专访Fortinet安全专家：反思美国最大黑客盗窃案

2008年8月6日,美国司法部起诉了11名涉嫌非法闯入美国9大零售商电脑系统、并偷盗贩卖4100万个信用卡和提款卡号的网络黑客，其中一人为美国密情局特工。这是美国司法部处理过的最大一起黑客入侵、身份盗窃案件。日前，飞塔科技（Fortinet）安全研究工程师Derek Manky接受了ZDNet的独家专访，就这起迄今为止美国最大的黑客盗窃信用卡案件与笔者跨洋沟通。反思这起案件的同时，Derek Manky从不同维度阐述目前企业所面临的安全威胁及应对策略。

ZDNet：通过这起案件，是否可以认为国际化的黑客犯罪集团已经在全球形成一定的规模？

Derek Manky：如今，赚钱而不是扬名天下成为了黑客们的主要动机，这就导致了威胁在多样性、复杂性和狡诈性方面发生了变化。容易被利用的代码漏洞的总体数目在继续增加，而实现更高的收入和运营效率的各种机遇也带来了更高的用户移动性和互连互通性，这就意味着更多网络登录点的出现。

因此，企业现在想要获得一种混合式统一威胁管理（UTM）解决方案，它能够处理更为复杂的多重威胁，提供功能覆盖，并融合各种各样的对策，包括预防性的对策（例如：入侵防御）。例如，FortiGate平台提供必要的网络防御，通过整合企业防火墙、虚拟专用网络（VPN）、入侵防御、防病毒/防恶意软件、网页过滤、防垃圾邮件和应用控制功能，来保持网络运行的顺畅与安全。该解决方案将使企业能够更好的保护他们的网络以抵御安全威胁。

ZDNet：团伙头目是一位美国密情局的人员，职位的特殊性是否为其成功获取信用卡的账户和其他信息提供了便利？

Derek Manky：研究表明，网络事件的发生主要是由心怀不满的员工引起的，安全管理人员一直在试图通过分割他们的网络来处理这种问题，以试图控制问题或者隔离关键业务信息资源，比如公司数据库服务器或邮件服务器。尽管该战略可以有效对抗某些针对性的内部攻击，但是仍有另一个问题出现：随着更多的公司为其雇员配置笔记本电脑，这些笔记本电脑可能被感染或受到危害的风险也日益增长，譬如说当雇员外出旅行和连接不安全的无线热点。一个被感染的笔记本电脑返回与企业网络连接会规避网关防御，并且极有可能感染所有该网段的电脑。

尽管到目前为止大多数安全产品一直致力于保护网络的“咽喉要道”，更多的移动办公人员导致的网络边缘“模糊”，将最终需要安全厂商来考虑保护每一个网络节点。这是我所看到的下一阶段安全的发展趋势。

在这种情况下，Fortinet的安全解决方案凭借保护网络远离流行的威胁而走在前列，这种能力需要实现从各种网络层流量到应用层的可见度。。这就需要对协议的全面认识，以及对安全内容全面覆盖，包括抵御广泛的威胁包括恶意软件、入侵企图、拒绝服务式攻击，未授权访问等。

通过建立我们的技术优势，企业可以借助FortiGate来保护网关的安全，这样就可以控制通信并且保护网络资产抵御漏洞和恶意安全威胁。这是通过一套完整的技术整合来实现的，而这些技术通常出现在不同的产品中。例如，控制通信功能，如防火墙、IPSec VPN/SSL-VPN、网页过滤、应用控制/流量优化和2/3层路由。网络资产保护如防病毒/反间谍软件/反恶意软件、入侵防御系统（IPS）和反垃圾邮件也同样重要。

新一代安全网关可以实现有效控制网络通信并为关键任务应用提供全面保护。从而将网络攻击的风险降至最低。

ZDNet：无线网络安全的薄弱、整体安全架构的漏洞、管理员的疏忽等因素在这个案件中，都被黑客所利用。您认为在诸多的环节中，哪个环节最重要？

Derek Manky：你以上所提到的因素对企业来说都十分重要，我们以下建议应该着眼于UTM的功能以及整合降低成本和简化管理所带来的价值。第二，必须记录流量和事件用于审核以证明合规性。同样，从取证运作方面来说，识别并且快速修正网络安全制度的薄弱环节至关重要。第三，还应该提到外包服务，这将是大型和分布式企业的一种新选择，集中式解决方案方便服务提供商向公司的远程站点分发安全政策。

