科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航



ZDNet>安全频道>网络安全>红色警戒!企业网络安全威胁大揭秘

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

对于企业来说,木马、黑客、病毒等网络安全威胁已经成为信息安全的重大隐患。为了保护企业数据的安全,就要清楚目前来自网络的主要威胁都有哪些。

来源:it168 2011年06月30日

关键字:钓鱼攻击 SSL IPv6 网络安全

  对于企业来说,木马、黑客、病毒等网络安全威胁已经成为信息安全的重大隐患。为了保护企业数据的安全,就要清楚目前来自网络的主要威胁都有哪些。

  一、安全隐患:IPv6存在的攻击漏洞

  在从IPV4向IPV6过渡的过程中,企业面临着很多信息安全调整,安全专家表示。让情况更糟糕的是,一些攻击者已经开始使用IPV6地址空间来偷偷向IPV4网络发起攻击。

  Sophos公司的技术策略主管James Lyne表示,众所周知,企业间从IPV4向IPV6过渡过程非常缓慢,而很多网络罪犯就钻了这个空子,很多攻击者在IPV6基础设施散步垃圾邮件并且利用了错误配置的防火墙的缺点。

  很多现代防火墙在默认配置下都是让IPV6流量自行通过的,Lyne表示。那些对IPV6流量不感兴趣的企业就会设立明确的规则来严格阻止IPV6数据包,IT管理人员需要“知道如何与IPV6对话”,这样他们就可以编写相应的规则来处理该协议。

  “从行业的角度来看,现在销售IPV6的方式是错误的,”Lyne表示,他指出关于该协议的内置功能如何帮助提高隐私性方面的问题很少有人探讨。相反的,对IPV6难以部署的普遍观念让企业很容易受到潜在攻击。

  从一般规则来看,IPV4和IPV6网络是并行运行的。具有传统IPV4地址的计算机不能访问在IPV6地址空间运行的服务器和网站。随着IPV4地址“逐渐衰败”,业内都鼓励企业转换到IPV6或者无法获取新IP地址。负责向亚太地区分配IP地址的亚太网络信息中心近日宣布所有新的地址申请将被分配IPV6地址。

  一位安全研究人员近日发现攻击者可能通过IPV6网站发动中间人攻击。InfoSec研究所安全研究人员Alec Waters表示,攻击者可以覆盖到目标IPV4网络上的“寄生”IPV6网络来拦截互联网流量,他的概念证明攻击只考虑了windows 7系统,但是同样也可能发生在Vista、Windows 2008 Server和其他默认情况下开启了IPV6的操作系统上。

  为成功发动攻击,攻击者需要获取对目标网络的物理访问,并且时间足以连接到IPV6路由器。在企业网络的环境中,攻击者将需要连接IPV6路由器到现有的IP4枢纽,但是对于公众无线热点,就非常简单了,只需要用IPV6路由器就能发动攻击。

  攻击者的IPV6路由器将会使用假的路由器广告来为网络中启用了IPV6的机器自动创建新的IPV6地址。

  路由器广告的作用就像是IPV6地址的DHCP(动态主机配置协议),它提供了一个地址池供主机来选择,根据SANS研究所首席研究官Johannes Ullrich表示。在用户或者IT管理人员不知情的情况下,他们的机器已经变成IPV6猎物。

  虽然系统已经有一个企业分配的IPV4地址,但是因为操作系统处理IPV6的方式,系统会被打乱到IPV6网络。现代操作系统将IPV6默认为首选连接(如果系统同时被分配了IPV6和IPV4地址的话)。

  由于IPV6系统无法与企业真正的IPV4路由器进行连接,系统必须通过恶意路由器进行路由,Waters表示,攻击者然后可以使用一个通道来将IPV6地址转换到IPV4地址,例如NAT-PT,这是一个实验性IPV4到IPV6转换机制,但是因为存在很多问题,该机制并没有获得广泛支持。

  “但并不意味着它没有作用,”Waters表示。

  通过NAT-PT,具有IPV6地址的机器就可以通过恶意路由器访问IPV4网络,使攻击者对他们的互联网活动有了全面了解。,

  这种攻击的严重程度还存在争议,InfoSec研究所安全计划经理Jack Koziol表示。根据常见漏洞清单,“IPV6符合RFC 3484(IPV6协议),以及试图确定RA的合法性目标仍位于主机操作系统推荐行为的范围外仍然存在争议。”

  不需要使用IPV6或者没有完成过渡的企业应该关闭所有系统上的IPV6,或者,企业应该“像IPV4一样对攻击进行监控和抵御”。

  二、来自客户和合作伙伴的安全威胁

  虽然企业尽其全力确保了自身网络安全,但在电子商务和网上银行的时代,这些还远远不够。IT管理人员应该要问:与我们业务往来的合作伙伴的安全保护工作是否到位?

