)站服務(wù)器進(jìn)行了調(diào)查，其中發(fā)現(xiàn)超過(guò)25%的網(wǎng)站沒(méi)有運(yùn)行所謂的安全的renegotiation。Ristic還發(fā)現(xiàn)，在Alexa排名前100萬(wàn)的網(wǎng)站中的30萬(wàn)個(gè)網(wǎng)站中，有35%容易受到這種類(lèi)型的攻擊，這種攻擊主要是利用了SSL認(rèn)證過(guò)程中存在的問(wèn)題，可以讓攻擊者發(fā)動(dòng)中間人攻擊，并將攻擊者自己的文本注入到已加密的SSL會(huì)話中。這個(gè)問(wèn)題主要存在于renegotiation過(guò)程中，有些應(yīng)用程序要求對(duì)加密過(guò)程進(jìn)行更新。

為了解決這個(gè)問(wèn)題，互聯(lián)網(wǎng)工程任務(wù)組聯(lián)手促進(jìn)互聯(lián)網(wǎng)安全企業(yè)論壇以及一些供應(yīng)商，例如谷歌、微軟和PhoneFactor，發(fā)布SSL的修復(fù)補(bǔ)丁，也就是互聯(lián)網(wǎng)工程任務(wù)組標(biāo)準(zhǔn)中的傳輸層安全(TLS)。這個(gè)修復(fù)補(bǔ)丁(傳輸層安全TLS Renegotiation Indication Extension)于2010年一月發(fā)布。

“令人感到意外的是，頂級(jí)網(wǎng)站的安全狀況比一般網(wǎng)站的還要差，”Ristic對(duì)調(diào)查結(jié)果表示。

Ristic表示，這些容易受到攻擊的網(wǎng)站基本上沒(méi)有修復(fù)這個(gè)漏洞。“在修復(fù)補(bǔ)丁后，才能夠確保安全進(jìn)行renegotiation，”他表示，“這些漏洞系統(tǒng)也可以部署其他解決方法，通過(guò)禁用客戶端發(fā)起的renegotiation，但是他們也沒(méi)有這樣做。”

發(fā)現(xiàn)這個(gè)漏洞的PhoneFactor公司的Marsh Ray表示，這些數(shù)據(jù)說(shuō)明了修復(fù)漏洞方面的場(chǎng)景安全狀況，“有一定數(shù)量的網(wǎng)站會(huì)立即修復(fù)漏洞，然后修復(fù)后就沒(méi)有采取任何行動(dòng)了。”

Ray表示，“我們已經(jīng)盡了全力，我們讓供應(yīng)商及時(shí)地提供修復(fù)補(bǔ)丁。你可以把馬帶到湖邊，但是你不能命令它喝水。”

SSL安全問(wèn)題一直受到廣泛關(guān)注，首先是研究人員Moxie Marlinspike制造的中間人攻擊，誘騙用戶認(rèn)為他正處于一個(gè)HTTPS會(huì)話中，而實(shí)際上他已經(jīng)被攻擊者重定向到其他位置。隨之而來(lái)的是研究人員Dan Kaminsky的研究，他發(fā)現(xiàn)了SSL中使用的X.509數(shù)字證書(shū)技術(shù)存在的關(guān)鍵漏洞。

“我認(rèn)為沒(méi)有辦法讓個(gè)人用戶大幅度改善SSL部署情況。存在太多問(wèn)題，而且根本沒(méi)有人在乎。我覺(jué)得我們應(yīng)該將側(cè)重于庫(kù)開(kāi)發(fā)人員(舉例來(lái)說(shuō))OpenSSL，讓他們移除過(guò)時(shí)的功能，并且讓軟件供應(yīng)商確保默認(rèn)情況下開(kāi)啟了必要的安全功能，”Ristic表示。

