對于企業來說,木馬、黑客、病毒等網絡安全威脅已經成為信息安全的重大隱患。為了保護企業數據的安全,就要清楚目前來自網絡的主要威脅都有哪些。
一、安全隱患:IPv6存在的攻擊漏洞
在從IPV4向IPV6過渡的過程中,企業面臨著很多信息安全調整,安全專家表示。讓情況更糟糕的是,一些攻擊者已經開始使用IPV6地址空間來偷偷向IPV4網絡發起攻擊。
Sophos公司的技術策略主管James Lyne表示,眾所周知,企業間從IPV4向IPV6過渡過程非常緩慢,而很多網絡罪犯就鉆了這個空子,很多攻擊者在IPV6基礎設施散步垃圾郵件并且利用了錯誤配置的防火墻的缺點。
很多現代防火墻在默認配置下都是讓IPV6流量自行通過的,Lyne表示。那些對IPV6流量不感興趣的企業就會設立明確的規則來嚴格阻止IPV6數據包,IT管理人員需要“知道如何與IPV6對話”,這樣他們就可以編寫相應的規則來處理該協議。
“從行業的角度來看,現在銷售IPV6的方式是錯誤的,”Lyne表示,他指出關于該協議的內置功能如何幫助提高隱私性方面的問題很少有人探討。相反的,對IPV6難以部署的普遍觀念讓企業很容易受到潛在攻擊。
從一般規則來看,IPV4和IPV6網絡是并行運行的。具有傳統IPV4地址的計算機不能訪問在IPV6地址空間運行的服務器和網站。隨著IPV4地址“逐漸衰敗”,業內都鼓勵企業轉換到IPV6或者無法獲取新IP地址。負責向亞太地區分配IP地址的亞太網絡信息中心近日宣布所有新的地址申請將被分配IPV6地址。
一位安全研究人員近日發現攻擊者可能通過IPV6網站發動中間人攻擊。InfoSec研究所安全研究人員Alec Waters表示,攻擊者可以覆蓋到目標IPV4網絡上的“寄生”IPV6網絡來攔截互聯網流量,他的概念證明攻擊只考慮了windows 7系統,但是同樣也可能發生在Vista、Windows 2008 Server和其他默認情況下開啟了IPV6的操作系統上。
為成功發動攻擊,攻擊者需要獲取對目標網絡的物理訪問,并且時間足以連接到IPV6路由器。在企業網絡的環境中,攻擊者將需要連接IPV6路由器到現有的IP4樞紐,但是對于公眾無線熱點,就非常簡單了,只需要用IPV6路由器就能發動攻擊。
攻擊者的IPV6路由器將會使用假的路由器廣告來為網絡中啟用了IPV6的機器自動創建新的IPV6地址。
路由器廣告的作用就像是IPV6地址的DHCP(動態主機配置協議),它提供了一個地址池供主機來選擇,根據SANS研究所首席研究官Johannes Ullrich表示。在用戶或者IT管理人員不知情的情況下,他們的機器已經變成IPV6獵物。
雖然系統已經有一個企業分配的IPV4地址,但是因為操作系統處理IPV6的方式,系統會被打亂到IPV6網絡。現代操作系統將IPV6默認為首選連接(如果系統同時被分配了IPV6和IPV4地址的話)。
由于IPV6系統無法與企業真正的IPV4路由器進行連接,系統必須通過惡意路由器進行路由,Waters表示,攻擊者然后可以使用一個通道來將IPV6地址轉換到IPV4地址,例如NAT-PT,這是一個實驗性IPV4到IPV6轉換機制,但是因為存在很多問題,該機制并沒有獲得廣泛支持。
“但并不意味著它沒有作用,”Waters表示。
通過NAT-PT,具有IPV6地址的機器就可以通過惡意路由器訪問IPV4網絡,使攻擊者對他們的互聯網活動有了全面了解。,
這種攻擊的嚴重程度還存在爭議,InfoSec研究所安全計劃經理Jack Koziol表示。根據常見漏洞清單,“IPV6符合RFC 3484(IPV6協議),以及試圖確定RA的合法性目標仍位于主機操作系統推薦行為的范圍外仍然存在爭議。”
不需要使用IPV6或者沒有完成過渡的企業應該關閉所有系統上的IPV6,或者,企業應該“像IPV4一樣對攻擊進行監控和抵御”。
二、來自客戶和合作伙伴的安全威脅
雖然企業盡其全力確保了自身網絡安全,但在電子商務和網上銀行的時代,這些還遠遠不夠。IT管理人員應該要問:與我們業務往來的合作伙伴的安全保護工作是否到位?