  答案可能是否定的,因为客户和业务合作伙伴并没有实现安全数据共享,例如使用加密来保护敏感信息。当他们的计算机被攻击者攻击或者他们的员工以不合法规的方式发送敏感数据时,这自然也会成为你们公司的问题。

  在医疗保健行业,与个人医疗信息和个人身份信息有关的数据必须通过加密后才能发送给业务合作伙伴,Lutheran Life Communities(医疗保健供应商,1600名员工,为老年人提供医疗保健、家庭护理等服务)的信息技术主管Richard DeRoche表示。

  该医疗保健供应商安装了数据丢失防护设备来确保个人医疗信息和个人身份信息数据传输安全进行,但是令人惊讶的是,最终是业务合作伙伴的问题导致数据泄漏。

  “85%到90%的数据泄漏是入站的,”DeRoche指出,虽然Lutheran Life的员工遵守加密敏感数据的规则,但是该供应商的合作伙伴确实犯下最大错误的一方,真是防不胜防。

  这引起了Lutheran Life法律部的辩论,关于公司是否应该接受看似违反了HIPAA以及HITECH法案的电子邮件,这些法案都会对违规者进行罚款。

  DeRoche表示,公司已经决定开始向违反其安全和隐私政策的电子邮件发送者发送警告信息,信息中称本公司无法接受这种形式的信息。他指出,有必要建立更多的业务伙伴协议,以防止类似问题再次发生。

  像许多公司一样,Lutheran Life Communities发现很难让业务伙伴使用加密技术,建立的微软SharePoint作为业务伙伴共享机密信息的外部端口,这个系统是使用密码和加密的系统,但是对最终用户却不实用。

  银行业也是同样的情况,其他人犯的错误可能带来不必要的麻烦。

  网络罪犯很擅长欺骗零售业和企业网上银行客户,有时候他们会精心设计骗局来引诱受害者电机假冒钓鱼网站来窃取账户信息或者使用木马软件劫持个人电脑来通过自动清算系统服务进行欺诈交易。

  罪犯可以远程通过受害者的电脑发起大金额支付,而这些未经授权的付款最终由钱螺帮助他们兑现(钱骡指通过因特网将用诈骗等不正当手段从一国得来的钱款和高价值货物转移到另一国的人,款物接收国通常是诈骗份子的居住地)。当企业银行客户发现这种情况发生时,他们不得不请银行帮忙,而根据法律,企业客户对于网上银行操作并没有相同的欺诈保护。

  一些银行正在尝试更有效的办法来制止这种类型的攻击对他们的客户和银行体系的损害。

  例如,美国费尔菲尔德县银行决定,为了阻止攻击行为,他们要求其企业自动清算系统银行客户(约80家公司,几百名终端用户)使用特定的安全保护来保护ACH支付。

  该银行的所有客户都会获得一个IronKey Trusted Access作为网上银行令牌,这是一个安全的USB令牌,可以通过IronKey云服务来管理。这种令牌保护能够通过创建一个独立于用户操作系统的受控制的在线工作环境防止键盘记录和基于浏览器的攻击以及恶意软件。

  “这将是必需的,” 该银行助理副总裁、现金管理办公室和电子银行业务Christina Bodine表示。

  她表示,这种强制性安全设备将有助于保护客户和区分银行的服务。像其他银行一样,该银行建议客户使用专门的电脑进行资金转账。

  三、有补丁不打,四分之一SSL网站有风险

  在互联网工程任务组(Internet Engineering Task Force ,IETF)发布修复SSL协议中存在的漏洞(主要影响服务器、浏览器、智能卡和VPN产品,以及很多低端设备,如摄像头等)的安全补丁的一年多后,仍然有四分之一的SSL网站没有安装这个补丁,这让这些网站很容易收到中间人攻击。

  Qualys公司的工程主管Ivan Ristic近日对120万个启用SSL网站服务器进行了调查,其中发现超过25%的网站没有运行所谓的安全的renegotiation。Ristic还发现,在Alexa排名前100万的网站中的30万个网站中,有35%容易受到这种类型的攻击,这种攻击主要是利用了SSL认证过程中存在的问题,可以让攻击者发动中间人攻击,并将攻击者自己的文本注入到已加密的SSL会话中。这个问题主要存在于renegotiation过程中,有些应用程序要求对加密过程进行更新。

