小心防范十種最常見(jiàn)的內(nèi)部安全威脅

最近安全領(lǐng)域的一個(gè)熱門(mén)詞語(yǔ)是端點(diǎn)（endpoint）：端點(diǎn)是指可連接至公司網(wǎng)絡(luò)的任何一種設(shè)備，從桌面工作站、筆記本電腦、個(gè)人數(shù)字助理甚至到手機(jī)。由于端點(diǎn)數(shù)量不斷增加，光靠防火墻和反病毒軟件這類(lèi)保護(hù)機(jī)制再也不夠了。
    犯罪分子和各種新型惡意軟件采用的新手法在伺機(jī)探測(cè)網(wǎng)絡(luò)、尋找安全漏洞。而它們找到漏洞的機(jī)會(huì)越來(lái)越大。
    專(zhuān)家們表示，從根本上來(lái)說(shuō)，端點(diǎn)引起了更多人的關(guān)注，原因在于攻擊計(jì)算機(jī)網(wǎng)絡(luò)的方式出現(xiàn)了巨大變化。
    在任何一種攻擊中，第一步就是滲入某家組織的安全邊界。過(guò)去通過(guò)外部威脅來(lái)實(shí)現(xiàn)這一步，比如被感染的電子郵件消息。雖然目前仍有許多攜帶病毒的電子郵件，但這種攻擊途徑的效果日益減弱。
    Centennial Software公司的產(chǎn)品管理副總裁Bill Piwonka說(shuō)：“安全公司在對(duì)付外部威脅方面一般做得很出色?！痹摴臼前踩浖a(chǎn)商，并且建有博客WatchYourEnd.com。
    一個(gè)結(jié)果就是，電子郵件病毒的效果變?nèi)趿?。安全軟件生產(chǎn)商Sophos公司的高級(jí)安全分析師Ron O’Brien說(shuō)：“從2006年1月到2007年1月，電子郵件被感染的比例從40封郵件中被感染1封減少至330封郵件中被感染1封。作為一種感染途徑，電子郵件日漸式微?！?BR>    Piwonka說(shuō)：“在過(guò)去，的威脅來(lái)自公司外部，通過(guò)互聯(lián)網(wǎng)或電子郵件。如今，黑客及不懷好意的人企圖通過(guò)其他方式進(jìn)入及訪問(wèn)組織。他們的目光盯在了‘這家組織的系統(tǒng)和數(shù)據(jù)還有哪些地方存在安全漏洞？’”
    O’Brien說(shuō)：“普通用戶已獲得了足夠到位的教育，懂得不會(huì)點(diǎn)擊主動(dòng)發(fā)來(lái)的電子郵件里面的附件。于是，惡意軟件編寫(xiě)者改變了分發(fā)病毒、特洛伊木馬和蠕蟲(chóng)的手段?！爆F(xiàn)在的攻擊活動(dòng)主要致力于把人們引到被感染的網(wǎng)站上，但越來(lái)越多的攻擊牽涉其他種類(lèi)的威脅，比如網(wǎng)絡(luò)釣魚(yú)。據(jù)卡巴斯基公司的Viruslist.com聲稱(chēng)，截至2007年1月，網(wǎng)絡(luò)釣魚(yú)攻擊比電子郵件里面的病毒還要常見(jiàn)。
    不過(guò)，越來(lái)越多的攻擊企圖繞過(guò)防火墻和反病毒程序，從公司內(nèi)部未得到保護(hù)的角落發(fā)動(dòng)攻擊。雖然外部威脅的危害性與過(guò)去一樣大、需要采用防火墻及其他防御機(jī)制加以防范，但是更重要的是關(guān)注內(nèi)部薄弱環(huán)節(jié)。
    Piwonka說(shuō)：“如今存在數(shù)量眾多的插入式設(shè)備，這個(gè)事實(shí)絕對(duì)帶來(lái)了新的風(fēng)險(xiǎn)領(lǐng)域。”
    當(dāng)然，公司內(nèi)外威脅會(huì)協(xié)同發(fā)力。比方說(shuō)，對(duì)等網(wǎng)絡(luò)是個(gè)內(nèi)部問(wèn)題，因?yàn)橛腥斯室獍阉鼈儼惭b在公司系統(tǒng)上；但它們之所以成為一種威脅，就在于外部人員可以利用它們來(lái)危及安全。
    如今存在好多安全漏洞。
