2011年網(wǎng)絡(luò)安全分析
在不久的將來,我們將開始懷念那些以出名為驅(qū)動的群發(fā)郵件及網(wǎng)絡(luò)蠕蟲爆發(fā)的日子了。曾幾何時,LoveLetter、SQLSlammer以及Melissa在剛被“釋放”的數(shù)小時內(nèi)便摧毀了不計其數(shù)的系統(tǒng)。今天,這些威脅現(xiàn)在看起來很少見了,我們已經(jīng)進(jìn)入安全威脅的第三個重要轉(zhuǎn)變階段。
在過去的十年里從追求出名轉(zhuǎn)變?yōu)樽非蠼?jīng)濟(jì)利益,犯罪軟件頻頻出現(xiàn)。惡意軟件取代了群發(fā)郵件,它們盜取信用卡信息,同時還販賣虛假的反病毒安全軟件。惡意軟件已經(jīng)發(fā)展成一種成功的犯罪業(yè)務(wù)模式,涉及數(shù)十億資金。它們的目標(biāo)是竊取機密信息以換取經(jīng)濟(jì)利益,受害者則是那些毫無防范的計算機用戶。而像Zeus這樣的木馬和工具包正是它們的現(xiàn)代化交易工具。
目前,我們已經(jīng)進(jìn)入到第三階段——網(wǎng)絡(luò)間諜和網(wǎng)絡(luò)破壞活動。Stuxnet并不是網(wǎng)絡(luò)間諜的開始,而網(wǎng)絡(luò)間諜也不會是犯罪軟件的終點。事實上,現(xiàn)實給網(wǎng)絡(luò)罪犯帶來了更多更好的商機。隨著新移動平臺的大量增加,網(wǎng)絡(luò)罪犯將有更多的地方可以攻擊,更多的不合規(guī)則的社會工程技巧可以拿來研究,從而繼續(xù)盜取我們的機密信息和財富。
然而,Stuxnet是一個標(biāo)志。它清楚地告訴我們世界正在變化,2011年的安全威脅狀況將不同于以往任何一年。
在對所掌握情況進(jìn)行綜合考量后,我們整理出了對2011年網(wǎng)絡(luò)安全的分析。從對關(guān)鍵基礎(chǔ)架構(gòu)的攻擊,到管理一名持續(xù)在線的移動工作者所面臨的安全挑戰(zhàn),再到控制數(shù)字軍備競賽,將涵蓋2011全年的主要趨勢。
關(guān)鍵基礎(chǔ)架構(gòu)將遭遇更多攻擊,服務(wù)供應(yīng)商會做出相應(yīng)反應(yīng)
攻擊者們很可能一直在觀察Stuxnet對使用工業(yè)控制系統(tǒng)的行業(yè)所產(chǎn)生的影響,并且從中吸取經(jīng)驗。我們預(yù)計他們將從Stuxnet中獲得經(jīng)驗,畢竟這是目前為止最顯著的一個例子:這種計算機病毒通過修改控制硬件系統(tǒng)的行為變化,從而對現(xiàn)實世界產(chǎn)生影響。這些攻擊者們很可能在2011年發(fā)出針對關(guān)鍵基礎(chǔ)架構(gòu)的新型攻擊。盡管起步較慢,但是這種類型的攻擊頻率預(yù)計會有所增長。
為證明這一趨勢,賽門鐵克近期做了一項研究,詢問關(guān)鍵基礎(chǔ)架構(gòu)供應(yīng)商對其行業(yè)所遭受的網(wǎng)絡(luò)攻擊的看法。48%的調(diào)查對象表示他們預(yù)計明年會遭遇攻擊,而80%的調(diào)查對象認(rèn)為此類攻擊的頻率正在加快。
調(diào)查結(jié)果所傳遞的最主要信息是關(guān)鍵基礎(chǔ)架構(gòu)供應(yīng)商們已經(jīng)高度意識到安全威脅的存在,并認(rèn)為關(guān)鍵基礎(chǔ)架構(gòu)保護(hù)(CIP:CriticalInfrastructureProtection)是當(dāng)務(wù)之急。因此,預(yù)計這些供應(yīng)商會加強網(wǎng)絡(luò)安全防范措施。這些防范措施不僅能夠抵御攻擊,而且還具備攻擊后繼續(xù)生存的彈性—這就包括備份與恢復(fù)、加密、存儲以及信息管理計劃。