答案可能是否定的,因為客戶和業務合作伙伴并沒有實現安全數據共享,例如使用加密來保護敏感信息。當他們的計算機被攻擊者攻擊或者他們的員工以不合法規的方式發送敏感數據時,這自然也會成為你們公司的問題。
在醫療保健行業,與個人醫療信息和個人身份信息有關的數據必須通過加密后才能發送給業務合作伙伴,Lutheran Life Communities(醫療保健供應商,1600名員工,為老年人提供醫療保健、家庭護理等服務)的信息技術主管Richard DeRoche表示。
該醫療保健供應商安裝了數據丟失防護設備來確保個人醫療信息和個人身份信息數據傳輸安全進行,但是令人驚訝的是,最終是業務合作伙伴的問題導致數據泄漏。
“85%到90%的數據泄漏是入站的,”DeRoche指出,雖然Lutheran Life的員工遵守加密敏感數據的規則,但是該供應商的合作伙伴確實犯下最大錯誤的一方,真是防不勝防。
這引起了Lutheran Life法律部的辯論,關于公司是否應該接受看似違反了HIPAA以及HITECH法案的電子郵件,這些法案都會對違規者進行罰款。
DeRoche表示,公司已經決定開始向違反其安全和隱私政策的電子郵件發送者發送警告信息,信息中稱本公司無法接受這種形式的信息。他指出,有必要建立更多的業務伙伴協議,以防止類似問題再次發生。
像許多公司一樣,Lutheran Life Communities發現很難讓業務伙伴使用加密技術,建立的微軟SharePoint作為業務伙伴共享機密信息的外部端口,這個系統是使用密碼和加密的系統,但是對最終用戶卻不實用。
銀行業也是同樣的情況,其他人犯的錯誤可能帶來不必要的麻煩。
網絡罪犯很擅長欺騙零售業和企業網上銀行客戶,有時候他們會精心設計騙局來引誘受害者電機假冒釣魚網站來竊取賬戶信息或者使用木馬軟件劫持個人電腦來通過自動清算系統服務進行欺詐交易。
罪犯可以遠程通過受害者的電腦發起大金額支付,而這些未經授權的付款最終由錢螺幫助他們兌現(錢騾指通過因特網將用詐騙等不正當手段從一國得來的錢款和高價值貨物轉移到另一國的人,款物接收國通常是詐騙份子的居住地)。當企業銀行客戶發現這種情況發生時,他們不得不請銀行幫忙,而根據法律,企業客戶對于網上銀行操作并沒有相同的欺詐保護。
一些銀行正在嘗試更有效的辦法來制止這種類型的攻擊對他們的客戶和銀行體系的損害。
例如,美國費爾菲爾德縣銀行決定,為了阻止攻擊行為,他們要求其企業自動清算系統銀行客戶(約80家公司,幾百名終端用戶)使用特定的安全保護來保護ACH支付。
該銀行的所有客戶都會獲得一個IronKey Trusted Access作為網上銀行令牌,這是一個安全的USB令牌,可以通過IronKey云服務來管理。這種令牌保護能夠通過創建一個獨立于用戶操作系統的受控制的在線工作環境防止鍵盤記錄和基于瀏覽器的攻擊以及惡意軟件。
“這將是必需的,” 該銀行助理副總裁、現金管理辦公室和電子銀行業務Christina Bodine表示。
她表示,這種強制性安全設備將有助于保護客戶和區分銀行的服務。像其他銀行一樣,該銀行建議客戶使用專門的電腦進行資金轉賬。
三、有補丁不打,四分之一SSL網站有風險
在互聯網工程任務組(Internet Engineering Task Force ,IETF)發布修復SSL協議中存在的漏洞(主要影響服務器、瀏覽器、智能卡和VPN產品,以及很多低端設備,如攝像頭等)的安全補丁的一年多后,仍然有四分之一的SSL網站沒有安裝這個補丁,這讓這些網站很容易收到中間人攻擊。
