近日,全球知名研究机构SANS发布了2007年20大安全风险调查报告,从风险的角度更具前瞻性地诠释当前用户所面临的信息网络环境。
7年前,SANS(美国系统网络安全协会)和FBI(美国联邦调查局)旗下的国家基础设施保护中心(NIPC)合作,公布了“互联网10大漏洞”文件,上千家组织依靠这个列表在随后的几年内把最终研究范围扩展到20个。
2007年11 月 27 日,SANS 协会发布了“2007 年20大网络安全风险”(以下简称20大风险)。该协会第7次对这个调查列表进行了年度更新,列出了可能对个人、公司和政府部门造成最大危险的虚拟安全风险。来自6个国家的43名政府机构、业界专家以及学术界人士参与了此次调查。
据悉,此次所列出的风险都是必须立即补救的。
为何是这20大风险
众所周知,今天的攻击者,其流动性非常强,因此2007年的主要安全风险更加集中于影响范围较大的攻击者及其组织。对于随时可能出现的安全威胁,用户需要加强安全措施以确保持久地应用技术手段修补安全风险。
参与此次调查的TippingPoint公司安全研究资深经理、项目主管罗希特·达曼卡尔表示,SANS的20大风险不是“逐渐累积”的,还包含了2006年一些最关键的风险,而且2007年的风险列表和以往的最大不同点就是更注重于技术风险。但罗希特·达曼卡尔也特别强调,这些技术风险是可以通过更改配置或应用补丁程序来修补的。
很显然,安全风险的数量事实上远不止20个。但是根据罗希特·达曼卡尔的研究,被列出的20大风险可以让人们把注意力集中在风险的“类别”上,并可以为系统管理员、程序员和首席信息官提供应对每一类安全风险的方法。把20大风险分成若干类,可以帮助人们识别出大量恶意软件所使用的传播矢量。
此外,SANS关于20大风险的调查报告也是一个不断完善的文件,它将逐步地添加其他有用的信息以更正用户在安全性方面的错误认识,同时将在出现重大威胁或出现更快捷的保护方法的时候更新此列表。尤其因为这是一个面向公众的调查报告,普通用户也可以登录网站写下自己遇到的安全风险,作调查用。
20大风险3大类别
罗希特·达曼卡尔对目前存在于互联网环境下的安全风险给出了很严肃的提醒,他认为在互联网应用愈加频繁和丰富的今天,安全风险的到来几乎没有太明显的征兆,但是一旦发生,其后果却是难以估量的,而且追溯源头也显得越发困难。
总的来说,SANS发布的2007年20大互联网安全风险,可以根据用户防范的难易程度分为3类:一是网络应用中的风险,二是系统自身漏洞造成的风险,三是由于人的脆弱性导致的安全风险。
首先,对于网络应用中的风险来讲,一般发生在正常使用互联网时访问到被黑客恶意控制的网页或网站,或者使用写流媒体类的点到点的应用。此时一少部分原因可能是用户主动为之,即访问一些不知名或不熟悉的网站,但很大程度上则是被访问网站及网页已受到恶意监控。那些被控制的网站事实上是因为该网站设备中存在致命的漏洞(很多情况下是客户端漏洞),使得公司网页系统受到监控,成为僵尸网络(Botnet)。与此同时,这些被控制的设备还被黑客植入后门,方便黑客攻击者窃取大型机构的敏感信息或者控制其服务器。SANS认为这属于互联网浏览器或办公软件方面的安全漏洞。而对于这些客户端漏洞的最佳防范措施则是:1.通过网址拦截功能限制用户访问具有潜在威胁的网页;2.部署商业或开放源代码的URL过滤解决方案以防止用户访问含有攻击和恶意软件的网站;3.禁止用户从网上下载任何媒体播放文件;4.禁止SMTP、POP或者IMAP访问用户的个人或者服务提供邮件服务器,这就防止未过滤和未经扫描的内容通过邮件进入企业网站;5.部署电子邮件防毒网关、反间谍软件及其他反恶意程序的扫描解决方案;6.禁止在一个服务器上使用网页浏览器、电子邮件客户端、媒体播放器以及办公软件,如果可能,应尽可能阻止从服务器到80/TCP端口的出口通道。