目標(biāo)高度明確的威脅無論在出現(xiàn)頻率還是影響方面都在不斷增強,這導(dǎo)致零日漏洞愈加普遍
2010年,Hydraq以及a.k.a.Aurora為我們展示了一種目標(biāo)高度明確的威脅類型,它們可以利用先前未知的軟件漏洞,進(jìn)而入侵特定的企業(yè)或某種特定類型的計算機系統(tǒng)。多年來,攻擊者們一直都在利用這些安全漏洞。但是,這些目標(biāo)性極強的威脅在2011年才出現(xiàn)迅猛勢頭,預(yù)計今后的一年中將出現(xiàn)比以往任何一年更多的零日漏洞。
賽門鐵克已經(jīng)注意到了這一趨勢的發(fā)展。整個2009年,賽門鐵克發(fā)現(xiàn)了12個零日漏洞。截至2010年11月初,賽門鐵克在2010年已經(jīng)跟蹤了18個之前未知的安全漏洞,這些漏洞都曾經(jīng)或正在被網(wǎng)絡(luò)攻擊所利用。其中,半數(shù)或者更多的漏洞都已經(jīng)被Stuxnet、Hydraq、Sykipot、Pirpi等目標(biāo)高度明確的威脅所利用。其中,Stuxnet創(chuàng)紀(jì)錄地利用了4個零日漏洞,而Pirpi則是本月剛剛被識別的威脅。
零日漏洞之所以會在目標(biāo)高度明確的威脅中越來越多地被利用,關(guān)鍵原因是此類惡意軟件具有傳播范圍小的特點。傳統(tǒng)的大范圍安全威脅是通過感染盡可能多的計算機實現(xiàn)攻擊,與此相反,目標(biāo)高度明確的威脅僅僅鎖定一小部分企業(yè)或個人,或者僅僅關(guān)注一個企業(yè)或個人,旨在盜取高價值的數(shù)據(jù)或侵入目標(biāo)系統(tǒng)。在這種情況下,攻擊者們面臨的挑戰(zhàn)就是確保他們能一次擊中目標(biāo)而不被發(fā)現(xiàn)。利用一個或多個零日漏洞能夠有效地增加他們的勝算,并大大削弱目標(biāo)設(shè)備或計算機對攻擊的抵抗力。
沒有一種傳統(tǒng)安全技術(shù)擅長發(fā)現(xiàn)此類威脅。傳統(tǒng)保護(hù)要求安全軟件開發(fā)商先獲取并分析惡意軟件的具體類型,然后再對其加以防范。而目標(biāo)性威脅分布范圍小并具有隱秘性,安全軟件開發(fā)商很難再用傳統(tǒng)的檢測方法來對這些威脅進(jìn)行防御。但是,賽門鐵克利用SONAR技術(shù),根據(jù)安全威脅的行為探測到威脅,并利用基于信譽的安全技術(shù)分析某種威脅的情境而非內(nèi)容,辨別出這些威脅的行為特征和低分布特性,使針對這些威脅的監(jiān)測成為可能。#p#
智能移動設(shè)備使用的指數(shù)式增長使商業(yè)應(yīng)用與個人應(yīng)用之間的界限變得模糊,進(jìn)而促使產(chǎn)生新IT安全模式
智能手機和平板電腦等移動設(shè)備的使用正以史無前例的速度增長,它們同時滿足了企業(yè)和個人聯(lián)系的需求。分析機構(gòu)IDC預(yù)測,截止到2010年年底,新型移動設(shè)備的發(fā)貨量將增長55%。而Gartner也預(yù)測在同一時間段內(nèi),將有12億人使用具有豐富網(wǎng)絡(luò)連接功能的移動電話。由于這種增長趨勢在未來一年沒有減緩的跡象,企業(yè)更趨向于使用新安全模式來保護(hù)存儲在移動設(shè)備上的敏感數(shù)據(jù)的安全,使其可以安全地存取。
相同的移動設(shè)備正在被越來越多用于個人和商務(wù)。這給三個關(guān)鍵群體帶來了安全和管理的雙重挑戰(zhàn),即IT企業(yè)、消費者和電信運營商。
