昨天是中国传统节日元宵节,在此祝大家元宵节快乐,全家平安:)
本周(2月26日到3月4日)信息安全业界的新闻焦点主要集中在安全管理和恶意软件方面。随着今年第一季度即将过完,根据各大杀毒厂商所捕获的恶意软件样本,目前互联网上正在流行传播的恶意软件呈现出比去年的恶意软件隐蔽性更强、传播途径更多、还使用了各种更吸引人的社会工程手段进行欺骗。最近针对IT应用中所面临的各种安全挑战,业界也提出了崭新的安全管理策略,更好的加强IT应用的安全程度。
恶意软件方面:
周三,Symantec的研究人员警告说,目前已经出现能够修改用户对外发出的信息的恶意软件。该公司通过分析捕获的名为Trojan.Mespam的恶意软件样本后指出,该恶意软件能够监视用户通过Outlook等电子邮件客户端发送的邮件,并自动在邮件中添加内容为“Funny Video”的指向一个下载该恶意软件的网站连接。恶意软件会发送邮件并进行自我复制传播并不新鲜,该恶意软件有意思的是它并不自建邮件,而是在用户所发送的正常邮件中添加其用来传播的网站连接。这个恶意软件样本的感染途径还比较有限——对使用Gmail、yahoo等Webmail的用户也无效,但是,它显示出恶意软件传播方式的一个趋势,即恶意软件正在发展更新、更为智能的感染传播方式,并开始抛弃很容易就被垃圾邮件过滤清除的自动发送邮件传播方式。可以预见,未来使用用户信息注入方式来进行传播的恶意软件数量将会迅速增加,并会将注入的对象从最容易实现的SMTP邮件信息扩展到即时通讯、包括Webmail的电子邮件服务、Wiki/Blog/论坛等用户交互的网站信息等所有用户对外发送的信息。如何解决对用户对外发送信息的安全过滤问题(而不单是解决单纯Email安全过滤服务)是留给安全业界思考的问题。
周三,研究人员周三在华盛顿DC举行的Black Hat会议上,演示了如何在主板的ACPI模块、显卡等使用了可刷写只读内存(Flash ROM)的附加设备上存储代码并在计算机启动过程中启动。该演示为安全业界展现了一个可怕的前景,恶意软件可以感染硬件设备,它们会利用计算机系统上的附加设备的可刷写只读内存进行隐藏和运行,而现有的防杀毒方案对使用此种感染及驻留途径的恶意软件都无法防御和清除。这样的安全隐患是由于硬件生产厂商没有对未来安全威胁进行考虑而造成的,不过,因为直接操作硬件的可刷写只读内存的技术难度,在短时间内出现使用此种技术的恶意软件的可能性还不大,给业界应对这种安全威胁留有充足的时间。
垃圾邮件防护方面:
上周和本周CastleCops等互联网上著名的反垃圾邮件站点遭受垃圾邮件制造者的DDoS攻击;上周,互联网上的著名应急响应机构SANS也在其监控的数千台机器中提取到包含有对SANS员工进行人身攻击语句的恶意软件样本。回到国内,年前Xfocus等安全站点也频繁遭受DDoS攻击。越来越多的针对安全站点的攻击案例,凸现出安全业界在应对针对自身攻击时的尴尬地位,一方面,由于各国对DDoS等攻击活动的制裁立法上存在不足,无法对攻击发起者进行严厉有效的制裁;另一方面也由于大部分对公众提供服务的安全站点都是由志愿者进行投入和维护的,在硬件及网络设备上均存在不足,无法抵御高强度的DDoS等攻击。在可预见的将来,应对针对自身越来越严重的安全威胁,是各安全站点运营者不得不面对的严峻挑战。
安全管理方面:
周五,美国国土安全部正在对一个称为(Common Weakness Enumeration,CWE)的项目提供赞助,该项目旨在为IT业界提供一个安全漏洞的正式辞典,IT业界可使用它所提供的标准语言对缓冲区溢出及格式化字符串等漏洞进行描述,并取代现在行业里各安全企业和组织正在使用的各式安全描述语言。该标准辞典正处在第五版草稿阶段,它的第六版草稿将从16个漏洞检测工具及更多的厂商来源中产生。该标准辞典的推出将对安全业界影响深远,许多安全描述及数据库也需要重新改写。国内的安全厂商尚未对该标准辞典的草稿版本作出相应的反应或参与该标准辞典的修订。在该标准辞典即将推出正式版本的时候,国内安全业界是否应该对此做些准备工作?
周五,来自Darkreading的消息,IT市场研究机构Infonetics发布了2006年第四季度的内容安全网关(Content Security Gateway)的研究报告,该报告称,安全网关市场在2006年第四季度有33%的增长幅度,而内容安全软件产品的销售则有70%的大幅增长。报告中还预测,内容安全网关及相关产品市场在2006到2010年将有168%的增长,而内容安全软件也会以相同幅度增长,并最终将达到26亿美元的规模。
当前内容安全市场中的厂商可以分为四大类:
1、 Symantec、Mcafee、TrendMicro三家以反病毒产品为主营业务的安全厂商
2、 以Barracuda、BlueCoat、Websense等以内容过滤产品为主营业务的安全厂商
3、 类似Anchiva、eSoft等从事内容安全系统集成的小公司
4、 Cisco、Juniper、Check Point等准备加入内容安全市场竞争的网络/安全厂商
内容安全产品的部署范围有从大型企业向中小企业扩散的趋势。
在内容安全市场上尚未有国内安全企业出现,作为网络访问控制(NAC)市场中技术门槛较低的内容安全产品,国内安全厂商可以考虑以上述分类的前两种类型进行内容安全产品的开发,并加入市场竞争。国内有比较成熟的防杀毒厂商和反垃圾邮件厂商,开发出技术水平较高,适合中国国情的内容安全产品应该难度不大。