    安全軟件廠商Promisec公司的首席執(zhí)行官Amir Kolter說(shuō)：“早些年，我們調(diào)查了規(guī)模不一的30個(gè)客戶；有的客戶只有幾百個(gè)工作站，有的在世界各地有成千上萬(wàn)個(gè)工作站。有的甚至擁有20萬(wàn)個(gè)端點(diǎn)?！?BR>    據(jù)Kolter聲稱(chēng)，結(jié)果讓人沮喪。他說(shuō)：“所有客戶都存在內(nèi)部威脅。威脅總數(shù)超出我們的預(yù)期?！贝送?，存在某種特定漏洞的公司其數(shù)量常常要比表明存在這種漏洞的計(jì)算機(jī)的比例高得多。Kolter表示，因而，盡管接受調(diào)查的所有端點(diǎn)當(dāng)中只有4%安裝了對(duì)等軟件，但接受調(diào)查的公司當(dāng)中22%存在一個(gè)或多個(gè)端點(diǎn)有這種漏洞的情況。
    雖然存在問(wèn)題的計(jì)算機(jī)其比例似乎很低，但別忘了這點(diǎn)：一家組織當(dāng)中只要有一臺(tái)計(jì)算機(jī)存在安全漏洞，就會(huì)危及整個(gè)網(wǎng)絡(luò)。
    Promisec的部分發(fā)現(xiàn)結(jié)果并無(wú)新意：沒(méi)有打上最新補(bǔ)丁的各版本W(wǎng)indows、需要更新特征文件的反病毒軟件，等等。不過(guò)，Promisec發(fā)現(xiàn)的有些端點(diǎn)威脅不大常見(jiàn)，也不大明顯。
    Promisec發(fā)現(xiàn)十大方面存在問(wèn)題。不是每家公司都存在所有這些問(wèn)題，但它們都至少存在其中一個(gè)問(wèn)題。在某些情況下，端點(diǎn)威脅是完全可以消除的，比如沒(méi)有打上最新安全補(bǔ)丁的計(jì)算機(jī)。在另一些情況下，比如未得到保護(hù)的USB設(shè)備，解決辦法就是通常使用軟件執(zhí)行的安全政策來(lái)控制該漏洞。
    一、USB設(shè)備
    Promisec的調(diào)查發(fā)現(xiàn)，的威脅是未加登記或未加保護(hù)的USB設(shè)備。接受調(diào)查的端點(diǎn)當(dāng)中約有13%存在這個(gè)威脅。
    這不只是理論上讓人擔(dān)心的問(wèn)題。揚(yáng)基集團(tuán)在早些年的一項(xiàng)調(diào)查發(fā)現(xiàn)，接受調(diào)查的公司當(dāng)中37%認(rèn)為，USB設(shè)備被用于泄露公司信息。
    感染的來(lái)源未必是內(nèi)部員工。來(lái)訪者（不管有沒(méi)有受到邀請(qǐng)）訪問(wèn)公司的計(jì)算機(jī)后，就能輕易插入拇指驅(qū)動(dòng)器。更精心策劃的是，前幾年有家計(jì)算機(jī)安全公司往20只USB驅(qū)動(dòng)器上安裝了竊取密碼的惡意軟件，然后把它們故意扔在目標(biāo)公司外面的停車(chē)場(chǎng)及其他有可能被撿到的地方。結(jié)果，50%的驅(qū)動(dòng)器被該公司的員工撿到了，他們插入計(jì)算機(jī)后想看看里面有什么東西；短短數(shù)小時(shí)之內(nèi)，這家安全公司就源源不斷地獲得了密碼及其他關(guān)鍵數(shù)據(jù)（這家安全公司是Secure Network Technologies，它當(dāng)時(shí)在客戶地方測(cè)試安全）。
    Windows下的USB設(shè)備保護(hù)機(jī)制相當(dāng)有限。你基本上只能啟用或禁用系統(tǒng)上的USB。由于USB是Windows的默認(rèn)外設(shè)連接，所以這帶來(lái)了極大的限制。不過(guò)，Sophos、Devicelock或Promisec等第三方軟件對(duì)USB設(shè)備提供了基于安全政策的管理，從而擺脫了這種限制。
    二、對(duì)等文件共享
    雖然公司政策常常禁止使用未經(jīng)授權(quán)的對(duì)等（P2P）文件共享程序，但接受調(diào)查的計(jì)算機(jī)當(dāng)中還是有4%安裝了這類(lèi)應(yīng)用程序。這個(gè)問(wèn)題變得日益嚴(yán)重。不但更多的對(duì)等網(wǎng)絡(luò)出現(xiàn)在了公司網(wǎng)絡(luò)上，計(jì)算機(jī)犯罪分子也開(kāi)始大規(guī)模使用對(duì)等網(wǎng)絡(luò)來(lái)危及并控制計(jì)算機(jī)。
