2011年網絡安全分析
在不久的將來,我們將開始懷念那些以出名為驅動的群發郵件及網絡蠕蟲爆發的日子了。曾幾何時,LoveLetter、SQLSlammer以及Melissa在剛被“釋放”的數小時內便摧毀了不計其數的系統。今天,這些威脅現在看起來很少見了,我們已經進入安全威脅的第三個重要轉變階段。
在過去的十年里從追求出名轉變為追求經濟利益,犯罪軟件頻頻出現。惡意軟件取代了群發郵件,它們盜取信用卡信息,同時還販賣虛假的反病毒安全軟件。惡意軟件已經發展成一種成功的犯罪業務模式,涉及數十億資金。它們的目標是竊取機密信息以換取經濟利益,受害者則是那些毫無防范的計算機用戶。而像Zeus這樣的木馬和工具包正是它們的現代化交易工具。
目前,我們已經進入到第三階段——網絡間諜和網絡破壞活動。Stuxnet并不是網絡間諜的開始,而網絡間諜也不會是犯罪軟件的終點。事實上,現實給網絡罪犯帶來了更多更好的商機。隨著新移動平臺的大量增加,網絡罪犯將有更多的地方可以攻擊,更多的不合規則的社會工程技巧可以拿來研究,從而繼續盜取我們的機密信息和財富。
然而,Stuxnet是一個標志。它清楚地告訴我們世界正在變化,2011年的安全威脅狀況將不同于以往任何一年。
在對所掌握情況進行綜合考量后,我們整理出了對2011年網絡安全的分析。從對關鍵基礎架構的攻擊,到管理一名持續在線的移動工作者所面臨的安全挑戰,再到控制數字軍備競賽,將涵蓋2011全年的主要趨勢。
關鍵基礎架構將遭遇更多攻擊,服務供應商會做出相應反應
攻擊者們很可能一直在觀察Stuxnet對使用工業控制系統的行業所產生的影響,并且從中吸取經驗。我們預計他們將從Stuxnet中獲得經驗,畢竟這是目前為止最顯著的一個例子:這種計算機病毒通過修改控制硬件系統的行為變化,從而對現實世界產生影響。這些攻擊者們很可能在2011年發出針對關鍵基礎架構的新型攻擊。盡管起步較慢,但是這種類型的攻擊頻率預計會有所增長。
為證明這一趨勢,賽門鐵克近期做了一項研究,詢問關鍵基礎架構供應商對其行業所遭受的網絡攻擊的看法。48%的調查對象表示他們預計明年會遭遇攻擊,而80%的調查對象認為此類攻擊的頻率正在加快。
調查結果所傳遞的最主要信息是關鍵基礎架構供應商們已經高度意識到安全威脅的存在,并認為關鍵基礎架構保護(CIP:CriticalInfrastructureProtection)是當務之急。因此,預計這些供應商會加強網絡安全防范措施。這些防范措施不僅能夠抵御攻擊,而且還具備攻擊后繼續生存的彈性—這就包括備份與恢復、加密、存儲以及信息管理計劃。
目標高度明確的威脅無論在出現頻率還是影響方面都在不斷增強,這導致零日漏洞愈加普遍
2010年,Hydraq以及a.k.a.Aurora為我們展示了一種目標高度明確的威脅類型,它們可以利用先前未知的軟件漏洞,進而入侵特定的企業或某種特定類型的計算機系統。多年來,攻擊者們一直都在利用這些安全漏洞。但是,這些目標性極強的威脅在2011年才出現迅猛勢頭,預計今后的一年中將出現比以往任何一年更多的零日漏洞。
賽門鐵克已經注意到了這一趨勢的發展。整個2009年,賽門鐵克發現了12個零日漏洞。截至2010年11月初,賽門鐵克在2010年已經跟蹤了18個之前未知的安全漏洞,這些漏洞都曾經或正在被網絡攻擊所利用。其中,半數或者更多的漏洞都已經被Stuxnet、Hydraq、Sykipot、Pirpi等目標高度明確的威脅所利用。其中,Stuxnet創紀錄地利用了4個零日漏洞,而Pirpi則是本月剛剛被識別的威脅。
