最近安全领域的一个热门词语是端点(endpoint):端点是指可连接至公司网络的任何一种设备,从桌面工作站、笔记本电脑、个人数字助理甚至到手机。由于端点数量不断增加,光靠防火墙和反病毒软件这类保护机制再也不够了。
犯罪分子和各种新型恶意软件采用的新手法在伺机探测网络、寻找安全漏洞。而它们找到漏洞的机会越来越大。
专家们表示,从根本上来说,端点引起了更多人的关注,原因在于攻击计算机网络的方式出现了巨大变化。
在任何一种攻击中,第一步就是渗入某家组织的安全边界。过去通过外部威胁来实现这一步,比如被感染的电子邮件消息。虽然目前仍有许多携带病毒的电子邮件,但这种攻击途径的效果日益减弱。
Centennial Software公司的产品管理副总裁Bill Piwonka说:“安全公司在对付外部威胁方面一般做得很出色。”该公司是安全软件生产商,并且建有博客WatchYourEnd.com。
一个结果就是,电子邮件病毒的效果变弱了。安全软件生产商Sophos公司的高级安全分析师Ron O’Brien说:“从2006年1月到2007年1月,电子邮件被感染的比例从40封邮件中被感染1封减少至330封邮件中被感染1封。作为一种感染途径,电子邮件日渐式微。”
Piwonka说:“在过去,最大的威胁来自公司外部,通过互联网或电子邮件。如今,黑客及不怀好意的人企图通过其他方式进入及访问组织。他们的目光盯在了‘这家组织的系统和数据还有哪些地方存在安全漏洞?’”
O’Brien说:“普通用户已获得了足够到位的教育,懂得不会点击主动发来的电子邮件里面的附件。于是,恶意软件编写者改变了分发病毒、特洛伊木马和蠕虫的手段。”现在的攻击活动主要致力于把人们引到被感染的网站上,但越来越多的攻击牵涉其他种类的威胁,比如网络钓鱼。据卡巴斯基公司的Viruslist.com声称,截至2007年1月,网络钓鱼攻击比电子邮件里面的病毒还要常见。
不过,越来越多的攻击企图绕过防火墙和反病毒程序,从公司内部未得到保护的角落发动攻击。虽然外部威胁的危害性与过去一样大、需要采用防火墙及其他防御机制加以防范,但是更重要的是关注内部薄弱环节。
Piwonka说:“如今存在数量众多的插入式设备,这个事实绝对带来了新的风险领域。”
当然,公司内外威胁会协同发力。比方说,对等网络是个内部问题,因为有人故意把它们安装在公司系统上;但它们之所以成为一种威胁,就在于外部人员可以利用它们来危及安全。
如今存在好多安全漏洞。
安全软件厂商Promisec公司的首席执行官Amir Kolter说:“早些年,我们调查了规模不一的30个客户;有的客户只有几百个工作站,有的在世界各地有成千上万个工作站。有的甚至拥有20万个端点。”
据Kolter声称,结果让人沮丧。他说:“所有客户都存在内部威胁。威胁总数超出我们的预期。”此外,存在某种特定漏洞的公司其数量常常要比表明存在这种漏洞的计算机的比例高得多。Kolter表示,因而,尽管接受调查的所有端点当中只有4%安装了对等软件,但接受调查的公司当中22%存在一个或多个端点有这种漏洞的情况。
虽然存在问题的计算机其比例似乎很低,但别忘了这点:一家组织当中只要有一台计算机存在安全漏洞,就会危及整个网络。
Promisec的部分发现结果并无新意:没有打上最新补丁的各版本Windows、需要更新特征文件的反病毒软件,等等。不过,Promisec发现的有些端点威胁不大常见,也不大明显。
Promisec发现十大方面存在问题。不是每家公司都存在所有这些问题,但它们都至少存在其中一个问题。在某些情况下,端点威胁是完全可以消除的,比如没有打上最新安全补丁的计算机。在另一些情况下,比如未得到保护的USB设备,解决办法就是通常使用软件执行的安全政策来控制该漏洞。
一、USB设备
Promisec的调查发现,最大的威胁是未加登记或未加保护的USB设备。接受调查的端点当中约有13%存在这个威胁。
这不只是理论上让人担心的问题。扬基集团在早些年的一项调查发现,接受调查的公司当中37%认为,USB设备被用于泄露公司信息。
感染的来源未必是内部员工。来访者(不管有没有受到邀请)访问公司的计算机后,就能轻易插入拇指驱动器。更精心策划的是,前几年有家计算机安全公司往20只USB驱动器上安装了窃取密码的恶意软件,然后把它们故意扔在目标公司外面的停车场及其他有可能被捡到的地方。结果,50%的驱动器被该公司的员工捡到了,他们插入计算机后想看看里面有什么东西;短短数小时之内,这家安全公司就源源不断地获得了密码及其他关键数据(这家安全公司是Secure Network Technologies,它当时在客户地方测试安全)。
Windows下的USB设备保护机制相当有限。你基本上只能启用或禁用系统上的USB。由于USB是Windows的默认外设连接,所以这带来了极大的限制。不过,Sophos、Devicelock或Promisec等第三方软件对USB设备提供了基于安全政策的管理,从而摆脱了这种限制。
二、对等文件共享
虽然公司政策常常禁止使用未经授权的对等(P2P)文件共享程序,但接受调查的计算机当中还是有4%安装了这类应用程序。这个问题变得日益严重。不但更多的对等网络出现在了公司网络上,计算机犯罪分子也开始大规模使用对等网络来危及并控制计算机。
据安全软件公司Prolexic声称,P2P如今被用于针对公司网站发动分布式拒绝服务攻击。该公司表示,它发现有一种名叫dc++的基于P2P的分布式拒绝服务攻击动用了30万台受到危及的计算机。
未经授权的P2P软件可能是导致信息泄漏的一条重要途径,以至于有人建立了一个名为See What You Share的网站,仅仅为了显示通过文件共享、可以从政府部门窃取哪些信息,包括绝密文件。
当然,P2P文件共享也是非法分发盗版材料的主要方式之一――如果美国唱片业协会(RIAA)的律师发出律师函,你不但面临巨额罚金,还会陷入尴尬境地。 |