Qualys公司的工程主管Ivan Ristic近日對120萬個啟用SSL網站服務器進行了調查,其中發現超過25%的網站沒有運行所謂的安全的renegotiation。Ristic還發現,在Alexa排名前100萬的網站中的30萬個網站中,有35%容易受到這種類型的攻擊,這種攻擊主要是利用了SSL認證過程中存在的問題,可以讓攻擊者發動中間人攻擊,并將攻擊者自己的文本注入到已加密的SSL會話中。這個問題主要存在于renegotiation過程中,有些應用程序要求對加密過程進行更新。
為了解決這個問題,互聯網工程任務組聯手促進互聯網安全企業論壇以及一些供應商,例如谷歌、微軟和PhoneFactor,發布SSL的修復補丁,也就是互聯網工程任務組標準中的傳輸層安全(TLS)。這個修復補丁(傳輸層安全TLS Renegotiation Indication Extension)于2010年一月發布。
“令人感到意外的是,頂級網站的安全狀況比一般網站的還要差,”Ristic對調查結果表示。
Ristic表示,這些容易受到攻擊的網站基本上沒有修復這個漏洞。“在修復補丁后,才能夠確保安全進行renegotiation,”他表示,“這些漏洞系統也可以部署其他解決方法,通過禁用客戶端發起的renegotiation,但是他們也沒有這樣做。”
發現這個漏洞的PhoneFactor公司的Marsh Ray表示,這些數據說明了修復漏洞方面的場景安全狀況,“有一定數量的網站會立即修復漏洞,然后修復后就沒有采取任何行動了。”
Ray表示,“我們已經盡了全力,我們讓供應商及時地提供修復補丁。你可以把馬帶到湖邊,但是你不能命令它喝水。”
SSL安全問題一直受到廣泛關注,首先是研究人員Moxie Marlinspike制造的中間人攻擊,誘騙用戶認為他正處于一個HTTPS會話中,而實際上他已經被攻擊者重定向到其他位置。隨之而來的是研究人員Dan Kaminsky的研究,他發現了SSL中使用的X.509數字證書技術存在的關鍵漏洞。
“我認為沒有辦法讓個人用戶大幅度改善SSL部署情況。存在太多問題,而且根本沒有人在乎。我覺得我們應該將側重于庫開發人員(舉例來說)OpenSSL,讓他們移除過時的功能,并且讓軟件供應商確保默認情況下開啟了必要的安全功能,”Ristic表示。
他表示,從長遠來看,將需要其他方法來幫助確保SSL部署的安全。“從長遠來看,谷歌使用的方法肯定會變得非常流行,他們正在通過改善性能來實現安全的改進。例如,他們的SPDY協議在默認情況下是100%加密的。所以,所有轉移到SPDY獲取更好性能的用戶還將獲得更好的安全,”Ristic指出,“總體來說,我們的共同努力,SPDY、DNSSEC、HSTS以及類似的較小的協議改進都將幫助我們實現更好的安全。”
四、釣魚攻擊成為主要安全威脅
成功利用釣魚郵件對安全企業(例如Oak Ridge和RSA等)造成的數據泄漏攻擊為我們敲響了警鐘,一些專家嗤之以鼻的低技術含量攻擊方法也可能造成嚴重威脅。
美國能源部研究實驗室Oak Ridge近日宣布在發現在其網絡中存在數據竊取惡意軟件程序后,已經關閉了所有互聯網訪問和電子郵件服務。
根據該實驗室表示,這次數據泄漏事故源于一封被發送給570名員工的釣魚攻擊郵件。這封電子郵件偽裝成該實驗室的人力資源部門的通知,當一些員工點擊嵌入在電子郵件中的鏈接后,惡意程序就被下載到他們的電腦中。
這個惡意程序利用了微軟IE軟件中未修復的漏洞,并且目的是搜尋和竊取該實驗室的技術信息,該實驗室的工程師們正在努力研制世界上最快的超級計算機。
