静悄悄的威胁：网络间谍已经进入你的系统

　　众所周知，前些日子，美俄两国曾为间谍问题闹得沸沸扬扬。其实，商业间谍活动与之相比往往有过之而无不及。那么，贵公司的数据是不是正处于外部的间谍程序的监控之下，并且这些程序还在查找其可以利用的竞争优势或弱点呢?这听起来也许离你的公司还比较遥远，但电子间谍却是真实存在的。这是一种阴险的安全威胁，并且远比你可以认识到的程度更严重、更普遍。

　　作为一位IT或安全管理员，你应当判定贵单位是否受到无法检测的威胁的攻击，并且部署充分的技术和程序上的防卫，这些都应受到高度重视。

　　安全专家相信，越来越多的公司正受到源自其它国家的电子间谍的暗中监视。这些攻击的麻烦之处在于其技术通常都难以借助一般的安全工具检测。电子间谍设法在不造成破坏的前提下进入系统，以便于能够在一段时间内持续地搜集信息。

　　这些类型的威胁要比无目标的攻击更难以对付，因为它们就从没有普遍到让安全厂商重视的程度。结果，安全软件和检测已知威胁的其它工具无法确认这些威胁。此外，针对某个特定目标的攻击可被设计为绕过所部署的防御组合。发动电子间谍攻击的间谍们都花了大气力来防止受害者检测到威胁。

　　虽然问题深深地隐藏着，却真实而严重。下面我们重点讨论三个问题：谁在从事电子间谍活动，他们在寻找什么，为了保护自己你可以做什么。

　　电子间谍活动有多普遍?观察家们说，电子间谍正越来越普遍。麦克唐纳是一家从事计算机安全的公司Gartner的副总裁。他说，75%的企业曾受到或正在受到没有被检测到的攻击的感染。由于受到利益的驱使，这些攻击避开了传统的外围防御和主机防御。麦克唐纳说，拥有敏感信息的任何政府和商业单位都是目标。由于这种间谍活动是秘密进行的，所以并没有什么方法可以让人知道其范围。

　　谁在从事间谍活动?

　　即使检测到了电子间谍活动，也很难知道真正的攻击源。例如，如果你跟踪了一次攻击，到了一个特定的国家，结果却发现这仅仅是一台受到损害的充当代理或中继的计算机!

　　如今，多数安全厂商都在基于签名的检测设置中跟踪威胁，查找已知的部分病毒。但对于有些拥有资金和专门技术的国家，利用高级代码及其它的零日漏洞并不困难。

　　黑客论坛网站，如Hackerforum.com，提供了很多远程访问工具，准许黑客用简单几个步骤就可以控制一台电脑，而且还可以听到和看到用户的活动，用户却浑然不知。

　　网络间谍如何渗透进入你的系统?

　　一次典型的有目标的攻击将利用多种弱点，以实现其最终目标：通常就是窃取信息或损害一个特定的账户。通过一个精心伪造的看起来可信的email就可以使一个单位的特定账户成为目标，进而悄悄地在用户电脑上安装一个间谍软件。

　　有些攻击可能源自获取了公共信息并与信息有联系的黑客。虽然发到网上的每一个信息未必都是敏感的，但是在与网站上的其它数据以及其它公司所发布的其它信息结合以后，就会形成一种模式。

　　如果获得了用户的登录凭证信息或建立了一个监视点，攻击者就可以利用一个可从外部访问的系统的安全或配置漏洞，或者是应用程序的安全或配置漏洞。

　　攻击者还可以利用众所周知的或鲜为人知的技术漏洞。为了访问真正的敏感信息，他们可求助于行贿等策略。

　　在一次有针对性的攻击中，可以直接利用的系统或应用程序级的漏洞往往不只一个。一旦一个用户系统或账户受到损害之后，整个环境都会逐渐地被扫描一遍，直至实现攻击的最终目标。

　　通常，攻击者将监视软件安装在不太显赫的地方和系统中，例如一台日志服务器中，因为在这里传统的IT安全方法并不查找所谓的入侵。在此，攻击者收集数据并通过FTP等手段发送出去，由于每次发送的数据量很少，所以并不会引起正常通信的异常提高。

　　数据窃贼针对谁?

　　请不要想当然地认为你的公司不可能成为电子间谍的靶子。安全专家克歇尔认为，虽然军事系统和政府的合约人一直是主要的目标，承载多种公司信息的服务也是极端诱人的，因为一次入侵就可以提供关于大量目标的信息。例如，Webmail服务、电话网络、发货人的数据库及社交网站等都有可能成为目标。

　　安全专家库尔茨坦言，拥有先进的知识产权的公司，或拥有敏感产品的研究与开发数据的公司，都可引起间谍的兴趣。

　　你面临什么风险?

　　如果你并不重视自己的单位是否受到了电子间谍的窥视，你将面临哪些风险呢?可以说，很多。

　　最坏的情况是，公司会丧失竞争优势。例如，从事间谍活动的政府部门可以将知识产权交给你最大的竞争者。竞争者无需研究和开发成本和时间就可以使你未来的产品面临竞争的劣势。

　　其实，不但公司的信息面临着电子间谍活动的风险，即使是个人的一些私密信息，如信用卡的数据也容易被电子间谍窃取。

　　为了阻止网络间谍，你可以做什么呢?

　　可能并没有什么彻底有效的方法能够完全保护贵单位免受国内外日益复杂的间谍攻击。如果攻击来自外国政府的话，就更是如此了。

　　不过，下面的步骤对于帮助你减少成功的攻击机会还是有用的，或者可为你避免巨大的损失。

　　策略一：深度防御

　　许多专家一致同意的一条策略就是实践“深度防御”。通过部署多层防御，某一层的故障未必会导致一次损害。这条策略不但包括部署一些最新的技术，还要教育员工关于风险的知识，并向其展示如何防止这种间谍活动。

　　策略二：雇佣专业人员

　　如果资源准许，可以考虑雇佣专业人员，因为他们善于发现并防卫间谍用来进入网络的方法。

　　策略三：搞好基本问题

　　麦克唐纳建议，公司要搞好一些基本问题。例如，在广度和深度上强化补丁管理的规定，建立并跟踪配置的管理标准，并且对用户进行关于来自社交工程攻击的教育。

　　策略四：强化电邮和Web安全网关的功能

　　因为多数攻击通过电子邮件和Web进入系统，所以最好的主意是强化电邮和Web安全网关的功能，使其可以提供多类保护，包括URL及Web的声誉服务。

　　策略五：迁移到端点保护平台

　　从病毒和反间谍迁移到端点保护平台上，因为后者可以在一个集成的框架和管理控制台中提供多种风格的保护(如反病毒、反垃圾邮件、防火墙、基于主机的入侵防御系统)。

　　策略六：强化检测功能

　　通过进行系统、网络、应用程序和数据处理的周密监视，来强化你的检测能力，查找超出正常范围之外的行为。多数安全事件和信息管理产品都增加了这些功能。

　　策略七：运营小型的、从物理上分离的网络

　　最可靠的防御就是运营小型的、从物理上隔离的网络。随着网络的成长，恶意攻击的可能性就会增大。例如，公司可以有效地管理拥有独立的PC、网络布线、打印机的离线网络。雇员们可以用笔记本电脑上网浏览和查看邮件，但不准许携带敏感信息。这些拥有关键数据的系统绝对不能访问互联网。