ZDNet：案件中有九大零售商的用户数据被盗，其中是否有采用Fortinet产品和解决方案的客户？

Derek Manky：他们没有采用Fortinet的产品与解决方案，这也是个很好的案例，提醒零售商考虑使用统一威胁管理（UTM）解决方案。现在你们拥有更多的机会从业界领先的供应商那里选择一个整合的网络解决方案。

ZDNet：黑客最终获得用户的数据，要入侵网络系统、服务器系统、最后是数据库管理系统。针对这3层，黑客分别会利用什么样的技术进行入侵？针对这3个层面如何防范？

Derek Manky：这完全取决于他们所采用的拓扑结构。要入侵一个数据库，黑客不一定需要入侵以上所提到的系统。例如：黑客会使用一种广为流行和普遍适用的技术，即通过前端SQL注入得到资料库访问权限。这直接通过一个公开访问端口（HTTP）执行，并且利用通过网络层到达后端系统的数据查询功能的漏洞。在这种情况下，这就是一个管理方面的问题－这是一个广泛的普遍存在的问题，应该一直严肃对待。

服务器系统可能遇到各式各样的攻击，一旦被入侵，客户的数据资料确实可能处于危险之中，典型的案例包括通过“被迫式”下载自动安装恶意软件。

“被迫式”下载往往发生在用户访问一个有漏洞的网页的时候，它将从网页浏览器中找到没有打补丁的漏洞进而安装恶意代码。当然这并不一定发生在服务器上，它可能发生在作为与关键系统处于同网络的客户系统上。恶意软件(木马)往往从那里散播到整个网络。

一般通过在公开访问服务中寻找漏洞来渗透网络。SQL注入就是一个例子，然而所有通过通信端口（因此可能被模糊或操纵）监听的公共服务都是脆弱且易被攻击的，如网页服务器，DNS服务器。
目标攻击往往通过搜集情报和社会工程学方法实现，这将使它们更有效率。网络钓鱼就是一个例子，它会吸引高级职员和员工。尽管可以通过其它载体（如：网页）传播，但往往都是通过电子邮件传播。通过执行有效负载，诱使终端用户打开一个恶意附件，一旦被感染，系统就可能受到损害（如木马），敏感信息可能被泄露。

ZDNet：Fortinet针对这三个层面是否有相关的安全解决方案？

Derek Manky：
◆通过封包分析（入侵防御系统）防御资料隐码入侵
◆通过入侵防御系统防御漏洞利用（恶意下载，服务攻击）
◆通过反垃圾邮件、反病毒和网页过滤（网址或其它恶意软件有效负载）防御网络钓鱼类攻击
◆通过防火墙政策保护来自不被信任的来源的未被授权的端口访问
◆通过应用最新的更新和修补所有被利用的软件防范成功的漏洞攻击

ZDNet：我们相信这几家零售商必然采用了一些数据安全防护措施的，出现这样的问题，管理人员的疏忽难辞其咎。企业在采用安全设备和安全解决方案后，包括技术架构和管理人员，应该如何评估其安全性？

Derek Manky：安全基础设施的管理，包括安全策略的制定、发布和实施，以及网络各部分多种安全设备配置的管理，是很重要的。UTM解决方案应提供一种单一的管理控制平台，具备统一的安全功能、策略提供及配置修订控制，从而实现精细的管理控制。

策略管理要求强大的报告功能，这些功能能够将各种设备和技术的活动整合起来，同时提供网络容量并利用各种数据来实现良好的网络管理。预定及按需提供的报告，加上大量的标准报告，意味着在需要的时候能够轻松地进行定制。这些功能包括事件相互关系、取证分析及漏洞扫描等，在与管理控制平台更密切地整合后，都变得非常重要。

ZDNet：在众多的信用卡信息盗窃案中，我们更多关注的是黑客和罪犯的行径，但经常忽略员工对数据的违规操作和错误，您怎么看这个问题？

Derek Manky：

网络内部安全与网络安全

网络安全的一系列发展正导致一个综合解决方案的出现，从而使网络能够伸缩自如以抵御绝大部分攻击。这个解决方案的关键组件正在由产品厂商推出，被称之谓UTM，或统一威胁管理系统。
促使内部网络安全成为危机点的两个主要因素是：

