IT技术日新月异,随着云计算、移动互联网、社交媒体的普及,大数据的出现,虚拟化技术的应用,新技术带来了新的安全威胁,正所谓“道高一尺魔高一丈”。与2011年相比,2012年有哪些安全问题值得关注?最近赛门铁克发布了第十八期《互联网安全威胁报告》,报告指出了2012年的三大主要安全威胁——APT攻击;移动威胁;信息泄露。
APT攻击
APT(高级持续性威胁)由来已久,针对性强,一般的商业企业很难防范。较之2011年,250人规模以下的企业遭受针对性攻击数量的增幅最大。当前,以中小型企业为目标的针对性攻击占所有针对性攻击总量的31%,比2011年增长了3倍。
赛门铁克公司中国区安全产品总监卜宪录说:“究其原因,第一,中小企业的安全防护意识、安全防护手段仍然非常薄弱,很容易成为攻击的目标。第二,这些中小企业作为大型企业供应链中的一环,黑客精心选择它们,然后作为跳板再去攻击那些大企业,政府、能源、制造业等大企业。”
2011年的《报告》里指出首要的攻击目标是政府,今年制造业上升为第一位。因为在制造业里面知识产权,不管是源代码、还是图纸,大部分都在制造业的企业里面。所有行业都可以成为攻击目标,但是制造业在过去的2012年是最受攻击的一个行业。同时,赛门铁克对被攻击的人和人群做了划分,以往大家认为被攻击的对象要么是大企业,要么是企业的董事长、总经理等这些人物,但是2012年分析发现首要的攻击目标是公司里的研发人员或者它的销售人员。为什么是他们?研发人员手上掌控的是企业的知识产权,核心竞争力,源代码、图纸,销售人员掌控的是企业的客户信息,所以这两类人上升为攻击的首要目标。当然另外还有一些,包括助理,包括管理层仍然是攻击的目标。被攻击以后很多人被当作跳板,发动下一个攻击做准备。
卜宪录表示在攻击的形式和手法上2012年有显著的变化,APT里面最新涌现出来的叫做水坑攻击。具体做法是黑客先瞄准一个目标时候,分析他的行为,比如你经常或者喜欢去哪些网站。然后黑客不攻击你,而是去攻击那个网站。他先去侦察一番这个网站有没有脆弱性,它想一些方法在这个网站上挂上这个恶意软件,他知道你经常访问它,他在那边设好服务,就像一只狮子等在水坑旁边而不是直接追那个目标一样,等到这个人访问这个网站时候就会中毒,然后对你窃取资料。水坑式攻击的效率远远超过传统的鱼叉攻击,它的破坏力是非常大的。#p#
移动恶意软件
不管是I OS、安卓还是Windows操作系统都有很多漏洞,出乎意料的是I OS漏洞的数量是最多的。但是针对安卓恶意软件的威胁数量是最大的,也就是说漏洞最多的系统受到的攻击反而不是做多的。
赛门铁克认为主要原因有两个:第一,安卓平台是比较开放性的,使用的人了解它的人比较多的,所以它的漏洞一旦被发现以后被利用的可能性和门槛是非常低的,黑客很容易编写一段针对这个漏洞的攻击代码。这跟它的市场占有率也有关。安卓市场占有率70%多,IOS大概只有14%。另外还有一点非常重要,很多苹果的操作系统是越狱的,安卓的系统因为可以在网站上随便下载一些应用,它实际上是不需要越狱的。所以你在苹果操作系统上会看到很多漏洞,这些漏洞里面很多是针对那些越狱的操作系统。这些因素导致安卓系统成为攻击者的理想平台。现在暂时漏洞和威胁没有正相关,但是赛门铁克的预测,在将来两者会逐渐走向一致,也就是说漏洞多将来威胁必然也会多,虽然现在不是很多。
那么这些移动恶意软件感染了移动终端以后主要会做哪些事情?赛门铁克公司全球副总裁、大中华区总裁连智浩说:“最重要的一点是窃取你的个人信息然后加以非法利用,可能销售出去,或者通过手机上的社交网络应用发送欺骗信息给你的联系人。传统对PC的威胁正向手机演进,而且在手机上还有一些新的东西是原来PC上没有的,比如定位,现在手机可以定位你的信息,所以破坏性非常大。”#p#
恶意网站
2012年只有14个新增的零日漏洞,但是它们产生的威胁极其巨大。比如前面提到的水坑攻击就是利用了零日漏洞。
卜宪录说:“针对web上有很多零日漏洞被黑客利用拿来做水坑攻击,针对WebHTTP的攻击力量过去一年增长了30%,这带动了针对网页攻击数量的提升。针对网页攻击有很多种形式。比如攻击一个网站web管理员的权限,或者通过社交媒体/社会工程学的方法,或者攻击这个Web service背后的基础架构,然后获取管理员的权限。更高端的方法是在合法网站上花钱买广告或者外挂插件,但当你点进去的时候就会被链接到非法网站里面去,那里已经被挂了木马、被种了病毒,所以很容易被感染。所以透过合法的途径很容易获得一个网站的控制权。黑客不需要攻击本来这家网站或者找出漏洞,而且攻击工具包越来越普及,所以攻击一个网站变得非常容易。”
这里有一个统计数据,通过赛门铁克大情报的网络搜集了很多网站的信息。53%的合法网站(不包含的非法网站)都是有未修补漏洞的,24%的合法网站都是有高危险漏洞的,很容易被攻陷;61%的合法网站被挂了一些广告页,商务类网站、技术网站和购物网站名列感染宿主网站排名中排在前列。它本身是一个合法网站,但同时它也是一个恶意的网站。而“勒索软件”作为一种更加高级的恶意攻击手段,由于其强大的获利能力,已成为当今攻击者的首选恶意软件。勒索软件的制造者们主要利用被感染的网站来攻击毫无防备的用户并锁住用户设备,然后要求用户缴纳赎金才能再次启动其设备。这就是为什么针对web攻击、水坑攻击将来会越来越普及。
如何防范?
在新的安全威胁出现以后,赛门铁克的建议是:第一,对企业而言应该有一支专家团队,企业的员工应该有良好的风险防范意识,人是最重要的基础。为什么这么讲?现在黑客是非常有组织的,他很容易拿到各种精良的武器跟工具,但是企业里面IT的人员是非常有限的,受到的培训跟风险的意识也是相对薄弱的,所以这一场战争敌我双方差距很大,大企业都有这样的问题,更何况是广大的中小企业。第二,随着IT大趋势、IT的技术日益普及的情况下,你不仅要应对传统的威胁,你还要应对新的威胁。除了人以外很重要的是知识跟情报,或者说预警系统,如果连企业的安全态势是什么样你不清楚,企业里的敏感信息、核心资产在什么位置、怎么样使用你也不清楚,更无从谈防护。第三,以前传统的安全防范手段都是由很多的单点的产品,有些企业的单点产品几十种甚至上百种,把它们拼凑在一起,但这还不够!企业应该更多考虑那些做过整合的解决方案。现在是时候为了应对新的安全威胁,把它们尽可能整合在一起。要有整体的解决方案,才可能在新的趋势下做好安全防护。