他表示，從長(zhǎng)遠(yuǎn)來(lái)看，將需要其他方法來(lái)幫助確保SSL部署的安全。“從長(zhǎng)遠(yuǎn)來(lái)看，谷歌使用的方法肯定會(huì)變得非常流行，他們正在通過(guò)改善性能來(lái)實(shí)現(xiàn)安全的改進(jìn)。例如，他們的SPDY協(xié)議在默認(rèn)情況下是100%加密的。所以，所有轉(zhuǎn)移到SPDY獲取更好性能的用戶還將獲得更好的安全，”Ristic指出，“總體來(lái)說(shuō)，我們的共同努力，SPDY、DNSSEC、HSTS以及類(lèi)似的較小的協(xié)議改進(jìn)都將幫助我們實(shí)現(xiàn)更好的安全。”

#p#

四、釣魚(yú)攻擊成為主要安全威脅

成功利用釣魚(yú)郵件對(duì)安全企業(yè)(例如Oak Ridge和RSA等)造成的數(shù)據(jù)泄漏攻擊為我們敲響了警鐘，一些專(zhuān)家嗤之以鼻的低技術(shù)含量攻擊方法也可能造成嚴(yán)重威脅。

美國(guó)能源部研究實(shí)驗(yàn)室Oak Ridge近日宣布在發(fā)現(xiàn)在其網(wǎng)絡(luò)中存在數(shù)據(jù)竊取惡意軟件程序后，已經(jīng)關(guān)閉了所有互聯(lián)網(wǎng)訪問(wèn)和電子郵件服務(wù)。

根據(jù)該實(shí)驗(yàn)室表示，這次數(shù)據(jù)泄漏事故源于一封被發(fā)送給570名員工的釣魚(yú)攻擊郵件。這封電子郵件偽裝成該實(shí)驗(yàn)室的人力資源部門(mén)的通知，當(dāng)一些員工點(diǎn)擊嵌入在電子郵件中的鏈接后，惡意程序就被下載到他們的電腦中。

這個(gè)惡意程序利用了微軟IE軟件中未修復(fù)的漏洞，并且目的是搜尋和竊取該實(shí)驗(yàn)室的技術(shù)信息，該實(shí)驗(yàn)室的工程師們正在努力研制世界上最快的超級(jí)計(jì)算機(jī)。

Oak Ridge實(shí)驗(yàn)室的官方發(fā)言人形容這次攻擊與安全供應(yīng)商RSA遭受的攻擊非常類(lèi)似。

RSA數(shù)據(jù)泄漏事故導(dǎo)致了RSA公司的SecurID雙因素認(rèn)證技術(shù)信息的被竊。而在本月初Epsilon發(fā)生的數(shù)據(jù)泄漏事故也被懷疑是有針對(duì)性的釣魚(yú)攻擊行為，這次事故是有史以來(lái)設(shè)計(jì)最多電子郵件地址的事故。

分析家表示，攻擊者能夠利用低技術(shù)含量、假冒電子郵件的方法來(lái)滲透入這些受到良好保護(hù)的企業(yè)表明了有針對(duì)性的釣魚(yú)攻擊日益成熟，并且存在這樣的趨勢(shì)，企業(yè)認(rèn)為單靠教育員工就能夠緩解這個(gè)問(wèn)題。

“這并不讓我感到驚訝，” 安全公司Invincea公司創(chuàng)始人Anup Ghosh表示，“幾乎每個(gè)公開(kāi)的和發(fā)表聲明的高級(jí)持續(xù)性攻擊都是通過(guò)釣魚(yú)郵件開(kāi)始的。”

事實(shí)上，現(xiàn)在這類(lèi)郵件似乎成為攻擊者非法進(jìn)入企業(yè)網(wǎng)絡(luò)的首選方法，他表示。

“你需要做的就是設(shè)立一個(gè)電子郵件目標(biāo)，你只需要通過(guò)幾次電機(jī)就能夠在企業(yè)內(nèi)部建立幾個(gè)存在點(diǎn)，”Ghosh表示，“如果你企業(yè)有1000名員工，并且你教育他們不能打開(kāi)不可信任的附件，還是會(huì)有那么幾個(gè)人會(huì)打開(kāi)。這并不是訓(xùn)練可以解決的問(wèn)題。”