零日漏洞之所以會在目標高度明確的威脅中越來越多地被利用,關鍵原因是此類惡意軟件具有傳播范圍小的特點。傳統的大范圍安全威脅是通過感染盡可能多的計算機實現攻擊,與此相反,目標高度明確的威脅僅僅鎖定一小部分企業或個人,或者僅僅關注一個企業或個人,旨在盜取高價值的數據或侵入目標系統。在這種情況下,攻擊者們面臨的挑戰就是確保他們能一次擊中目標而不被發現。利用一個或多個零日漏洞能夠有效地增加他們的勝算,并大大削弱目標設備或計算機對攻擊的抵抗力。
沒有一種傳統安全技術擅長發現此類威脅。傳統保護要求安全軟件開發商先獲取并分析惡意軟件的具體類型,然后再對其加以防范。而目標性威脅分布范圍小并具有隱秘性,安全軟件開發商很難再用傳統的檢測方法來對這些威脅進行防御。但是,賽門鐵克利用SONAR技術,根據安全威脅的行為探測到威脅,并利用基于信譽的安全技術分析某種威脅的情境而非內容,辨別出這些威脅的行為特征和低分布特性,使針對這些威脅的監測成為可能。#p#
智能移動設備使用的指數式增長使商業應用與個人應用之間的界限變得模糊,進而促使產生新IT安全模式
智能手機和平板電腦等移動設備的使用正以史無前例的速度增長,它們同時滿足了企業和個人聯系的需求。分析機構IDC預測,截止到2010年年底,新型移動設備的發貨量將增長55%。而Gartner也預測在同一時間段內,將有12億人使用具有豐富網絡連接功能的移動電話。由于這種增長趨勢在未來一年沒有減緩的跡象,企業更趨向于使用新安全模式來保護存儲在移動設備上的敏感數據的安全,使其可以安全地存取。
相同的移動設備正在被越來越多用于個人和商務。這給三個關鍵群體帶來了安全和管理的雙重挑戰,即IT企業、消費者和電信運營商。
◆IT企業:消費者正在促使移動設備的創新并將這些設備帶入企業,這也是當前IT消費化的一個有力證明。而有的企業也在削減成本,要求員工使用個人設備辦公,這一點更印證了該趨勢。但是,許多企業并沒有一個針對多個不同操作系統的萬全解決方案,以確保在允許使用個人設備情況下的企業數據及應用訪問是安全的。
◆消費者:消費者的IT化意味著今天的消費者每天在家里正在使用更多的技術,但是卻沒有專門的IT人員來管理這些設備。這往往也說明了消費者沒有工具能夠讓他們在病毒威脅和設備失竊的情況下恰當地保護個人信息。事實上,消費者移動設備的安全將在未來一年成為一個切實痛點。這將激發對定位、鎖定和遠程擦除服務的需求及應用。
◆電信運營商:電信運營商面臨著不斷下降的用戶滿意度造成的客戶流失,以及移動帶寬的失控增長、網絡濫用、惡意軟件蔓延及垃圾郵件帶來的成本增加。運營商需要一個單一的解決方案來管理消費者的選擇及語音、電子郵件、短信、彩信、Web、即時通信、P2P等各種服務的安全。
傳統而言,網絡罪犯對移動設備的興趣只是一閃而過,他們的注意力都集中在高回報的個人電腦上。除了缺少鮮明的特色,制造成功的移動威脅最主要的障礙便是市場上缺少占據明顯領先優勢的移動平臺,這就導致一個攻擊者不得不制造多個攻擊——每個攻擊針對一個平臺,從而提高成功率。但是,IDC預測,到今年年底,Android和AppleiOS設備預計將占有全球31%的市場份額。
隨著移動設備技術的日益精進以及一些移動平臺對市場的壟斷,攻擊者們在2011年不可避免地將攻擊重點放在移動設備上,而移動設備即將成為機密數據丟失的主要源頭。根據移動專家Mocana公司的研究,參與調查的企業中,65%的IT從業人員已經或將要定期關注針對智能移動設備的攻擊。
