2010年威脅報(bào)告:商業(yè)和基礎(chǔ)架構(gòu)成為攻擊焦點(diǎn)
中國,2010年11月19日,當(dāng)高風(fēng)險(xiǎn)的Web威脅來到時(shí),我們已經(jīng)無法再提前預(yù)知它將以何種方式出現(xiàn)。極光(Aurora)、超級(jí)工廠病毒(Stuxnet)和僵尸網(wǎng)絡(luò)(Zeus)等現(xiàn)代混合威脅都是通過使用多個(gè)攻擊策略和載體的進(jìn)行混合攻擊的方式進(jìn)入企業(yè)內(nèi)部的。而釣魚、攻擊合法網(wǎng)站、社交網(wǎng)絡(luò)是可用來竊取機(jī)密數(shù)據(jù)的絕妙搭配。因?yàn)樵诰W(wǎng)絡(luò)犯罪的世界中,數(shù)據(jù)就等同于金線。Websense在其最新報(bào)告中指出2010年發(fā)生的大多數(shù)攻擊均是以竊取數(shù)據(jù)為目的,而商業(yè)和基礎(chǔ)架構(gòu)則是其主要攻擊目標(biāo)。與此同時(shí),Websense安全實(shí)驗(yàn)室還預(yù)計(jì),2011年將有更多以內(nèi)容為目標(biāo)的攻擊會(huì)借由愈加復(fù)雜混合載體發(fā)起,其中大部分可能傾向于使用民族主義和經(jīng)濟(jì)網(wǎng)絡(luò)恐怖主義等具有政治色彩的噱頭。
Websense 2010年威脅報(bào)告中的所有結(jié)論是根據(jù)Websense安全實(shí)驗(yàn)室?的研究人員的分析結(jié)果產(chǎn)生。他們使用Websense ThreatSeeker? Network每小時(shí)掃描4千多萬個(gè)Web網(wǎng)站和1千多萬封電子郵件,以查找不當(dāng)內(nèi)容和惡意代碼。根據(jù)2010年的攻擊事件和各種指標(biāo)顯示,網(wǎng)絡(luò)犯罪分子以及他們的正在使用的混合攻擊目前正在瘋狂地利用防火墻、反病毒和簡單的URL阻斷工具等傳統(tǒng)安全技術(shù)的漏洞。
報(bào)告對當(dāng)今的威脅環(huán)境做了充分的描述,并指出傳統(tǒng)的防御已經(jīng)不再勝任。也許我們都安裝了防病毒、防火墻和代理協(xié)議等安全手段,但這些都是遠(yuǎn)遠(yuǎn)不夠的。當(dāng)今的威脅不再只由附件發(fā)送的二進(jìn)制文件,而是基于腳本的攻擊,并且被嵌入到Flash等大量的媒介中,通過社交網(wǎng)絡(luò)迅速擴(kuò)散。基于信譽(yù)過濾的安全工具在面對由Google,、Facebook,、和 YouTube等知名"合法"網(wǎng)站帶來的威脅時(shí),所能提供的安全系數(shù)就變成了零,而當(dāng)今80%的Web流量是以它們?yōu)槟康牡亍?/p>
網(wǎng)絡(luò)犯罪分子清楚地傳統(tǒng)技術(shù)只是簡單地排查那些已知信息(簽名)或信譽(yù)以找出那些已被確認(rèn)的威脅,這就為什么他們可以輕易地攻擊那些原有的防御系統(tǒng)。今天的各種混合攻擊又被稱為0-day攻擊,它們一般在之前從未被發(fā)現(xiàn)。而犯罪分子在將其釋放之前已經(jīng)將它們不斷地發(fā)展,并在常用的反病毒產(chǎn)品上進(jìn)行測試。所以這些威脅一帆風(fēng)順地通過防火墻和一些開放的通道。
Websense 中國區(qū)技術(shù)經(jīng)理陳綱表示:"有組織的網(wǎng)絡(luò)犯罪團(tuán)伙在不斷增多,有針對性的先進(jìn)的惡意軟件威脅也在不斷出現(xiàn),這是當(dāng)前我們看到的最令人關(guān)注的趨勢。安全需要永遠(yuǎn)走在攻擊者前面,精確地進(jìn)行內(nèi)容的分類以阻止各類攻擊。簡單的二進(jìn)制訪問控制和固步自封的安全手段已經(jīng)不能應(yīng)對我們今天所看的種種復(fù)雜攻擊。而Websense在搭建其安全產(chǎn)品時(shí)已精確地將當(dāng)前的各種先進(jìn)攻擊和混合攻擊納入了思考范圍。"