1.网络犯罪：随着犯罪分子在身份盗窃与勒索方面越来越成熟，他们所涉及的网络范围也越来越大。现在，他们把目标锁定在提供丰富机会的特定公司和网站，因为它们可以带来有价值的交易或者储备了大量个人信息如信用卡和银行账户的数据库。

2.怀有恶意的内部人员：对于一般终端用户可使用的入侵、扫描和开发网络资源的工具和技术的数量不断剧增。随着时间的推移，那些导致信息或者业务资源真正丢失的内部人员事件将会增加。为了保护组织免受来自这些方面的攻击，局域网接入点必须看作是一个安全周界。
  
作为公司IT管理人员，应该为员工安排以下内容培训：

◆决不要打开第三方推荐的、未经请求的链接－取而代之的是，打开你的浏览器输入你想要访问的网址URL。
◆升级安全解决方案－适当拥有一个有效的反垃圾邮件、网页过滤和防病毒的解决方案，并且确保持续更新。
◆“点击之前，请选择”－用几秒钟的时间看一下你打算点击的链接，始终要有意识，注意那些企图通过使用错误拼写或者古怪的子域名使之看似合法的链接。
◆保护隐私－永远不要应第三方的请求泄露个人信息，如银行帐号、信用卡或者密码。
◆了解你的供应商－当使用个人信息来进行在线交易的时候，确保供应商是一个可信任的来源而且交易是通过一个安全的连接进行的。
◆关键问题培训－员工应该清楚的了解安全风险，尤其在加强警戒阶段。推荐通过简单的培训来防御社会工程攻击。
◆补丁，补丁，补丁－所有的软件，尤其是浏览器和操作系统，应该获取最新的更新/补丁。这将确保网页漏洞被关闭，使远程攻击者不能利用已知的漏洞。

ZDNet：数据泄露保护目前已经引起众多企业和安全厂商的关注，Fortinet目前是否已经着手这方面的研发？或已经有比较成熟的产品和解决方案？您认为可以真正的数据泄露防护工具需要具备怎样的功能？

Derek Manky：任何良好的安全解决方案都依赖于及时对文件资料，署名，网址和其他威胁信息进行更新，以便随时了解发展迅速的威胁的信息。只有自动更新可以做到这样，但是最新的服务水平协议往往以来小时而非天来衡量，这往往是与网络保护的差别。

FortiGuard Center是Fortinet公司的威胁更新与安全研究中心，访客与客户可以在那里及时发现最新的威胁与漏洞信息，以及咨询、趋势报告、深度威胁分析和展示各国当前排名前十大威胁的实时“病毒世界地图”。 FortiGuard Center从Fortinet公司的全球FortiGuard Network收集数据，FortiGuard Network在世界各地都设有关于安全和高可用性位置的数据中心，自动向Fortinet的安全平台传送更新。FortiGuard全球安全研究小组定期更新FortiGuard防病毒、IPS、网页过滤和反垃圾邮件订阅服务，这使Fortinet可以提供多层次的安全情报和威胁防护，抵御来自新建和合并网络以及应用层的威胁。这些更新会被传递至FortiGate?网络安全设备，FortiMail?邮件安全系统和FortiClient?终端安全软件。

新的FortiGuard Center的功能包括：

◆增强的漏洞覆盖能力－总结最新最近增强的和主动漏洞，以便客户评估他们产品最近的IPS更新，并且关注活跃的威胁。
◆IPS服务更新历史－在IPS特征库中的所有修改内容的历史清单，包括新的和增强的安全内容。
◆排名最前的防病毒威胁－更新的防病毒页，包括病毒/间谍软件，移动通信威胁，IM威胁和网络钓鱼几大威胁。
◆移动通信详目索引－当前FortiGuard关于移动通信威胁的防病毒覆盖率清单。

*****************************************************************************

Derek Manky Fortinet公司安全研究工程师

Derek Manky先生是Fortinet公司驻加拿大的安全研究工程师。Manky先生是FortiGuard全球安全研究组的重要成员，他通过安全研发提供积极的缓解威胁解决方案。Manky先生运用他的研发经验和在恶意软件方面的知识，设计实现安全工具和多个自动化系统，通过进行有力的检测、发布全球警报以及提供对恶意软件的趋势及方式的重要信息，而确保客户安全的。他是公司每月病毒报告的主要工作者，也是Fortinet公司研究审查委员会的成员。Manky先生曾在加拿大最著名的理工院校—英属哥伦比亚理工学院学习计算机系统技术，专攻数据通信。