Oak Ridge實驗室的官方發言人形容這次攻擊與安全供應商RSA遭受的攻擊非常類似。
RSA數據泄漏事故導致了RSA公司的SecurID雙因素認證技術信息的被竊。而在本月初Epsilon發生的數據泄漏事故也被懷疑是有針對性的釣魚攻擊行為,這次事故是有史以來設計最多電子郵件地址的事故。
分析家表示,攻擊者能夠利用低技術含量、假冒電子郵件的方法來滲透入這些受到良好保護的企業表明了有針對性的釣魚攻擊日益成熟,并且存在這樣的趨勢,企業認為單靠教育員工就能夠緩解這個問題。
“這并不讓我感到驚訝,” 安全公司Invincea公司創始人Anup Ghosh表示,“幾乎每個公開的和發表聲明的高級持續性攻擊都是通過釣魚郵件開始的。”
事實上,現在這類郵件似乎成為攻擊者非法進入企業網絡的首選方法,他表示。
“你需要做的就是設立一個電子郵件目標,你只需要通過幾次電機就能夠在企業內部建立幾個存在點,”Ghosh表示,“如果你企業有1000名員工,并且你教育他們不能打開不可信任的附件,還是會有那么幾個人會打開。這并不是訓練可以解決的問題。”
讓問題更嚴重的就是釣魚攻擊越來越復雜,分析師指出。
越來越多的有組織的攻擊團隊開始使用精心設計的電子郵件來針對高層管理人員以及企業內部他們想要攻擊的員工。在很多情況下,釣魚郵件都是個性化的、本地化的,并且設計得好像是來自可信任來源一樣。
Ghosh表示,他上周就收到過類似的郵件。郵件發送到他的個人郵箱,看起來是一個好朋友發過來的郵件,包含一個能夠打開朋友的女兒生日派對照片的鏈接。郵件甚至還包含朋友女兒的名字。
郵件被標記為紅色,但是Ghosh在點擊鏈接后才發現紅色標記。“隨便看一眼就已經能夠說服我去點擊鏈接,”他表示。
Spire Security公司的分析師Pete Lindstrom表示,“最近很多攻擊都是使用某種形式的釣魚攻擊,這個十分令人擔憂,我們總是很容易在一些安全基礎環節掉鏈子。”
公司必須定期記錄和監測網絡是否存在這種釣魚攻擊造成的數據泄漏,他表示。
在釣魚攻擊中,企業必須更注重響應和遏制,而不僅僅是預防,Securosis公司分析師Rich Mogull表示。
在這種攻擊中,企業常常面對的是擁有豐富資源、耐心和資金的對手。通常情況下,這樣的對手都愿意不斷嘗試直到他們攻入系統網絡。“幾乎不可能阻止這樣的人。”
因此,IT安全人員應該注重最大限度地減少損失,Mogull表示。舉例來說,企業應該考慮將網絡進行區域劃分,并在關鍵設備以及數據間建立“空間間隔”,以確保入侵者更難進入網絡。
同樣重要的是,企業需要廣泛地監控內部網絡以確保數據沒有泄漏出去。
“有針對性的釣魚攻擊已經不都是低技術含量的攻擊形式了,”Gartner公司分析師John Pescatore表示。
并且,越來越多來自社交網絡(例如LinkedIn和Facebook)的信息被用于釣魚攻擊,這使釣魚攻擊更難被檢測,他表示,“在這些社交網絡上,有很多個人信息和朋友的名單,從這些信息中并不難獲取非常私人的電子郵件地址,”Pescastore表示。
此外,網絡安全工作(特別是政府機構和研究實驗室,如Oak Ridge)往往側重于諸如URL阻止等問題,以防止內部員工訪問色情或者非法網站,而不是阻止可疑的入站郵件。
“這讓他們更容易受到攻擊,如果用戶點擊了釣魚郵件的話,這也是員工經常發生的事情,”他表示,“25年試圖通過宣傳和教育來提升員工的安全意識的經驗證明,這是無法杜絕的。”
五、安全軟件和服務并不安全?