◆IT企業(yè):消費者正在促使移動設(shè)備的創(chuàng)新并將這些設(shè)備帶入企業(yè),這也是當(dāng)前IT消費化的一個有力證明。而有的企業(yè)也在削減成本,要求員工使用個人設(shè)備辦公,這一點更印證了該趨勢。但是,許多企業(yè)并沒有一個針對多個不同操作系統(tǒng)的萬全解決方案,以確保在允許使用個人設(shè)備情況下的企業(yè)數(shù)據(jù)及應(yīng)用訪問是安全的。
◆消費者:消費者的IT化意味著今天的消費者每天在家里正在使用更多的技術(shù),但是卻沒有專門的IT人員來管理這些設(shè)備。這往往也說明了消費者沒有工具能夠讓他們在病毒威脅和設(shè)備失竊的情況下恰當(dāng)?shù)乇Wo(hù)個人信息。事實上,消費者移動設(shè)備的安全將在未來一年成為一個切實痛點。這將激發(fā)對定位、鎖定和遠(yuǎn)程擦除服務(wù)的需求及應(yīng)用。
◆電信運營商:電信運營商面臨著不斷下降的用戶滿意度造成的客戶流失,以及移動帶寬的失控增長、網(wǎng)絡(luò)濫用、惡意軟件蔓延及垃圾郵件帶來的成本增加。運營商需要一個單一的解決方案來管理消費者的選擇及語音、電子郵件、短信、彩信、Web、即時通信、P2P等各種服務(wù)的安全。
傳統(tǒng)而言,網(wǎng)絡(luò)罪犯對移動設(shè)備的興趣只是一閃而過,他們的注意力都集中在高回報的個人電腦上。除了缺少鮮明的特色,制造成功的移動威脅最主要的障礙便是市場上缺少占據(jù)明顯領(lǐng)先優(yōu)勢的移動平臺,這就導(dǎo)致一個攻擊者不得不制造多個攻擊——每個攻擊針對一個平臺,從而提高成功率。但是,IDC預(yù)測,到今年年底,Android和AppleiOS設(shè)備預(yù)計將占有全球31%的市場份額。
隨著移動設(shè)備技術(shù)的日益精進(jìn)以及一些移動平臺對市場的壟斷,攻擊者們在2011年不可避免地將攻擊重點放在移動設(shè)備上,而移動設(shè)備即將成為機密數(shù)據(jù)丟失的主要源頭。根據(jù)移動專家Mocana公司的研究,參與調(diào)查的企業(yè)中,65%的IT從業(yè)人員已經(jīng)或?qū)⒁ㄆ陉P(guān)注針對智能移動設(shè)備的攻擊。
IDC還預(yù)測,截止2011年底,10億工作人員將會在部分時間處于移動狀態(tài),或者在離開公司所在地的地點辦公。隨著這一情況的發(fā)生,企業(yè)將不得不采用新模式來應(yīng)對由此產(chǎn)生的一系列挑戰(zhàn),如云安全,進(jìn)而實現(xiàn)在多平臺和設(shè)備之間工作的無縫鏈接。預(yù)計IT管理人員由于業(yè)務(wù)需要也會執(zhí)行更加精細(xì)的網(wǎng)絡(luò)安全策略。
法規(guī)遵從超過數(shù)據(jù)泄露,將成為部署加密技術(shù)的首要原因
移動設(shè)備的大量使用使各企業(yè)面臨著新的挑戰(zhàn),那就是對這些設(shè)備上以及通過這些設(shè)備存取的敏感數(shù)據(jù)的保護(hù)。此外,這些企業(yè)還必須遵從各種行業(yè)數(shù)據(jù)保護(hù)及隱私保護(hù)法規(guī)。
為了滿足一系列法規(guī)遵從的標(biāo)準(zhǔn),企業(yè)面臨著越來越大的壓力。美國去年所頒布的醫(yī)療行業(yè)法規(guī)HITECH以及幾個州的立法都把目標(biāo)指向數(shù)據(jù)保護(hù)。國際上,PCIDSS也更新到2.0版本。但是,盡管有各項規(guī)定的限制,當(dāng)儲存著機密數(shù)據(jù)的移動設(shè)備丟失時,目前很多機構(gòu)都選擇不公開這些丟失事件,這與它們對筆記本丟失事件的處理原則一樣。實際上,員工并不一定會將移動設(shè)備丟失的情況上報給上級。今年,我們預(yù)計監(jiān)管者們會對此類事件采取嚴(yán)厲措施,而這些措施會促使各企業(yè)加強對加密技術(shù)的使用,尤其是在移動設(shè)備上使用加密技術(shù)。
