到底谁是我们的敌人?当为恶意的黑客和恶意软件而苦战之时,回答这个问题尤其重要。赛门铁克的英特网安全威胁报告第八卷(Internet Security Threat Report, Vol. VIII)是一个不错的切入点,和InfoWorld的安全调查报告(security survey and report)相呼应。
虽然赛门铁克的报告仅仅代表变幻莫测的威胁领域的一家之言,但赛门铁克的数据是从180多家公司的24,000个传感器上采集来的,为之,赛门铁克专门发起了一个活动--DeepSight威胁管理系统及受管安全服务。以下是一些最有意义的亮点。
1、在一天之中,对某一特定站点的攻击次数降低。
2、受利益驱动的攻击增加:
如果你仍未认识到这一点,那么我告诉你,黑客活动现在可是桩大买卖。以前,黑客只是用脚本和技术向导来证明一个观点,并在网络上获得名气。现在,他们从事这类活动是为了谋生。黑客使用日益老练的蠕虫、木马等窃取网络信息,卖给竞价最高的买主,买主利用这些信息发送垃圾邮件及广告,增加点击率,实施随机拒绝服务攻击,窃取信用卡信息、身份信息、公司机密及其它有用信息,从中快速获利。
3、bot网络的增加(和第一条相呼应)。
4、信息窃取曾上升趋势。提交给赛门铁克的最受欢迎代码中的74%都可以窃取信息。这一点和前两条相呼应。
5、2005年上半年,共发现大约11,000个新的恶意程序。
6、在2005年,Mozilla的浏览器比Internet Explorer有更多漏洞。对于每个http://www.secunia.com网站,火狐浏览器平均有20个漏洞,而IE有12个,并且火狐比整个系统所允许的值有更多的关键漏洞。当然,这并不意味着火狐更危险,火狐浏览器更新,所以在起始阶段,bug会相对来说多一些。不过,这一事实倒确实意味着开源浏览器并非防御的万灵药。有人可以编写一个安全的、可用的浏览器,能充分经得起黑客的威胁,同时占有更多的市场份额吗?如果Opera获得更大的市场份额,关注一下它将怎样处理日益增长的细节问题应该是很有意义的一件事。
7、电子邮件中仍有很大一部分是垃圾邮件。布什总统签署了Can Spam法律之后将近两年了,对垃圾邮件的控制并未见显著成效。可能确实逮捕了一些捣乱的人,但是,既然被指控的垃圾邮件制造这只需要付一定数目的罚款就可以在当天获释回家,那还有谁会惧怕真正的起诉呢?当然,真正关心打击垃圾邮件的人是反对没什么大勇的Can Spam法律的,因为它是对垃圾邮件的让步。国会上有人对此在意过吗?
8、2005年,网络钓鱼攻击增加。
9、SQL Slammer蠕虫病毒类攻击代码在很大范围内,是针对网络发起的最流行的攻击形式。旧的攻击总是比新的带来更大危害。
10、对第九条的解释,一个有意义的旁示:MS SQL的端口1433未进入攻击端口的前十名。前十名被攻击端口包括普通的Windows端口(如果安装了防火墙,则该类端口不应暴露于网络),还有几个文件共享端口(Gnutella、eDonkey等),易受攻击的英特网端口(像25、80、443等),以及两个“随机(random)”端口。
11、Linux类攻击占了前五名的三个席位。真不知Linux是好还是坏?
12、每日的攻击总数在减少。赛门铁克说这在很大程度上是因为Windows XP操作系统打了SP2补丁。使得一个单向防火墙的默认状态就是打开,这带来一些好处。
13、DdoS攻击还在增加
14、漏洞被曝光和针对此漏洞发起攻击的平均时间间隔是6天。对新漏洞发布补丁的平均时间是54天。这个时间差距值得考虑,你的供应商做得怎么样呢?
在这张列表上看,不太明显却比较有意义的一点是对自动代码的使用成风。你最大的威胁并非来自专注的恶意黑客,而是来自于他的自动蠕虫、病毒、木马、bot等。
抵御的办法,首先,要把安全警报报告给高级管理层及安全防御团队。我们知道,黑客活动已不再是为了好玩,而是为了利益。很多其它调查也报告说有目的的黑客活动、合作间谍及数据窃取活动在急剧增加。这些活动不容易被发现,而是更加隐蔽,旨在窃取目标主机。
因此,虽然总体上讲,攻击可能在减少,但专业性的恶意攻击正在急剧增加。这意味着你的安全风险在上升。请相应地调整你们的预算、防御策略及管理方针吧。