在我們電腦出現病毒,或者我們希望電腦可以抵御未知的安全風險時,我們常常想到的就是安全軟件和服務。這些產品和服務似乎讓我們感覺自己得到了保護。然而,近日國外的一項調查報告卻揭示,實際上,我們的安全軟件和服務也并非是“安全”的!你愿意接受這個殘酷的事實么?
近日Veracode發布的最新報告顯示,測試的大部分安全軟件和安全服務安全評分都“難以置信”的低,也就是所有商業軟件中超過65%的安全軟件服務安全狀況并不理想。
Veracode公司最新發布的軟件安全狀態報告顯示客戶支持軟件比安全產品以及服務更糟糕,其中82%的應用程序評分都非常低,而相對的,安全軟件和安全服務軟件則是72%。
Veracode掃描的所有商業軟件中有66%的軟件在第一次安全掃描中都得到了“無法令人接受”的低分,安全產品和服務軟件的低分數是最令人震驚的。“這真的讓我們很驚訝,”Veracode公司產品營銷副總裁Sam King表示,該公司對超過4800個應用程序進行了掃描分析,“這也解釋了最近在RSA、HBGary和Comodo發生的數據泄漏事故的原因,攻擊者開始瞄準安全公司以及其他垂直行業,這里給我們的教訓是:你無法想象的是,安全供應商可能都不安全。”
然而,商業軟件供應商都能夠較為迅速地修復他們的產品,超過90%的供應商在Veracode調查后的一個月內讓他們的產品達到“可接受”的分數。并且安全供應商更加迅速,平均在三天內就讓他們的應用程序達到可接受的安全狀態,Veracode調查顯示。
但是為什么安全供應商的軟件在最初的掃描分析中安全狀況如此之差呢?研究高級主管Chris Eng表示,問題在于安全供應商面臨著與其他企業一樣的挑戰:擁有安全經驗的開發人員并不多。“他們不一定具備安全專業知識,”他表示。在參加Veracode在線培訓計劃的安全基礎知識考試中,超過50%的應用程序開發人員只拿到C或者更低的分數,而這個測試涵蓋了常見威脅和其他安全基本概念。這個考試只是作為培訓前的評估測試,超過30%的開發人員拿到D或者不及格,Veracode調查顯示。
“他們對于應用程序安全基礎知識并不是很了解,而這些知識能夠幫助你更好地了解我們報道的其他統計數據,”King表示。
選擇了Veracode公司的Java和.NET安全編碼課程以及加密介紹課程的開發人員中,有35%到48%的開發人員得到C或者更低分數。“這些課程的及格率比應用程序安全基礎知識的及格率要高一點點,所以這個消息很令人振奮:通過良好的培訓與教育,他們能夠有更好的表現,”King表示。
這次調查的其他發現:19個web應用程序中有超過8個應用程序存在OWASP前十大常見漏洞,跨站腳本攻擊仍然是應用程序中最多的漏洞。SQL注入攻擊漏洞平均每季度較低了約2.4%。
金融服務行業和軟件業是最積極處理安全漏洞的行業,他們訂購了第三方軟件掃描來檢查軟件供應商的漏洞情況。報告中要求漏洞證明的企業中超過75%的企業是來自于金融行業和軟件行業,而航空航天和國防行業也開始要求他們的軟件供應商對他們的漏洞負責任。
六、轉移到云意味著關注加密
繼最近索尼PlayStation網絡和電子郵件營銷公司Epsilon公司發生大規模數據泄露事故后,安全專家警告說,云服務用戶需要密切關注數據保護和加密.