  为了解决这个问题,互联网工程任务组联手促进互联网安全企业论坛以及一些供应商,例如谷歌、微软和PhoneFactor,发布SSL的修复补丁,也就是互联网工程任务组标准中的传输层安全(TLS)。这个修复补丁(传输层安全TLS Renegotiation Indication Extension)于2010年一月发布。

  “令人感到意外的是,顶级网站的安全状况比一般网站的还要差,”Ristic对调查结果表示。

  Ristic表示,这些容易受到攻击的网站基本上没有修复这个漏洞。“在修复补丁后,才能够确保安全进行renegotiation,”他表示,“这些漏洞系统也可以部署其他解决方法,通过禁用客户端发起的renegotiation,但是他们也没有这样做。”

  发现这个漏洞的PhoneFactor公司的Marsh Ray表示,这些数据说明了修复漏洞方面的场景安全状况,“有一定数量的网站会立即修复漏洞,然后修复后就没有采取任何行动了。”

  Ray表示,“我们已经尽了全力,我们让供应商及时地提供修复补丁。你可以把马带到湖边,但是你不能命令它喝水。”

  SSL安全问题一直受到广泛关注,首先是研究人员Moxie Marlinspike制造的中间人攻击,诱骗用户认为他正处于一个HTTPS会话中,而实际上他已经被攻击者重定向到其他位置。随之而来的是研究人员Dan Kaminsky的研究,他发现了SSL中使用的X.509数字证书技术存在的关键漏洞。

  “我认为没有办法让个人用户大幅度改善SSL部署情况。存在太多问题,而且根本没有人在乎。我觉得我们应该将侧重于库开发人员(举例来说)OpenSSL,让他们移除过时的功能,并且让软件供应商确保默认情况下开启了必要的安全功能,”Ristic表示。

  他表示,从长远来看,将需要其他方法来帮助确保SSL部署的安全。“从长远来看,谷歌使用的方法肯定会变得非常流行,他们正在通过改善性能来实现安全的改进。例如,他们的SPDY协议在默认情况下是100%加密的。所以,所有转移到SPDY获取更好性能的用户还将获得更好的安全,”Ristic指出,“总体来说,我们的共同努力,SPDY、DNSSEC、HSTS以及类似的较小的协议改进都将帮助我们实现更好的安全。”

  四、钓鱼攻击成为主要安全威胁

  成功利用钓鱼邮件对安全企业(例如Oak Ridge和RSA等)造成的数据泄漏攻击为我们敲响了警钟,一些专家嗤之以鼻的低技术含量攻击方法也可能造成严重威胁。

  美国能源部研究实验室Oak Ridge近日宣布在发现在其网络中存在数据窃取恶意软件程序后,已经关闭了所有互联网访问和电子邮件服务。

  根据该实验室表示,这次数据泄漏事故源于一封被发送给570名员工的钓鱼攻击邮件。这封电子邮件伪装成该实验室的人力资源部门的通知,当一些员工点击嵌入在电子邮件中的链接后,恶意程序就被下载到他们的电脑中。

  这个恶意程序利用了微软IE软件中未修复的漏洞,并且目的是搜寻和窃取该实验室的技术信息,该实验室的工程师们正在努力研制世界上最快的超级计算机。

  Oak Ridge实验室的官方发言人形容这次攻击与安全供应商RSA遭受的攻击非常类似。

  RSA数据泄漏事故导致了RSA公司的SecurID双因素认证技术信息的被窃。而在本月初Epsilon发生的数据泄漏事故也被怀疑是有针对性的钓鱼攻击行为,这次事故是有史以来设计最多电子邮件地址的事故。

  分析家表示,攻击者能够利用低技术含量、假冒电子邮件的方法来渗透入这些受到良好保护的企业表明了有针对性的钓鱼攻击日益成熟,并且存在这样的趋势,企业认为单靠教育员工就能够缓解这个问题。

  “这并不让我感到惊讶,” 安全公司Invincea公司创始人Anup Ghosh表示,“几乎每个公开的和发表声明的高级持续性攻击都是通过钓鱼邮件开始的。”

  事实上,现在这类邮件似乎成为攻击者非法进入企业网络的首选方法,他表示。

  “你需要做的就是设立一个电子邮件目标,你只需要通过几次电机就能够在企业内部建立几个存在点,”Ghosh表示,“如果你企业有1000名员工,并且你教育他们不能打开不可信任的附件,还是会有那么几个人会打开。这并不是训练可以解决的问题。”

