【51CTO.com 專家特稿】安全方面值得關注的消息較多，云計算的安全問題仍是近期的熱點，上周Google Docs泄漏用戶敏感文件的風波剛過，云計算服務對現有安全標準和法律法規在遵從性方面的缺失再次被安全行業所關注。惡意軟件的威脅在近段時間進一步提升，安全廠商已經捕獲到基于DHCP協議和專門針對ATM自動柜員機的惡意軟件樣本。在本期回顧的最后，筆者仍為朋友們精心挑選了兩個值得一讀的推薦閱讀文章。

近期（090316至090322）安全要聞回顧

本周的信息安全風險為低，軟件廠商Adobe在3月18日為旗下產品Adobe Acrobat和Reader的7、8、9版本分別推出了安全更新程序，主要修補此前發現的能夠導致用戶系統感染惡意軟件的遠程代碼執行漏洞云計，建議用戶盡快使用Adobe Updater自動升級，或從Adobe網站上下載并應用程序。

云計算安全：云計算方案的合規性遵從風險引人關注；關注指數：高

由于最近一段時間全球的經濟狀況持續惡化，云計算作為一種廉價高效的信息存儲和處理方式，就成為許多關注于降低IT運維成本的企業的選擇。云計算方案的提供商也應時提供了多種靈活的解決方案供用戶企業選擇，如Google和Amazon都允許用戶企業在其云計算平臺服務器上運行用戶自己的互聯網應用程序，而Salesforce等其他的服務提供商則向其用戶企業提供了多個特定用途的服務。

云計算市場份額快速擴張的同時，因為其不同于傳統應用系統的架構和安全形式，也使得安全業界和眾多用戶對云計算的安全性產生了顧慮。在上期回顧中筆者曾經和朋友們一起關注過Google Docs存在泄漏用戶文件和隱私信息的消息，Google在收到受影響用戶的反饋之后，迅速通過移除用戶文件共享權限等操作來修補該漏洞，但這個事件還是給很多用戶留下了云計算不夠安全的壞印象。

本周在波士頓舉行的SOURCE安全會議上，安全專家向公眾揭示了云計算方案在安全上的又一個潛在風險——合規性遵從（Compliance）。盡管云計算服務商都向用戶承諾其服務的可靠性，保證7×24的在線率，但如何保證用戶存放在云計算平臺上的數據的安全，仍不在大多數云計算服務商的承諾范圍之內，用戶在絕大多數情況下，也無法通過數據加密等傳統手段獲得更好的數據安全性。

當然，用戶企業可以與云計算服務商簽署服務級別協議（SLA）和第三方的安全協議，通過書面的方式來進一步保證云計算的安全性，但調查顯示許多用戶企業仍對其存儲在云計算平臺上的數據安全心存顧慮。此外，對現有的行業安全標準及法律法規的遵從性，也是用戶在選擇云計算方案作為業務數據存儲和處理平臺時要考慮的一個潛在風險，它存在于兩個方面：首先，用戶不可能了解到所選擇的云計算方案具體的實現和運作形式，更不可能根據自己業務的需求對云計算進行功能和實現上的自定義；其次，當前使用的不少安全標準，具體規定和設置要求都不適用于云計算領域——如在網上支付領域廣泛使用的PCI DSS標準，就只規定了物理服務器應該如何進行安全設置和操作。

筆者覺得，盡管使用云計算和企業的其他IT外包項目并無太大區別，但企業也應該意識到使用云計算方案并不等于將數據安全的責任也外包到云計算服務提供商的身上。在當前云計算的運營模式沒有發生利于用戶數據安全需求的變化，以及現有安全標準對云計算應用做出相應的修改之前，建議用戶還是不要將敏感和涉及商業機密的信息存儲到云計算平臺上，免得將來遇到眾多不必要的風險。

惡意軟件：惡意軟件技術快速發展，基于DHCP和專門針對ATM的惡意軟件出現；關注指數：高

黑客為了在企業的內部網絡中擴散他們的惡意軟件，所用的手段可以說是無所不用其極，除了慣用的遠程漏洞攻擊和弱口令掃描等傳統攻擊方法外，黑客也打起了企業內部網絡中各種常見服務的主意。根據互聯網安全組織SANS近段時間的監測結果，一個基于DHCP服務的新惡意軟件目前正在互聯網上快速擴散。該惡意軟件的工作原理與去年年底發現的Trojan.Flush.M木馬相類似，在感染企業內部網絡中的一個系統之后，該惡意軟件會在受感染系統上安裝一個DHCP服務器，其后進入企業內部網絡的其他系統都可能被該惡意的DHCP服務器所欺騙，所有互聯網訪問的域名解析都會轉向至黑客預先設置的惡意DNS服務器。