    據(jù)安全軟件公司Prolexic聲稱(chēng)，P2P如今被用于針對(duì)公司網(wǎng)站發(fā)動(dòng)分布式拒絕服務(wù)攻擊。該公司表示，它發(fā)現(xiàn)有一種名叫dc++的基于P2P的分布式拒絕服務(wù)攻擊動(dòng)用了30萬(wàn)臺(tái)受到危及的計(jì)算機(jī)。
    未經(jīng)授權(quán)的P2P軟件可能是導(dǎo)致信息泄漏的一條重要途徑，以至于有人建立了一個(gè)名為See What You Share的網(wǎng)站，僅僅為了顯示通過(guò)文件共享、可以從政府部門(mén)竊取哪些信息，包括文件。
    當(dāng)然，P2P文件共享也是非法分發(fā)盜版材料的主要方式之一――如果美國(guó)唱片業(yè)協(xié)會(huì)（RIAA）的律師發(fā)出律師函，你不但面臨巨額罰金，還會(huì)陷入尷尬境地。
    三、反病毒問(wèn)題
    Promisec的調(diào)查發(fā)現(xiàn)，大約1.2%的計(jì)算機(jī)其反病毒軟件存在問(wèn)題，通常表現(xiàn)為特征文件過(guò)時(shí)。
    由于各大反病毒軟件廠商每周發(fā)布的更新程序在1200個(gè)到2400個(gè)之間，讓保護(hù)機(jī)制處于最新版本顯得很重要。特別是由于惡意軟件編寫(xiě)者使用的一種感染手法就是，趁安全廠商還沒(méi)有來(lái)得及響應(yīng)，在盡可能短的時(shí)間內(nèi)感染盡可能多的計(jì)算機(jī)。比方說(shuō)，在2001年7月19日，“紅色代碼”蠕蟲(chóng)在短短14個(gè)小時(shí)內(nèi)感染了359000臺(tái)計(jì)算機(jī)。
    讓人意想不到的是，“紅色代碼”攻擊的目標(biāo)居然是Windows系統(tǒng)當(dāng)中兩年多前就已經(jīng)有補(bǔ)丁的一個(gè)漏洞。
    四、過(guò)時(shí)的微軟服務(wù)包
    運(yùn)行未安裝最新更新程序的Windows是另一個(gè)嚴(yán)重問(wèn)題。大約1.5%的受調(diào)查計(jì)算機(jī)沒(méi)有為該操作系統(tǒng)更新最新版本的服務(wù)包。
    及時(shí)更新軟件是一條安全基本常識(shí)，每家公司都在設(shè)法做到這點(diǎn)，但大多數(shù)公司是借助于自動(dòng)更新。
    然而，為公司的每個(gè)臺(tái)式機(jī)打上補(bǔ)丁已經(jīng)是一項(xiàng)艱巨任務(wù)，更不用說(shuō)還要顧及連接到網(wǎng)絡(luò)上的筆記本電腦、個(gè)人數(shù)字助理和手機(jī)了?？倳?huì)有漏網(wǎng)之魚(yú)；同樣道理，只要有一個(gè)端點(diǎn)存在已知安全漏洞，就足以危及整個(gè)網(wǎng)絡(luò)。
    Windows服務(wù)包是個(gè)特殊問(wèn)題，因?yàn)橛行┸浖獠涣藭?huì)存在一些問(wèn)題。以服務(wù)包2為例，微軟承認(rèn)50款主要的應(yīng)用程序最初無(wú)法與該服務(wù)包兼容，主要原因是該服務(wù)包在默認(rèn)情況下打開(kāi)防火墻。等所有廠商步調(diào)一致、微軟發(fā)布了服務(wù)包，通常已經(jīng)是幾周、甚至幾個(gè)月以后的事。如果你的用戶需要使用的軟件在新的服務(wù)包發(fā)布后無(wú)法兼容，一個(gè)常見(jiàn)的解決辦法就是“暫時(shí)”放棄安裝該服務(wù)包，直到微軟公司解決了相關(guān)問(wèn)題，再安裝。這意味著到時(shí)你要回過(guò)頭去，檢查一下那些系統(tǒng)更新了微軟發(fā)布的最新程序――如果你記得的話。