  让问题更严重的就是钓鱼攻击越来越复杂,分析师指出。

  越来越多的有组织的攻击团队开始使用精心设计的电子邮件来针对高层管理人员以及企业内部他们想要攻击的员工。在很多情况下,钓鱼邮件都是个性化的、本地化的,并且设计得好像是来自可信任来源一样。

  Ghosh表示,他上周就收到过类似的邮件。邮件发送到他的个人邮箱,看起来是一个好朋友发过来的邮件,包含一个能够打开朋友的女儿生日派对照片的链接。邮件甚至还包含朋友女儿的名字。

  邮件被标记为红色,但是Ghosh在点击链接后才发现红色标记。“随便看一眼就已经能够说服我去点击链接,”他表示。

  Spire Security公司的分析师Pete Lindstrom表示,“最近很多攻击都是使用某种形式的钓鱼攻击,这个十分令人担忧,我们总是很容易在一些安全基础环节掉链子。”

  公司必须定期记录和监测网络是否存在这种钓鱼攻击造成的数据泄漏,他表示。

  在钓鱼攻击中,企业必须更注重响应和遏制,而不仅仅是预防,Securosis公司分析师Rich Mogull表示。

  在这种攻击中,企业常常面对的是拥有丰富资源、耐心和资金的对手。通常情况下,这样的对手都愿意不断尝试直到他们攻入系统网络。“几乎不可能阻止这样的人。”

  因此,IT安全人员应该注重最大限度地减少损失,Mogull表示。举例来说,企业应该考虑将网络进行区域划分,并在关键设备以及数据间建立“空间间隔”,以确保入侵者更难进入网络。

  同样重要的是,企业需要广泛地监控内部网络以确保数据没有泄漏出去。

  “有针对性的钓鱼攻击已经不都是低技术含量的攻击形式了,”Gartner公司分析师John Pescatore表示。

  并且,越来越多来自社交网络(例如LinkedIn和Facebook)的信息被用于钓鱼攻击,这使钓鱼攻击更难被检测,他表示,“在这些社交网络上,有很多个人信息和朋友的名单,从这些信息中并不难获取非常私人的电子邮件地址,”Pescastore表示。

  此外,网络安全工作(特别是政府机构和研究实验室,如Oak Ridge)往往侧重于诸如URL阻止等问题,以防止内部员工访问色情或者非法网站,而不是阻止可疑的入站邮件。

  “这让他们更容易受到攻击,如果用户点击了钓鱼邮件的话,这也是员工经常发生的事情,”他表示,“25年试图通过宣传和教育来提升员工的安全意识的经验证明,这是无法杜绝的。”

  五、安全软件和服务并不安全?

  在我们电脑出现病毒,或者我们希望电脑可以抵御未知的安全风险时,我们常常想到的就是安全软件和服务。这些产品和服务似乎让我们感觉自己得到了保护。然而,近日国外的一项调查报告却揭示,实际上,我们的安全软件和服务也并非是“安全”的!你愿意接受这个残酷的事实么?

  近日Veracode发布的最新报告显示,测试的大部分安全软件和安全服务安全评分都“难以置信”的低,也就是所有商业软件中超过65%的安全软件服务安全状况并不理想。

  Veracode公司最新发布的软件安全状态报告显示客户支持软件比安全产品以及服务更糟糕,其中82%的应用程序评分都非常低,而相对的,安全软件和安全服务软件则是72%。 

  Veracode扫描的所有商业软件中有66%的软件在第一次安全扫描中都得到了“无法令人接受”的低分,安全产品和服务软件的低分数是最令人震惊的。“这真的让我们很惊讶,”Veracode公司产品营销副总裁Sam King表示,该公司对超过4800个应用程序进行了扫描分析,“这也解释了最近在RSA、HBGary和Comodo发生的数据泄漏事故的原因,攻击者开始瞄准安全公司以及其他垂直行业,这里给我们的教训是:你无法想象的是,安全供应商可能都不安全。”

  然而,商业软件供应商都能够较为迅速地修复他们的产品,超过90%的供应商在Veracode调查后的一个月内让他们的产品达到“可接受”的分数。并且安全供应商更加迅速,平均在三天内就让他们的应用程序达到可接受的安全状态,Veracode调查显示。

  但是为什么安全供应商的软件在最初的扫描分析中安全状况如此之差呢?研究高级主管Chris Eng表示,问题在于安全供应商面临着与其他企业一样的挑战:拥有安全经验的开发人员并不多。“他们不一定具备安全专业知识,”他表示。在参加Veracode在线培训计划的安全基础知识考试中,超过50%的应用程序开发人员只拿到C或者更低的分数,而这个测试涵盖了常见威胁和其他安全基本概念。这个考试只是作为培训前的评估测试,超过30%的开发人员拿到D或者不及格,Veracode调查显示。