讓問(wèn)題更嚴(yán)重的就是釣魚(yú)攻擊越來(lái)越復(fù)雜，分析師指出。

越來(lái)越多的有組織的攻擊團(tuán)隊(duì)開(kāi)始使用精心設(shè)計(jì)的電子郵件來(lái)針對(duì)高層管理人員以及企業(yè)內(nèi)部他們想要攻擊的員工。在很多情況下，釣魚(yú)郵件都是個(gè)性化的、本地化的，并且設(shè)計(jì)得好像是來(lái)自可信任來(lái)源一樣。

Ghosh表示，他上周就收到過(guò)類(lèi)似的郵件。郵件發(fā)送到他的個(gè)人郵箱，看起來(lái)是一個(gè)好朋友發(fā)過(guò)來(lái)的郵件，包含一個(gè)能夠打開(kāi)朋友的女兒生日派對(duì)照片的鏈接。郵件甚至還包含朋友女兒的名字。

郵件被標(biāo)記為紅色，但是Ghosh在點(diǎn)擊鏈接后才發(fā)現(xiàn)紅色標(biāo)記。“隨便看一眼就已經(jīng)能夠說(shuō)服我去點(diǎn)擊鏈接，”他表示。

Spire Security公司的分析師Pete Lindstrom表示，“最近很多攻擊都是使用某種形式的釣魚(yú)攻擊，這個(gè)十分令人擔(dān)憂，我們總是很容易在一些安全基礎(chǔ)環(huán)節(jié)掉鏈子。”

公司必須定期記錄和監(jiān)測(cè)網(wǎng)絡(luò)是否存在這種釣魚(yú)攻擊造成的數(shù)據(jù)泄漏，他表示。

在釣魚(yú)攻擊中，企業(yè)必須更注重響應(yīng)和遏制，而不僅僅是預(yù)防，Securosis公司分析師Rich Mogull表示。

在這種攻擊中，企業(yè)常常面對(duì)的是擁有豐富資源、耐心和資金的對(duì)手。通常情況下，這樣的對(duì)手都愿意不斷嘗試直到他們攻入系統(tǒng)網(wǎng)絡(luò)。“幾乎不可能阻止這樣的人。”

因此，IT安全人員應(yīng)該注重最大限度地減少損失，Mogull表示。舉例來(lái)說(shuō)，企業(yè)應(yīng)該考慮將網(wǎng)絡(luò)進(jìn)行區(qū)域劃分，并在關(guān)鍵設(shè)備以及數(shù)據(jù)間建立“空間間隔”，以確保入侵者更難進(jìn)入網(wǎng)絡(luò)。

同樣重要的是，企業(yè)需要廣泛地監(jiān)控內(nèi)部網(wǎng)絡(luò)以確保數(shù)據(jù)沒(méi)有泄漏出去。

“有針對(duì)性的釣魚(yú)攻擊已經(jīng)不都是低技術(shù)含量的攻擊形式了，”Gartner公司分析師John Pescatore表示。

并且，越來(lái)越多來(lái)自社交網(wǎng)絡(luò)(例如LinkedIn和Facebook)的信息被用于釣魚(yú)攻擊，這使釣魚(yú)攻擊更難被檢測(cè)，他表示，“在這些社交網(wǎng)絡(luò)上，有很多個(gè)人信息和朋友的名單，從這些信息中并不難獲取非常私人的電子郵件地址，”Pescastore表示。

此外，網(wǎng)絡(luò)安全工作(特別是政府機(jī)構(gòu)和研究實(shí)驗(yàn)室，如Oak Ridge)往往側(cè)重于諸如URL阻止等問(wèn)題，以防止內(nèi)部員工訪問(wèn)色情或者非法網(wǎng)站，而不是阻止可疑的入站郵件。

“這讓他們更容易受到攻擊，如果用戶點(diǎn)擊了釣魚(yú)郵件的話，這也是員工經(jīng)常發(fā)生的事情，”他表示，“25年試圖通過(guò)宣傳和教育來(lái)提升員工的安全意識(shí)的經(jīng)驗(yàn)證明，這是無(wú)法杜絕的。”

#p#

五、安全軟件和服務(wù)并不安全?