    五、未安裝安全代理
    許多公司要求在所有端點(diǎn)上安裝代理。這種代理可以監(jiān)控網(wǎng)絡(luò)流量、確保補(bǔ)丁版本最新、跟蹤及報(bào)告失竊的計(jì)算機(jī)。不過(guò)，需要這種代理未必意味著實(shí)際安裝了代理。理應(yīng)安裝這種代理軟件的端點(diǎn)當(dāng)中約有1.2%并沒(méi)有安裝。
    據(jù)Kolter聲稱(chēng)，以下五個(gè)問(wèn)題在調(diào)查樣本中出現(xiàn)的概率不到1%。
    六、未經(jīng)授權(quán)的遠(yuǎn)程控制軟件
    遠(yuǎn)程控制軟件對(duì)診斷軟硬件方面的故障大有幫助。但這類(lèi)軟件對(duì)不法分子來(lái)說(shuō)同樣大有幫助，因?yàn)樗鼮檫M(jìn)入計(jì)算機(jī)提供了一條便道。
    在某些情況下，PCAnywhere等遠(yuǎn)程控制軟件由需要能夠從其他地方訪問(wèn)臺(tái)式機(jī)的用戶來(lái)安裝。在另一些情況下，卻是有人未經(jīng)授權(quán)擅自安裝上去的，這些安裝或改動(dòng)的軟件旨在用戶渾然不知或未經(jīng)同意的情況下，允許第三方使用系統(tǒng)。
    盡管存在明顯的危險(xiǎn)，但調(diào)查發(fā)現(xiàn)，還是有近1%（0.82%）的受調(diào)查計(jì)算機(jī)安裝了不該安裝的遠(yuǎn)程控制軟件。
    七、媒體文件
    未經(jīng)授權(quán)的媒體文件之所以很危險(xiǎn)，一是由于所含內(nèi)容本身，二是可能隱藏在里面的惡意內(nèi)容。視頻和音樂(lè)文件成了有人偷偷把惡意軟件植入一家組織的越來(lái)越普遍的方法，包括間諜軟件、特洛伊木馬、病毒以及你能想到的幾乎其他各種惡意軟件。
    一種流行的方法就是，把利用媒體播放器中安全漏洞的代碼嵌入到媒體文件中。比方說(shuō)，被感染的媒體文件可以打開(kāi)用戶計(jì)算機(jī)上的某個(gè)惡意網(wǎng)頁(yè)，利用該網(wǎng)頁(yè)自動(dòng)感染該系統(tǒng)，然后再由該系統(tǒng)感染整個(gè)網(wǎng)絡(luò)。因?yàn)檫@種攻擊基本上不需要用戶的交互，所以用戶常常甚至不知道發(fā)生了什么情況。
    連唱片行業(yè)也玩起了這一招。2004年，一家為唱片公司服務(wù)的公司開(kāi)始往多個(gè)文件共享網(wǎng)站植入媒體文件，該媒體文件所含的特洛伊木馬下載了廣告軟件后，可在用戶的計(jì)算機(jī)上打開(kāi)多個(gè)彈出式窗口。
    即使文件里面沒(méi)有隱藏的惡意內(nèi)容，文件本身也可能成為問(wèn)題，最明顯的例子就是侵犯版權(quán)、含有色情內(nèi)容。
    八、沒(méi)有必要的調(diào)制解調(diào)器
    不管需不需要，許多計(jì)算機(jī)、特別是比較舊的機(jī)型都含有內(nèi)置調(diào)制解調(diào)器。在其他情況下，服務(wù)器里面的調(diào)制解調(diào)器直接連接到外面，用于監(jiān)控及維護(hù)。不管怎樣，沒(méi)有必要的調(diào)制解調(diào)器提供了進(jìn)入網(wǎng)絡(luò)的另一條通道，這條沒(méi)有必要的通道會(huì)隨之帶來(lái)眾多潛在問(wèn)題。
    雖然戰(zhàn)爭(zhēng)撥號(hào)（war dialing）這種攻擊不像過(guò)去那樣流行，但有些不法分子仍在使用，連接到你網(wǎng)絡(luò)上的未加保護(hù)的調(diào)制解調(diào)器與過(guò)去一樣危險(xiǎn)。
    許多這些多余的調(diào)制解調(diào)器并不受到公司防火墻的保護(hù)；實(shí)際上，IT部門(mén)可能甚至沒(méi)有認(rèn)識(shí)到它們的存在。在許多情況下，用戶只要把調(diào)制解調(diào)器插入到電話系統(tǒng)，就可以直接連接到互聯(lián)網(wǎng)，隨之帶來(lái)的還有種種危險(xiǎn)。用于監(jiān)控及維護(hù)的調(diào)制解調(diào)器通常由供應(yīng)商來(lái)負(fù)責(zé)，所以你得依賴這家公司來(lái)確保安全軟件處于最新版本。