  “他们对于应用程序安全基础知识并不是很了解,而这些知识能够帮助你更好地了解我们报道的其他统计数据,”King表示。

  选择了Veracode公司的Java和.NET安全编码课程以及加密介绍课程的开发人员中,有35%到48%的开发人员得到C或者更低分数。“这些课程的及格率比应用程序安全基础知识的及格率要高一点点,所以这个消息很令人振奋:通过良好的培训与教育,他们能够有更好的表现,”King表示。

  这次调查的其他发现:19个web应用程序中有超过8个应用程序存在OWASP前十大常见漏洞,跨站脚本攻击仍然是应用程序中最多的漏洞。SQL注入攻击漏洞平均每季度较低了约2.4%。

  金融服务行业和软件业是最积极处理安全漏洞的行业,他们订购了第三方软件扫描来检查软件供应商的漏洞情况。报告中要求漏洞证明的企业中超过75%的企业是来自于金融行业和软件行业,而航空航天和国防行业也开始要求他们的软件供应商对他们的漏洞负责任。

  六、转移到云意味着关注加密

  继最近索尼PlayStation网络和电子邮件营销公司Epsilon公司发生大规模数据泄露事故后,安全专家警告说,云服务用户需要密切关注数据保护和加密.

  存储在互联网可访问的服务器上的信息,特别是客户数据或者重要企业数据,应该使用加密技术进行妥善的保护,这不只是为了满足行业和政府法规, 而是为了维护企业利益, CloudSwitch公司的创始人兼首席技术官John Considine表示.

  攻击者偷走了大约100万来自索尼账户的信息,以及Epsilon数百万的电子邮件地址以及其他信息.

  “当数据位于你的数据中心,且在你的控制之下,你有访问权限控制,并且你知道谁可以访问这些数据,” Considine表示,”当你转移到云服务, 这些完全取决于别人.”

  在最近的数据泄露事故中,索尼声称已经加密了所有信用卡信息,但是其他身份信息并没有进行加密, Epsilon同样没有妥善保护其数据.

  你不能总是指望软件即服务供应商能够全面加密你的数据, SafeNet公司首席技术官Russ Dietz表示.

  “我们仍然有很长的路要走, “ Dietz表示, “软件即服务供应商可以部署加密技术,但是将这些技术整合到他们的系统中需要花很多时间,我们仍然处于早期发展阶段.”

  企业需要为他们自己的数据安全负责人,这意味着不仅要加密存储在虚拟系统的数据,而且需要使用加密来对访问这些数据的人进行适当的身份验证.

  身份验证是与保护数据同样重要的,即使在rootkit允许攻击者从内部访问网络的情况下,基于公钥基础设施(PKI)的多因素身份验证也可以减小对重要数据的威胁.

  几乎所有木马程序和高级持续性攻击都是基于获取身份信息的,但是如果使用了强大的身份验证和公钥基础设施, 攻击者就没办法获取数据信息了,” Dietz表示.

  随着数据迅速累积,加密所有信息成为一项艰巨的任务. 大多数企业应该确定他们最有价值的数据,并从这些数据开始进行加密计划, Considine表示. 重要企业数据或者法规规定的个人识别信息应该是首要加密数据.

  “企业处理信息的最佳做法应该在于确定哪些人有怎样的访问权限, 在关键区域部署加密技术, 然后严格限制谁可以访问加密组件和未加密形式的数据, “ Considine表示.

  下一步就是确保存储在云服务中的数据与其他存储在企业虚拟机中的数据分隔, 因为这些数据可能共享相同的云基础设施. 虽然很多基础设施供应商声称机器是隔离带, 企业也可以添加加密技术. 如果没有额外的安全保护, 任何对其他虚拟机器有访问权的攻击者都可以访问其他系统的关键数据.

  “这些类型的数据泄露中,攻击者从系统到系统移动,试图找到漏洞, “ Considine表示, “如果没有加密的话, 他们就能够获取更多相邻系统的信息. ”

  在云服务环境部署加密的最后一步是减少对数据的访问,和使用强大的多因素身份验证. 良好的加密和多因素身份验证可以阻止侧重于获取企业机密的攻击者,也就是所谓的高级持续性攻击的情况.

  “对于用户的身份信息,加密技术和强大的身份验证能够消除所有这些入站攻击, ”Dietz表示.

推广二维码
邮件订阅

如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

重磅专题