在我們電腦出現(xiàn)病毒，或者我們希望電腦可以抵御未知的安全風(fēng)險(xiǎn)時(shí)，我們常常想到的就是安全軟件和服務(wù)。這些產(chǎn)品和服務(wù)似乎讓我們感覺(jué)自己得到了保護(hù)。然而，近日國(guó)外的一項(xiàng)調(diào)查報(bào)告卻揭示，實(shí)際上，我們的安全軟件和服務(wù)也并非是“安全”的!你愿意接受這個(gè)殘酷的事實(shí)么?

近日Veracode發(fā)布的最新報(bào)告顯示，測(cè)試的大部分安全軟件和安全服務(wù)安全評(píng)分都“難以置信”的低，也就是所有商業(yè)軟件中超過(guò)65%的安全軟件服務(wù)安全狀況并不理想。

Veracode公司最新發(fā)布的軟件安全狀態(tài)報(bào)告顯示客戶支持軟件比安全產(chǎn)品以及服務(wù)更糟糕，其中82%的應(yīng)用程序評(píng)分都非常低，而相對(duì)的，安全軟件和安全服務(wù)軟件則是72%。

Veracode掃描的所有商業(yè)軟件中有66%的軟件在第一次安全掃描中都得到了“無(wú)法令人接受”的低分，安全產(chǎn)品和服務(wù)軟件的低分?jǐn)?shù)是最令人震驚的。“這真的讓我們很驚訝，”Veracode公司產(chǎn)品營(yíng)銷(xiāo)副總裁Sam King表示，該公司對(duì)超過(guò)4800個(gè)應(yīng)用程序進(jìn)行了掃描分析，“這也解釋了最近在RSA、HBGary和Comodo發(fā)生的數(shù)據(jù)泄漏事故的原因，攻擊者開(kāi)始瞄準(zhǔn)安全公司以及其他垂直行業(yè)，這里給我們的教訓(xùn)是：你無(wú)法想象的是，安全供應(yīng)商可能都不安全。”

然而，商業(yè)軟件供應(yīng)商都能夠較為迅速地修復(fù)他們的產(chǎn)品，超過(guò)90%的供應(yīng)商在Veracode調(diào)查后的一個(gè)月內(nèi)讓他們的產(chǎn)品達(dá)到“可接受”的分?jǐn)?shù)。并且安全供應(yīng)商更加迅速，平均在三天內(nèi)就讓他們的應(yīng)用程序達(dá)到可接受的安全狀態(tài)，Veracode調(diào)查顯示。

但是為什么安全供應(yīng)商的軟件在最初的掃描分析中安全狀況如此之差呢?研究高級(jí)主管Chris Eng表示，問(wèn)題在于安全供應(yīng)商面臨著與其他企業(yè)一樣的挑戰(zhàn)：擁有安全經(jīng)驗(yàn)的開(kāi)發(fā)人員并不多。“他們不一定具備安全專(zhuān)業(yè)知識(shí)，”他表示。在參加Veracode在線培訓(xùn)計(jì)劃的安全基礎(chǔ)知識(shí)考試中，超過(guò)50%的應(yīng)用程序開(kāi)發(fā)人員只拿到C或者更低的分?jǐn)?shù)，而這個(gè)測(cè)試涵蓋了常見(jiàn)威脅和其他安全基本概念。這個(gè)考試只是作為培訓(xùn)前的評(píng)估測(cè)試，超過(guò)30%的開(kāi)發(fā)人員拿到D或者不及格，Veracode調(diào)查顯示。

