应对下一代威胁 企业需要实施分层防御

　　每到一年的这个时候，我们都会想些花哨的主题来对这一年发生的事情进行包装。不过，今天的主题简单明了：2010是觉醒年。

　　这一年开始的时候，我们对高级的持续的威胁概念所吸引。Operation Aurora 成功地渗透到谷歌公司，Adobe System公司以及其他20多家公司。

　　Aurora和大多数APT攻击一样，都使用零日漏洞和已知的未打上补丁的软件漏洞来穿透传统防御，并对敏感数据和关键任务型系统保持长期访问以监控内部的联系，偷取商业机密，最后对受害对象的业务造成无法弥补的损失。

　　APT在这一年里应该是被宣传过头了——并非每种攻击都可谓之APT——但是，对于某些事件，我们将之包装成另一个APT事件却并非巧合，如最近的Gawker Media攻击。人们后来发现，在Gawker的IT人员意识到出现问题且企业管理人员决定采取措施前，Gnosis攻击已经渗透到Gawker的系统长达数周甚至数月的时间。

　　如Gawker攻击所证实，不仅仅是行业巨头谷歌公司，其他许多企业都成为了高级持续型威胁的攻击目标。几乎每个企业都有竞争对手，而Gawker式攻击钻的就是企业的安全空子，一旦有人对此掉以轻心，就有可能使自己的公司。

　　APT表明传统的信息安全模式需要升级。正如信息安全威胁专家Nick Lewis所言，企业必须假设自己的网络中存在攻击者可以发现的漏洞，这样企业就会严格控制使用者的权限级别，认真考虑所使用的网页浏览器，重新访问对外的数据监控过程甚至是考虑PCI式的网络分割，以便随时做好防御准备。如果有攻击行为发生，要做好写详细DNS日志分析的准备或者找个专家来帮你完成撰写任务。

　　同样，我们也不能忽视新一代的威胁，包括特洛伊木马(如Zeus和Stuxnet)。Zeus已经被多次拦截，但是Zeus的变种层出不穷，它的威胁还是不容小觑。Stuxnet在今年七月被发现，它最初的攻击目标是西门子SCADA系统软件，而且据赛门铁克公司透露，它通过对零日漏洞展开一系列攻击成功地感染了十万个系统。如此“成功”的攻击很可能成为恶意程序编写者竞相效仿的对象。

　　为什么我们会置身恶意攻击的回潮之中呢? 有些人会责备软件制造商。毕竟，如果软件制造商极力强调开发安全软件的重要性，这些恶意程序就不会如此猖獗。

　　事实上，所有软件肯定都存在缺陷。或许不会有其他商业软件生产商像微软那样大手笔地投资安全软件，而且该公司在2010年发布的软件补丁超出了以往年份。不过，攻击者仍不断地发现并利用新的零日漏洞。如果像微软这么勤快的生产商都不能将所有漏洞都补上，估计没有什么生产商能做到了。

　　企业必须假设自己的应用存在漏洞。借用SANS Internet Storm Center 主管 Marcus Sachs的话，不仅各公司要练习深层安全防御，还要保留多个安全层级，不过他们也应该考虑可运用到这些层级的新技术和新策略，包括漏洞管理，内部渗透测试，基于主机的入侵查找，职责与设备的隔离等。

　　很明显，这些主题并非新生事物，攻击者正是使用上述方法来实施攻击。随着2010年接近尾声，我们应该觉醒，因为传统防御已经不能阻挡新型攻击。谷歌，Adobe和Gawker都已经为此付出代价。在2011年，其他公司很可能犯同样的错误，千万不要重蹈覆辙。