IDC還預測,截止2011年底,10億工作人員將會在部分時間處于移動狀態,或者在離開公司所在地的地點辦公。隨著這一情況的發生,企業將不得不采用新模式來應對由此產生的一系列挑戰,如云安全,進而實現在多平臺和設備之間工作的無縫鏈接。預計IT管理人員由于業務需要也會執行更加精細的網絡安全策略。
法規遵從超過數據泄露,將成為部署加密技術的首要原因
移動設備的大量使用使各企業面臨著新的挑戰,那就是對這些設備上以及通過這些設備存取的敏感數據的保護。此外,這些企業還必須遵從各種行業數據保護及隱私保護法規。
為了滿足一系列法規遵從的標準,企業面臨著越來越大的壓力。美國去年所頒布的醫療行業法規HITECH以及幾個州的立法都把目標指向數據保護。國際上,PCIDSS也更新到2.0版本。但是,盡管有各項規定的限制,當儲存著機密數據的移動設備丟失時,目前很多機構都選擇不公開這些丟失事件,這與它們對筆記本丟失事件的處理原則一樣。實際上,員工并不一定會將移動設備丟失的情況上報給上級。今年,我們預計監管者們會對此類事件采取嚴厲措施,而這些措施會促使各企業加強對加密技術的使用,尤其是在移動設備上使用加密技術。
PonemonInstitute的《2010年度研究報告》指出,《美國企業加密趨勢》研究表明,法規遵從第一次超過數據泄漏緩解,成為企業部署加密技術的首要原因。企業逐漸在數據泄漏之前,而不是之后,便開始調整他們的加密戰略。
2011年,我們將會看到各企業更積極地應用加密技術進行數據保護,從而滿足法規遵從,并避免數據泄漏導致的高額罰款及對品牌的破壞。
政治目的驅動下的攻擊將浮出水面
根據賽門鐵克CIP調查,超過一半的企業表示懷疑或相當肯定自己曾遭受過帶有特殊政治目的的攻擊。過去,這些政治目的驅動的攻擊主要出現在網絡間諜領域或針對網絡服務的拒絕服務類攻擊。在最近的一個例子中,攻擊者針對批評南亞某個政黨的博客和論壇發起了分布式拒絕服務攻擊。然而,隨著Stuxnet潘多拉盒子的打開,這些威脅將遠不止于間諜游戲或給人們帶來小煩惱這么簡單,武器化的惡意軟件將給人們的實際生活造成破壞。
Stuxnet是一種高度復雜的威脅,其目的是將工業控制系統的程序重新設定,即用來管理工業環境(如發電廠、煉油廠和天然氣管道等)的計算機程序。它是第一個已知的針對此類系統的惡意軟件。Stuxnet的終極目標是對與具體工業控制系統相連的物理設備進行操縱,使設備按照攻擊者所指示的方式運行,但與其預設的目的相悖。這種攻擊有多種潛在目的,但最大的可能是進行破壞,這種破壞會造成實際的損害。
雖然迄今為止Stuxnet的具體目標仍不得而知,但間接證據顯示,這種由資金雄厚的組織或某個國家創造的惡意軟件的攻擊目標是伊朗或伊朗境內的某個組織。鑒于這些事實,我們可以毫不夸張地假設這種病毒是受政治目的驅動的,這使得Stuxnet成為第一個旨在造成實際破壞、具有政治目的的網絡攻擊。
賽門鐵克認為Stuxnet可能只是某些人所說的以“網絡戰爭”為企圖的首個極為明顯的跡象,這種戰爭其實由來已久。2011年,更多旨在控制數字軍備競賽的跡象將浮出水面。
未來一年,我們將看到網絡安全方面許多新的發展,然而,也許最重要的是,安全行業將繼續迎接不斷變化的威脅環境的挑戰。可以肯定的是,新的安全技術將不斷出現,數十億計算機用戶將得到保護,從而使這些威脅不會入侵個人計算機和網絡系統、盜取個人的敏感信息、掠走個人的寶貴資產。事實上,整體的預測并非消極,打擊網絡犯罪的戰斗也將繼續下去,包括賽門鐵克在內的安全軟件公司將堅守在陣地前沿,時刻準備著在每條戰線上與網絡罪犯戰斗到底。
【編輯推薦】
