网络军备竞赛还在继续。如今,网络罪犯和网络间谍再次转移目标,他们成功避开大多数公司和政府机构经过多年研究开发出来的网络安全对策。面对操作系统的切实改进以及网络安全性的提升,网络攻击者锁定两个新的攻击目标,以便逃避防火墙、杀毒软件、甚至防入侵工具的监控。这两个新目标是:易被误导的用户和专门定制的应用软件。这是一个重大转变,因为网络攻击者过去只是将目标锁定于大众软件的漏洞和缺陷上。
情景1:一个中等规模但涉及敏感问题的联邦机构的首席信息安全官发现,他的电脑正在向位于中国的电脑发送数据。他就是今年“Top 20”(20大网络安全问题)的受害者之一,这是一种称为鱼叉式网络钓鱼攻击(spear-phishing)的新型网络攻击。一旦入侵成功,攻击者就能利用受害者的电脑进入其所在机构的系统,并为所欲为。
情景2:数百名高官和企业家因为访问了某个受到病毒感染的政治智囊团的网站,导致他们的电脑系统瘫痪。由于罪犯(或某国)在他们的电脑中嵌入了按键记录器,从而在他们登陆个人银行账户、股票交易账户以及雇主的电脑时,能够获取他们的用户名和密码,并将这些数据发送到国外的电脑中。从而导致银行存款丢失,股票账户金额损失,他们公司/组织的服务器处于危险之中,敏感数据被复制并发给外人。有些电脑被安装了后门,而且现在还在那里。
情景3:由于网站开发商在编制程序时的错误,导致一家医院的网站处于危险之中。敏感的病人病例记录被盗取。当攻击者确认他们得到这些数据之后,这家医院就不得不向他们支付勒索费,或者任由这些病例数据在互联网上肆意传播。
情景4:一个中学生访问了一个激活了其老版本的播放器的网站,她从来没有对这个播放器进行过更新。她只是访问了这个网站,其他什么都没做,当她打开网页时,播放器就开始自动播放。攻击者这时在她的电脑里嵌入按键记录器。然后她的父亲使用这台电脑登陆了银行账户。攻击者从而就获取了他的用户名和密码,并取走了账户上所有的钱(当然银行后来偿还了他的损失)。美国执法官员对这笔钱的去向进行追踪,最后发现这笔钱流入一个雇用人体炸弹暴徒的恐怖主义组织的账户。
所有这些情景都源自真实事件。为避免受害者感到尴尬,我们对事件细节进行了修改,将多个攻击组织在一起。现在,每天都有成千上万的此类网络安全事件发生,几千万台电脑曾受到攻击。
11月27日,SANS研究所将公布2007年20大互联网安全风险报告,这也是该研究所的第七次年度发布。该报告列举了2007年对于个人、公司和政府机构危害最严重的网络安全风险。来自六个国家的政府、行业和学术界的43位网络安全问题专家(详细名单请登陆www.sans.org/top20)给予配合,评选出这20大互联网安全风险。“Top 20”对这20大网络安全风险进行列举,您可以登陆www.sans.org/top20对相关信息进行查询。
SANS研究所今年发布的“Top 20”显示,一方面攻击者盯上了两个新目标,另一方面他们加大了针对老目标的攻击力度。尽管Top 20重点关注新攻击模式,但老攻击模式仍然存在,自动攻击程序还在不断扫描网络中的系统并随时发起攻击。SANS网络风暴中心(互联网预警系统)报告称,人们只能寄希望于在受到攻击五分钟前采取措施来免受攻击,并且只有在连接到互联网之前对电脑进行安全设置,才能经受住攻击。
2007年度“Top 20”的摘要以及最有效的防范措施见本文末。
SANS研究所技术研发总监Alan Paller先生说到,“对于大多数大型和敏感机构而言,最新的网络安全风险造成的麻烦最大。新的网络风险更加难于防范。要防范这些风险,就要持续不断的进行监控,严格遵守制度,并对违规者处以实质性惩罚。但目前只有那些大银行和最为敏感的军事机构愿意采取这些措施。”
Paller先生称,互联网应用软件的不安全性尤其棘手,因为许多网络应用开发人员在编写和配置应用时,甚至都不能保证他们能够编写安全的应用软件。大多数应用软件都提供了进入存储敏感信息的后台数据库的通路。Paller先生说,“只有培养程序员的学校和聘用程序员的公司确保程序开发员掌握了安全编码,以及只有这些公司确保他们有一个安全有效的开发过程,我们才能不在看到近乎一半的网络应用软件存在严重漏洞。”(2007年11月20日,安全编程委员会首次发布网络编程员安全知识和技巧准则。欲知详情,请登陆http://www.sans-ssi.org/essential_skills_java.pdf)。
本年度的TOP 20项目由TippingPoint公司安全研究高级经理Rohit Dhamankar先生领导完成。TippingPoint公司在该领域拥有丰富的知识和经验,为许多最敏感的公司提供入侵防御系统。Dhamankar先生说,“尽管2007年半数的攻击案例都与网络应用有关,但这只是冰山一角。该数据不包括专门定制开发的网络应用受到的攻击。受到攻击的网站为攻击者提供了攻击大量用户的通路,这些攻击或通过网络浏览器,或通过办公文件,也有可能通过媒体播放器。这一恶性循环使得对于网络风险的防范变得越来越困难。”
这个问题到底有多严重
Qualys公司是一家为全世界许多大型机构的系统寻找网络漏洞的公司,他们对于发现网络漏洞有着丰富的经验和卓越的能力。Qualys公司漏洞经理Amol Sawarte先生说到,“我们已经发现了Microsoft Office产品中的大量漏洞。”这些图表显示,从2006年2007年,这些产品中的漏洞增加了300%,尤其是Excel中的漏洞。在毫无戒心的用户打开通过邮件和即时信息发来的Excel文件时,这些漏洞就被攻击者利用了。
当系统成为新攻击目标的受害者时,多数情况下会感染间谍软件(包括按键记录器)。Webroot公司是最大的间谍软件查找与监控公司,对间谍软件如何传播进行跟踪。Webroot公司首席技术官Gerhard Eschelbeck先生说,“1,根据Webroot公司统计,自2007年1月以来,寄居在网站中的间谍软件数量增长了183%;2,感染窃取按键信息的间谍软件和木马程序的比例为31%,并且该比例还在继续上升;3,2007年9月对中小型公司的调查显示,有77%的公司表示他们的业务成功依赖于互联网,同时42.7%的公司声称由于感染间谍软件而受到损失。”
“TOP 20”将于11月28日在伦敦向大众发布,此次发布活动由SANS和英国国家基础架构保护中心(CPNI)赞助,届时200位著名的英国网络安全问题专家将出席此次活动并讨论相关对策。此次会议将于17:00时(协调世界时)开幕,并向媒体开放。
免费测试工具
和以前一样,Qualys公司将提供免费测试服务,使用户对“20大网络安全风险”进行检测。获得该免费测试服务,请登陆https://sans20.qualys.com。
今年,Applicure Technologies公司(一家网络应用防火墙提供商),将提供免费监控工具,此工具能够检测IIS服务器和Apache服务器受到的网络攻击。