存儲在互聯網可訪問的服務器上的信息,特別是客戶數據或者重要企業數據,應該使用加密技術進行妥善的保護,這不只是為了滿足行業和政府法規, 而是為了維護企業利益, CloudSwitch公司的創始人兼首席技術官John Considine表示.
攻擊者偷走了大約100萬來自索尼賬戶的信息,以及Epsilon數百萬的電子郵件地址以及其他信息.
“當數據位于你的數據中心,且在你的控制之下,你有訪問權限控制,并且你知道誰可以訪問這些數據,” Considine表示,”當你轉移到云服務, 這些完全取決于別人.”
在最近的數據泄露事故中,索尼聲稱已經加密了所有信用卡信息,但是其他身份信息并沒有進行加密, Epsilon同樣沒有妥善保護其數據.
你不能總是指望軟件即服務供應商能夠全面加密你的數據, SafeNet公司首席技術官Russ Dietz表示.
“我們仍然有很長的路要走, “ Dietz表示, “軟件即服務供應商可以部署加密技術,但是將這些技術整合到他們的系統中需要花很多時間,我們仍然處于早期發展階段.”
企業需要為他們自己的數據安全負責人,這意味著不僅要加密存儲在虛擬系統的數據,而且需要使用加密來對訪問這些數據的人進行適當的身份驗證.
身份驗證是與保護數據同樣重要的,即使在rootkit允許攻擊者從內部訪問網絡的情況下,基于公鑰基礎設施(PKI)的多因素身份驗證也可以減小對重要數據的威脅.
幾乎所有木馬程序和高級持續性攻擊都是基于獲取身份信息的,但是如果使用了強大的身份驗證和公鑰基礎設施, 攻擊者就沒辦法獲取數據信息了,” Dietz表示.
隨著數據迅速累積,加密所有信息成為一項艱巨的任務. 大多數企業應該確定他們最有價值的數據,并從這些數據開始進行加密計劃, Considine表示. 重要企業數據或者法規規定的個人識別信息應該是首要加密數據.
“企業處理信息的最佳做法應該在于確定哪些人有怎樣的訪問權限, 在關鍵區域部署加密技術, 然后嚴格限制誰可以訪問加密組件和未加密形式的數據, “ Considine表示.
下一步就是確保存儲在云服務中的數據與其他存儲在企業虛擬機中的數據分隔, 因為這些數據可能共享相同的云基礎設施. 雖然很多基礎設施供應商聲稱機器是隔離帶, 企業也可以添加加密技術. 如果沒有額外的安全保護, 任何對其他虛擬機器有訪問權的攻擊者都可以訪問其他系統的關鍵數據.
“這些類型的數據泄露中,攻擊者從系統到系統移動,試圖找到漏洞, “ Considine表示, “如果沒有加密的話, 他們就能夠獲取更多相鄰系統的信息. ”
在云服務環境部署加密的最后一步是減少對數據的訪問,和使用強大的多因素身份驗證. 良好的加密和多因素身份驗證可以阻止側重于獲取企業機密的攻擊者,也就是所謂的高級持續性攻擊的情況.
“對于用戶的身份信息,加密技術和強大的身份驗證能夠消除所有這些入站攻擊, ”Dietz表示.
京公網安備 11010502049343號