    雖然有些調(diào)制解調(diào)器可能有必要，特別是用于遠(yuǎn)程維護(hù)，但關(guān)鍵是全面清查連接到網(wǎng)絡(luò)上的所有調(diào)制解調(diào)器，并確保連接的調(diào)制解調(diào)器既必不可少、又得到合理保護(hù)。
    九、未經(jīng)授權(quán)或未加保護(hù)的同步軟件
    筆記本電腦、個(gè)人數(shù)字助理、甚至手機(jī)使用同步軟件來(lái)更新從日歷到聯(lián)系人列表的各項(xiàng)內(nèi)容。這很方便，結(jié)合諸如Wi-Fi或藍(lán)牙之類(lèi)的技術(shù)時(shí)更是如此。然而，允許任何設(shè)備可以同步，會(huì)帶來(lái)嚴(yán)重的安全漏洞，特別是因?yàn)樵S多這種程序在后臺(tái)運(yùn)行、用戶可能不知道上傳或下載了什么。至少，這讓人可以訪問(wèn)共享文件夾和Exchange服務(wù)器。
    十、無(wú)線連接
    據(jù)In-Stat公司和梅塔集團(tuán)聲稱(chēng)，如今的筆記本電腦當(dāng)中約有95%隨機(jī)配備了內(nèi)置的無(wú)線訪問(wèn)功能。盡管應(yīng)當(dāng)汲取零售商TJX丟失大批客戶信息后股價(jià)應(yīng)聲下跌、要求支付1200萬(wàn)美元的教訓(xùn)，但有些企業(yè)還是沒(méi)有保護(hù)配備無(wú)線連接功能的所有端點(diǎn)。
    推薦的策略一般是控制威脅，而不是試圖完全消除威脅。雖然端點(diǎn)安全面臨的有些威脅（比如未經(jīng)授權(quán)的對(duì)等文件共享）能夠從公司網(wǎng)絡(luò)上加以消除，但另一些威脅（比如無(wú)線連接和USB設(shè)備）對(duì)現(xiàn)代公司的IT部門(mén)來(lái)說(shuō)相當(dāng)必要。
    據(jù)Kolter聲稱(chēng)，保護(hù)端點(diǎn)安全的第一步就是，制訂安全政策，規(guī)定允許什么、不允許什么。他忠告：“根據(jù)組織的自身特點(diǎn)來(lái)制訂政策?！?BR>    Centennial公司的Piwonka說(shuō)：“最終的決策需要由各個(gè)組織來(lái)決定?！边@個(gè)過(guò)程常常需要讓用戶參與起來(lái)。“有些公司可能會(huì)說(shuō)，任何人都可以使用任何一種可移動(dòng)存儲(chǔ)設(shè)備，這沒(méi)有正當(dāng)理由。實(shí)際上，一旦你試圖制訂這種政策，就有人會(huì)指出，有正當(dāng)?shù)睦碛尚枰褂眠@種設(shè)備。營(yíng)銷(xiāo)部門(mén)如何制作圖像？如果他們需要與業(yè)務(wù)合作伙伴和分析師共享財(cái)務(wù)演示文檔，主管們?cè)撛趺崔k？”
    解決辦法就是制訂詳細(xì)的政策，而不是規(guī)定絕對(duì)的禁止。你可以說(shuō)，只有這幾種設(shè)備可以使用；或者只有這些人可以擁有這些設(shè)備。你還可以指定設(shè)備、不同的加密級(jí)別或者其他的必要方面。
    一旦你制訂了政策，下一步就是堵住明顯的安全漏洞。然后，公布使用政策，并且監(jiān)控網(wǎng)絡(luò)，確保政策得到了遵守。在大多數(shù)情況下，這需要軟件來(lái)執(zhí)行政策。
    不過(guò)與往常一樣，第一步是要有風(fēng)險(xiǎn)意識(shí)。風(fēng)險(xiǎn)遲早會(huì)出現(xiàn)。Piwonka說(shuō)：“我們發(fā)現(xiàn)許多公司如今認(rèn)識(shí)到自己存在風(fēng)險(xiǎn)。這樣一來(lái)，風(fēng)險(xiǎn)會(huì)成為一個(gè)更受重視的問(wèn)題?！?