雖然現在這類基于DHCP服務的惡意軟件并不多見，但因為它比前兩年流行的ARP欺騙型惡意軟件更為隱蔽，用戶也更能發現、定位和消除在自己內部網絡中存在的該類風險。筆者建議，用戶可通過嗅探器、IDS等網絡工具監視網絡中DHCP服務器的活動情況，同時觀察是否存在訪問不是已知DNS服務器的情況存在，如果有就證明可能感染了上述類型的惡意軟件（當然也可能是有內網用戶私自設置使用第三方的DNS服務器）。如果用戶使用了Windows域服務之類的內網管理方案，防護基于DHCP或DNS服務的惡意軟件就更為簡單，只需通過防火墻禁用除內網授權DNS服務器外的所有外部DNS查詢請求即可。

自動柜員機ATM是犯罪集團最常攻擊的目標之一，使用附加的卡復制器、通過網絡釣魚獲取用戶信息并制造偽卡，甚至使用炸藥來爆破，攻擊的手段可謂是種類繁多——反病毒廠商Sophos的新發現，又暴露了犯罪集團對ATM機攻擊的一種新手段：惡意軟件。本周來自Sophos的研究人員稱，犯罪集團正利用能夠在ATM機上運行的新一代惡意軟件，偷取ATM用戶所輸入的各種信息。

根據惡意軟件樣本分析的結果，這種攻擊最早在今年初出現在俄羅斯，黑客破解了ATM廠商Diebold在一月份為其基于Windows的產品發布的軟件更新補丁，并在其中插入了一個惡意軟件。在稍后的調查顯示，黑客必須通過物理接觸ATM機才能夠在ATM機上安裝上述惡意軟件，但在黑客本身是金融機構內部人員或得到內部人員的協助的情況下，并不難達到這一目的。

盡管Diebold在稍后的消息發布中稱，在ATM機上安裝惡意軟件的攻擊者已被抓獲，并正在進行調查，但這種對ATM機的惡意軟件攻擊趨勢仍值得我們關注，只需熟悉ATM機的內部軟件運作機理和銀行的業務流程，一個有編程經驗的黑客是能夠寫出可以在ATM機運行的惡意軟件，再加上有銀行內部人員的配合，一次針對ATM機的惡意軟件攻擊就可以實施，而且這種威脅和傳統的ATM攻擊手法比起來，無需添加額外的設備，因此也更為隱蔽和難于消除。筆者覺得，ATM廠商和金融機構應該開始關注ATM機的軟件和網絡安全問題，并將其提升到和物理安全同等重要的地位，而目前大多數的ATM系統仍沒有專門針對惡意軟件或對其軟件的惡意修改部署防御措施，網絡邊界安全措施也有所缺失，這一點也值得安全行業所關注。

推薦閱讀：

1） DIY安全測試實驗室；推薦指數：中

許多朋友有興趣于測試安全工具、分析惡意軟件和漏洞或學習安全技能，一些企業的IT部門也常常需要對一些安全工具進行適應性測試，因此，使用手頭上的資源DIY小安全測試實驗室是一個不錯的解決辦法。Darkreading.com文章《DIY安全測試實驗室》介紹了在這個過程中的主要注意事項，推薦有這方面興趣的朋友了解下。文章的地址如下：

http://www.darkreading.com/security/management/showArticle.jhtml?articleID=215901457&subSection=Security+administration/management

2） E-Health可能面臨的14個安全風險；推薦指數：高

醫療過程的信息化是未來發展的一個趨勢，盡管在國內還沒有大面積的推廣醫療信息化技術和方案，但事先了解E-Health可能遇到的各種問題，可以作為醫療行業在實施信息化過程中的重要參考。歐盟網絡安全機構ENISA在前段時間推出了一個調查報告《E-Health可能面臨的14個安全風險》，推薦醫療和IT行業的朋友閱讀下。

報告的地址如下：

http://www.darkreading.com/security/app-security/showArticle.jhtml?articleID=216000012&subSection=Attacks/breaches

【51CTO.COM 獨家特稿，轉載請注明出處及作者！】