PonemonInstitute的《2010年度研究報告》指出,《美國企業(yè)加密趨勢》研究表明,法規(guī)遵從第一次超過數(shù)據(jù)泄漏緩解,成為企業(yè)部署加密技術(shù)的首要原因。企業(yè)逐漸在數(shù)據(jù)泄漏之前,而不是之后,便開始調(diào)整他們的加密戰(zhàn)略。
2011年,我們將會看到各企業(yè)更積極地應(yīng)用加密技術(shù)進(jìn)行數(shù)據(jù)保護(hù),從而滿足法規(guī)遵從,并避免數(shù)據(jù)泄漏導(dǎo)致的高額罰款及對品牌的破壞。
政治目的驅(qū)動下的攻擊將浮出水面
根據(jù)賽門鐵克CIP調(diào)查,超過一半的企業(yè)表示懷疑或相當(dāng)肯定自己曾遭受過帶有特殊政治目的的攻擊。過去,這些政治目的驅(qū)動的攻擊主要出現(xiàn)在網(wǎng)絡(luò)間諜領(lǐng)域或針對網(wǎng)絡(luò)服務(wù)的拒絕服務(wù)類攻擊。在最近的一個例子中,攻擊者針對批評南亞某個政黨的博客和論壇發(fā)起了分布式拒絕服務(wù)攻擊。然而,隨著Stuxnet潘多拉盒子的打開,這些威脅將遠(yuǎn)不止于間諜游戲或給人們帶來小煩惱這么簡單,武器化的惡意軟件將給人們的實際生活造成破壞。
Stuxnet是一種高度復(fù)雜的威脅,其目的是將工業(yè)控制系統(tǒng)的程序重新設(shè)定,即用來管理工業(yè)環(huán)境(如發(fā)電廠、煉油廠和天然氣管道等)的計算機程序。它是第一個已知的針對此類系統(tǒng)的惡意軟件。Stuxnet的終極目標(biāo)是對與具體工業(yè)控制系統(tǒng)相連的物理設(shè)備進(jìn)行操縱,使設(shè)備按照攻擊者所指示的方式運行,但與其預(yù)設(shè)的目的相悖。這種攻擊有多種潛在目的,但最大的可能是進(jìn)行破壞,這種破壞會造成實際的損害。
雖然迄今為止Stuxnet的具體目標(biāo)仍不得而知,但間接證據(jù)顯示,這種由資金雄厚的組織或某個國家創(chuàng)造的惡意軟件的攻擊目標(biāo)是伊朗或伊朗境內(nèi)的某個組織。鑒于這些事實,我們可以毫不夸張地假設(shè)這種病毒是受政治目的驅(qū)動的,這使得Stuxnet成為第一個旨在造成實際破壞、具有政治目的的網(wǎng)絡(luò)攻擊。
賽門鐵克認(rèn)為Stuxnet可能只是某些人所說的以“網(wǎng)絡(luò)戰(zhàn)爭”為企圖的首個極為明顯的跡象,這種戰(zhàn)爭其實由來已久。2011年,更多旨在控制數(shù)字軍備競賽的跡象將浮出水面。
未來一年,我們將看到網(wǎng)絡(luò)安全方面許多新的發(fā)展,然而,也許最重要的是,安全行業(yè)將繼續(xù)迎接不斷變化的威脅環(huán)境的挑戰(zhàn)。可以肯定的是,新的安全技術(shù)將不斷出現(xiàn),數(shù)十億計算機用戶將得到保護(hù),從而使這些威脅不會入侵個人計算機和網(wǎng)絡(luò)系統(tǒng)、盜取個人的敏感信息、掠走個人的寶貴資產(chǎn)。事實上,整體的預(yù)測并非消極,打擊網(wǎng)絡(luò)犯罪的戰(zhàn)斗也將繼續(xù)下去,包括賽門鐵克在內(nèi)的安全軟件公司將堅守在陣地前沿,時刻準(zhǔn)備著在每條戰(zhàn)線上與網(wǎng)絡(luò)罪犯戰(zhàn)斗到底。
【編輯推薦】
