下一代安全威胁的内幕故事

　　适逢其时的攻击

　　网络犯罪分子攻击手法的改变使得另一种攻击：网络抗议更容易组织和执行。我们也可以从最近针对万事达、维萨和亚马逊等网站的拒绝服务攻击中一窥网络犯罪的未来，这些攻击是为了报复这些网络拒绝与维基解密网站有业务往来。

　　虽然网络抗议和拒绝服务攻击不是什么新攻击，但支持它们的技术变得越来越好，也工具变得越来越先进--这个趋势会继续下去。比如说，一个名为Anonymous的组织实施的维基解密攻击采用了一种名为低轨道离子加农炮(LOIC)的程序。该程序让任何抗议者只要输入IP地址，都能加入针对目标网络或系统的攻击大军。

　　互联网安全公司Renesys的副总裁兼总经理Earl Zmijewski表示，三个因素导致了分布式拒绝服务攻击屡屡得逞。首先，受到攻击的系统拥有比以往任何时候都要多的带宽，所以攻击者只要危及比较少的系统，就能对目标造成相当大的影响。其次，许多用户继续在运行旧软件，因而攻击者更容易接管他们的计算机，让它们成为僵尸网络的一员。第三，目前还是没有轻松的办法来对付拒绝服务攻击。虽然内容分发网络能起到帮助，但最有效的防御还是使用一个专门的网络，在恶意流量进入到目标服务器之前先将它们过滤掉。

　　由于这三个因素，僵尸网络经营者拥有了巨大威力。迈克菲的Contos表示，比如说，Conficker危及了640万个系统，为它提供了每秒28 TB(注：1TB=1012字节)的聚合带宽。他说："这超过了亚马逊和谷歌的带宽总和--这实在太大了。"

　　安全威胁正将自己安插到用户与互联网之间。这种"浏览器中间人"(man-in-the-browser)攻击--针对银行的Zeus特洛伊木马广泛使用这种攻击--让攻击者可以控制用户能看到的一切。如果用户依赖被Zeus感染的计算机，他会误以为自己将100美元的电费划到电力公司账户，实际上7000美元被划到了另一个地方属于网络犯罪团队某个成员的账户。用户确认交易后，他看到的只是付款100美元，而实际上银行接到的是转账7000美元的请求。

　　银行安全公司Trusteer的首席技术官Amit Klein说："你从来不知道自己受骗上当，等到上银行分行查账后才恍然大悟。这种伎俩最先由其他恶意软件采用;但是拜Zeus所赐，这种伎俩现在变得极其普遍。"

　　Zeus及其他威胁在避开旨在消除银行诈骗的保护措施，比如双因子验证。由于攻击是实时进行的，而且从受害者的计算机上发动，所以常规保护措施不管用。

　　更好的防御

　　许多公司想当然地以为，仅仅遵守法律要求的安全控制措施就够了。但是单单遵守还不行。SecureWorks的Ramsey表示，先进的威胁会避开众所周知的安全要求。要是每个人都使用同样的技术和控制措施，"那么犯罪分子就会改动攻击手法，破坏那些类型的防御机制，"他说。

　　美国联邦存款保险公司要求银行应使用双因子验证和加密技术，正是这一要求促使犯罪分子开发出了Zeus，以避开那些保护措施。恶意广告是表明攻击者在避开防御机制的另一个例子，这种网上广告把点击广告的用户引到恶意网站。这些攻击避开防火墙的手段是，通过互联网进入。据SecureWorks声称，许多公司发现互联网是第一大攻击途径。

　　Trusteer的Klein表示，像反病毒软件这些常规防御机制对付先进的攻击效果并不好。Stuxnet在传播了一年多后才被发现;Zeus经常避开基于特征的防御机制。

　　赛门铁克的Turner表示，公司需要全面的防御，而不是仅仅需要技术。他说："我们必须开始讨论我们该如何在网上共享信息、如何使用安全系统。政策及实施与技术本身来得一样重要。"

　　保护网络边界是关键，但由于像iPad和iPhone这些消费级移动设备进入到公司企业，连保护边界这项工作都变得更为复杂。Turner表示，随着个人设备与企业之间的界线日益模糊，"我们已增加了我们的机密数据或企业数据拥有的接触点的数量。"

　　公司不但要找出潜在威胁，还要找出最宝贵的资产。SecureWorks的Ramsey表示，公司需要了解威胁、这些威胁要攻击的目标，以及威胁如何攻击目标。

　　公司还必须确定有多少用户和系统可以访问重要信息、哪些对象值得保护。Turner表示，它们必须实施一套数据分类系统，确定最宝贵的知识产权，然后将安全经费和人员重点投入到这部分数据上。与试图一视同仁地保护所有数据相比，企业成功保护一小部分数据的可能性要大得多。

　　IT经理也不能再忽视网络上计算机和路由器之外的其他部件。安全研究人员已证明，越来越像小型服务器的打印机可以作为进入企业网络的跳板，而Stuxnet正是通过嵌入式控制器一路传播的。

　　Turner说："我们不得不开始考虑技术的不同部分。阀门归工程师管理，而网络归IT人员管理，"我们必须让它们可以说相同的语言。

　　公司还必须关注更好的检测和响应机制。Ramsey表示，网络异常检测和情报服务可以识别在企业网络已成功找到立足点的攻击。但检测并不能有效地防御这些攻击。他说："阻止攻击所需的成本低于清理攻击所需的成本;攻击潜伏时间越长，重新控制自己的IT系统所需的成本就越高。"

　　如果关注一下将来司空见惯的先进攻击，防范工作显得尤为重要。正如Stuxnet告诉我们的那样，这类程序持续时间越长，造成的破坏就越大。最终，防御人员必须完善防御机制，以便时时比坏人抢先一步。