2010年,網(wǎng)絡(luò)罪犯分子調(diào)整了其戰(zhàn)略以攻擊社交網(wǎng)絡(luò)和那些允許用戶生成內(nèi)容的動(dòng)態(tài)網(wǎng)站。現(xiàn)下的攻擊更具混合性,更加復(fù)雜,并且更有針對性。大多攻擊在傳播時(shí)會(huì)使用各種新的花招和手段。基于腳本的攻擊、混合的電子郵件攻擊,以及SEO(搜索引擎優(yōu)化)中毒攻擊在2010年變得非常常見。而且即使是最容易被檢測到的威脅和僵尸網(wǎng)絡(luò)也被成功地改變用途或演變,成了那些過時(shí)的防御系統(tǒng)眼皮下漏網(wǎng)之魚。不過,在2010年發(fā)生的絕大多數(shù)攻擊都是以竊取數(shù)據(jù)為目的。
在2010年的Websense威脅報(bào)告中的各種重大發(fā)現(xiàn)說明了,盡管大范圍的威脅繼續(xù)泛濫,但具有明顯針對性的攻擊也正在上升。調(diào)查結(jié)果包括:
◆從2009年到2010年惡意網(wǎng)站數(shù)量增長了111.4%。
◆79.9%含有惡意代碼的網(wǎng)站是遭到攻擊的合法網(wǎng)站。
◆52%的數(shù)據(jù)泄露攻擊由Web發(fā)起。
◆34%的惡意Web / HTTP攻擊包括數(shù)據(jù)竊取代碼。
◆當(dāng)前階段89.9%的垃圾郵件中包含的垃圾站點(diǎn)鏈接/或惡意網(wǎng)站鏈接。
◆2010年,美國和中國繼續(xù)成為世界上兩個(gè)最大的犯罪軟件發(fā)源地和被竊取數(shù)據(jù)接收處,荷蘭在進(jìn)入了前五名。
◆搜索熱門新聞可能遭遇風(fēng)險(xiǎn)的機(jī)遇是22.4%,而搜索非正當(dāng)內(nèi)容時(shí)是21.8%。
◆23%的實(shí)時(shí)娛樂內(nèi)容搜索會(huì)指向某個(gè)惡意鏈接。
◆Facebook中40%的狀態(tài)更新含有鏈接,而其中10%不是垃圾信息就是惡意軟件。
Websense在報(bào)告中還對近期的發(fā)生重大攻擊進(jìn)行了分析,例如極光、超級(jí)工廠病毒,和僵尸網(wǎng)絡(luò)等,以及更多其他惡意代碼和數(shù)據(jù)竊取代碼的載體。同時(shí)也對五大主流數(shù)據(jù)竊取代碼進(jìn)行了數(shù)據(jù)統(tǒng)計(jì),對社交Web內(nèi)容和威脅以及主要社交網(wǎng)絡(luò)的鏈接進(jìn)行了深度解析。
Websense公司中國區(qū)總經(jīng)理穆軍:"無論是公司的敏感財(cái)務(wù)信息,還是你的社交網(wǎng)絡(luò),或網(wǎng)上銀行證書,這些內(nèi)容都具有巨大價(jià)值。在今天這么多Web載體相互交織的情況下,控制威脅就需要我們可以有方法同時(shí)兼顧入站和出站內(nèi)容安全。為了防止今天的各類混合的復(fù)雜攻擊,企業(yè)需要將分布在同位置的單點(diǎn)安全解決方案移到一個(gè)統(tǒng)一的安全架構(gòu)以保護(hù)其的內(nèi)容安全。"
在這份報(bào)告中,Websense安全實(shí)驗(yàn)室還預(yù)測2011年的威脅趨勢。預(yù)測中對未來動(dòng)態(tài)Web上的混合威脅、恐怖主義、和數(shù)據(jù)泄露進(jìn)行了分析,并指出2010年可能發(fā)生極具針對性的網(wǎng)絡(luò)恐怖主義攻擊。
【編輯推薦】