“他們對(duì)于應(yīng)用程序安全基礎(chǔ)知識(shí)并不是很了解，而這些知識(shí)能夠幫助你更好地了解我們報(bào)道的其他統(tǒng)計(jì)數(shù)據(jù)，”King表示。

選擇了Veracode公司的Java和.NET安全編碼課程以及加密介紹課程的開(kāi)發(fā)人員中，有35%到48%的開(kāi)發(fā)人員得到C或者更低分?jǐn)?shù)。“這些課程的及格率比應(yīng)用程序安全基礎(chǔ)知識(shí)的及格率要高一點(diǎn)點(diǎn)，所以這個(gè)消息很令人振奮：通過(guò)良好的培訓(xùn)與教育，他們能夠有更好的表現(xiàn)，”King表示。

這次調(diào)查的其他發(fā)現(xiàn)：19個(gè)web應(yīng)用程序中有超過(guò)8個(gè)應(yīng)用程序存在OWASP前十大常見(jiàn)漏洞，跨站腳本攻擊仍然是應(yīng)用程序中最多的漏洞。SQL注入攻擊漏洞平均每季度較低了約2.4%。

金融服務(wù)行業(yè)和軟件業(yè)是最積極處理安全漏洞的行業(yè)，他們訂購(gòu)了第三方軟件掃描來(lái)檢查軟件供應(yīng)商的漏洞情況。報(bào)告中要求漏洞證明的企業(yè)中超過(guò)75%的企業(yè)是來(lái)自于金融行業(yè)和軟件行業(yè)，而航空航天和國(guó)防行業(yè)也開(kāi)始要求他們的軟件供應(yīng)商對(duì)他們的漏洞負(fù)責(zé)任。

#p#

六、轉(zhuǎn)移到云意味著關(guān)注加密

繼最近索尼PlayStation網(wǎng)絡(luò)和電子郵件營(yíng)銷(xiāo)公司Epsilon公司發(fā)生大規(guī)模數(shù)據(jù)泄露事故后,安全專(zhuān)家警告說(shuō),云服務(wù)用戶需要密切關(guān)注數(shù)據(jù)保護(hù)和加密.

存儲(chǔ)在互聯(lián)網(wǎng)可訪問(wèn)的服務(wù)器上的信息,特別是客戶數(shù)據(jù)或者重要企業(yè)數(shù)據(jù),應(yīng)該使用加密技術(shù)進(jìn)行妥善的保護(hù),這不只是為了滿足行業(yè)和政府法規(guī), 而是為了維護(hù)企業(yè)利益, CloudSwitch公司的創(chuàng)始人兼首席技術(shù)官John Considine表示.

攻擊者偷走了大約100萬(wàn)來(lái)自索尼賬戶的信息,以及Epsilon數(shù)百萬(wàn)的電子郵件地址以及其他信息.

“當(dāng)數(shù)據(jù)位于你的數(shù)據(jù)中心,且在你的控制之下,你有訪問(wèn)權(quán)限控制,并且你知道誰(shuí)可以訪問(wèn)這些數(shù)據(jù),” Considine表示,”當(dāng)你轉(zhuǎn)移到云服務(wù), 這些完全取決于別人.”

在最近的數(shù)據(jù)泄露事故中,索尼聲稱(chēng)已經(jīng)加密了所有信用卡信息,但是其他身份信息并沒(méi)有進(jìn)行加密, Epsilon同樣沒(méi)有妥善保護(hù)其數(shù)據(jù).

你不能總是指望軟件即服務(wù)供應(yīng)商能夠全面加密你的數(shù)據(jù), SafeNet公司首席技術(shù)官Russ Dietz表示.