其次,对于系统自身漏洞导致的安全风险来讲,很多情况下都是网络应用本身的漏洞使得网站被病毒侵蚀,以至于丢失数据,从而使连接该网站的其他电脑处在危险之中。对此,最佳的防范措施应为:1.部署网络应用防火墙和网络应用安全扫描器,并通过应用源代码的测试工具和应用渗透测试服务在系统内部杜绝安全漏洞,而最重要的则是重要的网络应用应通过经过验证的安全过程进行使用,同时保证验证程序本身的安全性。2.保持系统更新,并保持对应用程序和系统软件的补丁安装和升级过程进行验证。
最后,对于信息网络环境来说,最脆弱、也是最难克服的环节,其实恰恰是人,即用户。很多易受骗的、忙碌的以及新的电脑用户,包括高级管理人员、IT员工以及其他具有访问特权的人,都有可能在含有钓鱼软件的邮件中按其指令进行操作,从而导致网络账户或银行账户的损失。由此而带来的网络经济犯罪正是当前网络安全事件的典型特征。对此,最佳的防范措施应该是开展安全知识培训。这是非常重要的,但同时也不能完全解决该问题。在具体实践中可以采取两种方法加以防范:1.演习——定期给用户发送无恶意的钓鱼邮件,测试用户反映,加强安全意识薄弱用户的安全防范意识。2.从设备部署和管理方面实施硬性的解决方案,如监控网络流量和系统内的用户行为,以便及时防范安全风险和由此带来的黑客入侵问题。
回顾过去主持调查的3年,罗希特·达曼卡尔认为,SANS发布的20大风险报告在风险通知和如何能够最好地反击恶意攻击方面是至关重要的。同时,他还建议,用户除使用通用的风险解决方案外,还应在网络接入控制系统和网络扫描方面持续不断地加强安全防范机制,以减少表层的风险。
2007年SANS Top-20安全风险
· 客户端浏览器
· 客户端Office套件
· 电子邮件客户端软件
· 客户端多媒体播放器
· 服务器端Web应用
· 服务器端Windows服务
· 服务器端Unix、Mac操作
系统服务
· 服务器端备份软件
· 服务器端反病毒软件
· 管理服务器
· 服务器端数据库软件
· 未授权的设备访问
· 个人端钓鱼软件和间谍程序 · 移动接入及媒体应用
· 即时通信应用
· 点到点的流媒体应用
· VoIP服务器
· 零日攻击
(据SANS官方发布编译)
动态
● McAfee发布2008年10大安全威胁预测 近日,McAfee预计2008年将有10大趋势值得关注。在继续使用以往频频得手的攻击手段的同时,攻击者将会寻求一些新的技术发起攻击。
● 卫士通信息产业股份有限公司正式推出移动办公及个人文件安全存储解决方案 近日,卫士通正式推出其最新具有免安装、安全功能综合化、托管文件高安全性、文档处理全过程安全保障性等4大优势的解决方案,可全方位满足移动办公人员的安全接入和文件安全存储与检索的需求。
据悉,此次正式面市的移动办公及个人文件安全存储解决方案,是卫士通公司旗下子品牌一KEY通在移动办公领域的一次成功扩展。
● 博威特网络技术有限公司正式发布其2007年度全球垃圾邮件的分析报告 日前,博威特网络技术有限公司 正式发布其关于垃圾邮件的2007年度报告。该报告内容包括:1.垃圾邮件已取代传统的邮寄和电话销售,成为最糟糕的营销模式;2.2007年的垃圾邮件已上升至邮件总数的90%~95%,比2006年85%~90%的比例有所增长。
据悉,该报告是对全球5万用户日常收到的电子邮件进行分析后得出的,涉及的邮件总量超过10亿封。
U盘病毒关闭安全软件
病毒名称:梅勒斯下载器变种KO(Trojan.DL.Win32.Mnless.ko)
警惕程度:★★★
病毒描述:这是一个木马病毒,运行后会在系统文件夹内建立名为TxoMoU.Exe的病毒文件,并可禁用任务管理器,禁止修改IE浏览器主页,禁止系统自动更新,试图关闭多种安全防护软件,同时修改系统时间使一些国外杀毒软件不能正常运行。该病毒还可以下载新的病毒,并将自身复制到U盘根目录下。
反病毒专家建议电脑用户采取以下措施预防该病毒:
1.不打开可疑邮件和可疑网站;
2.一定要及时给系统打补丁;
3.安装专业的防毒软件并升级到最新版本,打开实时监控程序;
4.为本机管理员账号设置较为复杂的密码;
5.打开防护中心并开启全部防护。