一个拥有3.9万名雇员和数千台计算机设备的全球星IT服务公司肯定是数字亡命之徒希望攻击的目标。但是,哪一种攻击最可能使安全主管晚上睡不着觉呢?位于慕尼黑的西门子公司旗下的西门子商务服务公司的首席信息和安全官Dave Bixler列出了下列三种攻击:
·间谍软件
·带有容易被破解的口令的笔记本电脑被盗窃或者丢失。这种口令使用任何在线工具都能够在几分钟之内被破解。
·雇员把敏感文件拷贝到U盘中,然后把那个U盘弄丢了。
Bixler说,你参加任何会议都会发现人们把U盘丢得到处都是。我敢肯定人们丢在飞机上或者饭店房间中的U盘都存储着数据。我非常担心我的数据会去哪里,以及如何保证我的数据不去我不希望它去的地方。
并非Bixler一个人是如此。在今年2月份SearchSecurity.com网站对307位IT专业人员进行的有关他们入侵防御计划的调查中,大多数受访者表示他们最担心的是内部使用计算机设备习惯不好的人会使敏感的数据处于风险之中以及间谍软件和其它恶意软件。这些威胁是他们最希望自己的入侵防御工具能够解决的问题。但是,他们对这个结果总是不满意。
Bixler说,间谍软件是一个非常严重的问题,因为杀毒软件厂商基本上使我们失望。主要厂商正在加紧努力,但是对于我来说,他们已经晚了两年了。间谍软件是另一种形式的病毒。我最希望能够在每一个人的台式电脑中都有另一种工具对付这种另类的病毒。
担心的问题
在回答他们最希望自己的入侵检测工具在哪些方面有所改善的问题时,35.6%的受访者表示,他们要更好地检测和防御内部的威胁,如雇员滥用政策规定和向U盘下载专用的信息等。
32%以上的受访者表示,他们要更好地防御间谍软件、减少检测错误率和能够把严重的攻击和网络噪声分开的能力。30%的受访者要求有更好的方法检测未知的/零日攻击。25.8%的受访者要求有更好的病毒和蠕虫防御功能。25.2%的受访者需要把安全漏洞和威胁关联起来。
在回答促使他们更换不同的IDS/IPS厂商的原因是什么的问题时,45.4%的受访者表示,不同厂商的产品必须能够更好地检测和防御攻击。35%的受访者表示,如果不同厂商的产品更容易安装和管理,他们就改用那个厂商的产品。
如果另一家厂商的产品提供更广泛的安全功能和性能,33%的受访者会转换到这家厂商的产品。32%的受访者表示,如果另一家厂商的产品能够更好地与企业基础设施集成在一起,他们就愿意转换到那个厂商的产品。25.2%的受访者表示,如果另一家厂商的产品能够比他们目前使用的工具提供更多的安全功能而且价格更便宜,他们就愿意转换到那家厂商的产品。
在Bixler最担心的全部内部威胁中,移动设备并不总是排在前面的。这个情况有一天发生了变化。一位离职的雇员上交了一台笔记本电脑,但是,没有告诉IT工作人员这台笔记本电脑的口令。
Bixler说,我到互联网上寻找免费软件破解这台笔记本电脑的管理员口令。我只用了8分钟的时间就用Google搜索到了一个恰当的工具破解了这个口令。我还是一边打电话一边做的这个事情。而且我并不很擅长做这件事情。
用户教育是一个大弱点
Jeremy Martin能够理解为什么IT专业人员对内部威胁那么担心。他是科罗拉多州科罗拉多斯普林斯的一个入侵测试员。他在工作时间设法突破大型商业企业和美国国防部等政府部门的网络。
在发现全部安全漏洞之前,他首先进行基本的扫描,然后找到进入网络的方法。他在业余时间还尝试了社会工程学,发出钓鱼攻击的电子邮件,看看是否有人会打开这种电子邮件。他的目的是向客户展示他们在安全方面最大的弱点在哪里以及入侵者是如何进来的。