“我們?nèi)匀挥泻荛L(zhǎng)的路要走, “ Dietz表示, “軟件即服務(wù)供應(yīng)商可以部署加密技術(shù),但是將這些技術(shù)整合到他們的系統(tǒng)中需要花很多時(shí)間,我們?nèi)匀惶幱谠缙诎l(fā)展階段.”

企業(yè)需要為他們自己的數(shù)據(jù)安全負(fù)責(zé)人,這意味著不僅要加密存儲(chǔ)在虛擬系統(tǒng)的數(shù)據(jù),而且需要使用加密來(lái)對(duì)訪問(wèn)這些數(shù)據(jù)的人進(jìn)行適當(dāng)?shù)纳矸蒡?yàn)證.

身份驗(yàn)證是與保護(hù)數(shù)據(jù)同樣重要的,即使在rootkit允許攻擊者從內(nèi)部訪問(wèn)網(wǎng)絡(luò)的情況下,基于公鑰基礎(chǔ)設(shè)施(PKI)的多因素身份驗(yàn)證也可以減小對(duì)重要數(shù)據(jù)的威脅.

幾乎所有木馬程序和高級(jí)持續(xù)性攻擊都是基于獲取身份信息的,但是如果使用了強(qiáng)大的身份驗(yàn)證和公鑰基礎(chǔ)設(shè)施, 攻擊者就沒(méi)辦法獲取數(shù)據(jù)信息了,” Dietz表示.

隨著數(shù)據(jù)迅速累積,加密所有信息成為一項(xiàng)艱巨的任務(wù). 大多數(shù)企業(yè)應(yīng)該確定他們最有價(jià)值的數(shù)據(jù),并從這些數(shù)據(jù)開(kāi)始進(jìn)行加密計(jì)劃, Considine表示. 重要企業(yè)數(shù)據(jù)或者法規(guī)規(guī)定的個(gè)人識(shí)別信息應(yīng)該是首要加密數(shù)據(jù).

“企業(yè)處理信息的最佳做法應(yīng)該在于確定哪些人有怎樣的訪問(wèn)權(quán)限, 在關(guān)鍵區(qū)域部署加密技術(shù), 然后嚴(yán)格限制誰(shuí)可以訪問(wèn)加密組件和未加密形式的數(shù)據(jù), “ Considine表示.

下一步就是確保存儲(chǔ)在云服務(wù)中的數(shù)據(jù)與其他存儲(chǔ)在企業(yè)虛擬機(jī)中的數(shù)據(jù)分隔, 因?yàn)檫@些數(shù)據(jù)可能共享相同的云基礎(chǔ)設(shè)施. 雖然很多基礎(chǔ)設(shè)施供應(yīng)商聲稱(chēng)機(jī)器是隔離帶, 企業(yè)也可以添加加密技術(shù). 如果沒(méi)有額外的安全保護(hù), 任何對(duì)其他虛擬機(jī)器有訪問(wèn)權(quán)的攻擊者都可以訪問(wèn)其他系統(tǒng)的關(guān)鍵數(shù)據(jù).

“這些類(lèi)型的數(shù)據(jù)泄露中,攻擊者從系統(tǒng)到系統(tǒng)移動(dòng),試圖找到漏洞, “ Considine表示, “如果沒(méi)有加密的話, 他們就能夠獲取更多相鄰系統(tǒng)的信息. ”

在云服務(wù)環(huán)境部署加密的最后一步是減少對(duì)數(shù)據(jù)的訪問(wèn),和使用強(qiáng)大的多因素身份驗(yàn)證. 良好的加密和多因素身份驗(yàn)證可以阻止側(cè)重于獲取企業(yè)機(jī)密的攻擊者,也就是所謂的高級(jí)持續(xù)性攻擊的情況.

“對(duì)于用戶的身份信息,加密技術(shù)和強(qiáng)大的身份驗(yàn)證能夠消除所有這些入站攻擊, ”Dietz表示.