Martin说,遗憾的是大多数机构的最大的弱点是用户的教育问题。人们在打开这类电子邮件。人们写下他们的口令或者反复使用同样的口令。
至于间谍软件,Martin说,大多数严重的间谍软件爆发时间都可以追溯到用户使用计算机设备的不良习惯。
间谍软件是这样一个问题:人们打开不应该打开的电子邮件或者访问不应该访问的网站,间谍软件就趁这个机会下载到用户的计算机中了。
忠告的话
当用户问他如何封闭安全漏洞时,Martin提供了这样的忠告:全体雇员必须学习他们机构的安全政策并且一直遵守这些政策。
他说,你需要确认通过培训让每一个人都了解安全政策。人们必须知道使用网络、电子邮件等IT技术的正确的做法和错误的做法。这些使用政策对于高级官员和高级雇员的要求必须是相同的。
当然,这些安全政策必须要正确地制定。Martin说,我一直关注的一件事情就是政策中缺乏定义。这样人们可以随意解释这个政策,而且每个人的解释都不一样。
北温哥华市的IT管理员Craig Hunter的部门管理由350人使用的许多工作站。他也认为对用户进行教育是非常重要的。但是,他说,普通雇员永远不会成为信息安全专家。
他的观点是,你要做的最好的事情就是把安全嵌入到系统中。这样,用户就看不见了。让用户更容易做正确的事情,而不是做错误的事情。
最后,Craig Hunter的IT部门取消了用户申请过程,因为这个过程已经不需要了。这个部门使用了位于圣地亚哥的Websense公司提供的内容过滤器来封锁可能向内部网络下载包括间谍软件在内的恶意软件的网站。下载恶意软件以前曾经是困扰这个部门的一个问题。他的部门还使用IronPort系统公司的 Brightmail设备减少垃圾邮件和病毒。
最佳的防御总是多层次的防御
从大的方面看,Bixler、Martin和Hunter这三个人一致认为用户的熟悉只是更大的分层次的防御的一部分。如果一个入侵者突破了网络的这一端,这个网络其它部分部署的设备或者程序会阻止这个入侵者。
Martin说,拥有监视功能的软件也是很重要的。不仅要在网络上安装这种软件,而且也要在个人电脑上安装这种软件。
他补充说,一句明智的话就是在网络上使用一家杀毒软件厂商的软件,在台式电脑中使用另一家杀毒软件厂商的软件。Martin说,一家厂商更新签名的速度和范围可能比另一家厂商更快更广。因此,使用两家厂商的产品覆盖面会更广。
关于Intruder Alert
入侵防御程序经常宣称它们能够防御目前不断发展的威胁。根据对一些IT专业人员进行的独家调查,SearchSecurity.com网站的特别系列新闻“Intruder Alert”(入侵者报警器)考察了现实世界中的入侵防御计划,以及哪一个厂商对于战壕中人们最有价值。
系列新闻目录
第一天:理想的入侵防御是防御过程与人的因素相结合
--什么决定最好的入侵防御?IT专业人员称,最好的计划不仅要阻止有不良计算习惯的内部人员犯错误,而且要阻止间谍软件和其它进来的恶意软件。
第二天:对于企业官员来说,入侵防御是很难推销的
--安全管理员称,入侵防御使他们感到困惑,不仅是由于企业官员们不买账,而且还因为顶级产品还有很长的路要走。
第三天:在入侵防御厂商中,一个尺寸不能满足所有的需求
--大多数IT部门依靠思科和赛门铁克的产品进行入侵防御。但是,也有一些IT部门愿意使用免费的开源软件工具。
Intruder Alert:看一下这个数字--在今年2月份,SearchSecurity.com对来自各个行业的307名IT专业人员进行了一项关于他们的入侵防御计划的调查。这里是我们提出的一些问题和他们的回答。