这个问题到底有多严重
Qualys公司是一家为全世界许多大型机构的系统寻找网络漏洞的公司,他们对于发现网络漏洞有着丰富的经验和卓越的能力。Qualys公司漏洞经理Amol Sawarte先生说到,“我们已经发现了Microsoft Office产品中的大量漏洞。”这些图表显示,从2006年2007年,这些产品中的漏洞增加了300%,尤其是Excel中的漏洞。在毫无戒心的用户打开通过邮件和即时信息发来的Excel文件时,这些漏洞就被攻击者利用了。
当系统成为新攻击目标的受害者时,多数情况下会感染间谍软件(包括按键记录器)。Webroot公司是最大的间谍软件查找与监控公司,对间谍软件如何传播进行跟踪。Webroot公司首席技术官Gerhard Eschelbeck先生说,“1,根据Webroot公司统计,自2007年1月以来,寄居在网站中的间谍软件数量增长了183%;2,感染窃取按键信息的间谍软件和木马程序的比例为31%,并且该比例还在继续上升;3,2007年9月对中小型公司的调查显示,有77%的公司表示他们的业务成功依赖于互联网,同时42.7%的公司声称由于感染间谍软件而受到损失。”
“TOP 20”将于11月28日在伦敦向大众发布,此次发布活动由SANS和英国国家基础架构保护中心(CPNI)赞助,届时200位著名的英国网络安全问题专家将出席此次活动并讨论相关对策。此次会议将于17:00时(协调世界时)开幕,并向媒体开放。
免费测试工具
和以前一样,Qualys公司将提供免费测试服务,使用户对“20大网络安全风险”进行检测。获得该免费测试服务,请登陆https://sans20.qualys.com。
今年,Applicure Technologies公司(一家网络应用防火墙提供商),将提供免费监控工具,此工具能够检测IIS服务器和Apache服务器受到的网络攻击。获得该免费工具,请登陆www.applicure.com/?page=Sans。
SANS研究所简介
SANS研究所是一家倍受信赖,也是现今世界最大的信息安全培训与认证机构。到目前为止,SNAS研究所已经培训了超过65,000千名信息安全专家。同时,SNAS还开发、维护和免费提供最全面的信息安全研究文献。SNAS研究所还负责运营着互联网预警系统-互联网风暴中心。SANS研究所成立于1989年,并致力于合作研究和教育,其项目覆盖全球215,000名信息安全专业人士。通过SNAS研究所,监控员、网络管理员和首席信息安全官共同分享经验教训,寻求解决方案。SANS研究所的核心就是世界众多机构的信息安全专家,无论来自公司还是大学,通力合作,共同维护信息安全。
(能够帮助您了解20大网络安全风险的)信息安全专家:
Alan Paller,SANS研究所研究总监
联系电话:301-951-0102 x108
Email:apaller@sans.org
Rohit Dhamankar
TippingPoint公司安全研究高级经理,“SANS Top 20项目”项目经理
Email:rohitd@tippingpoint.com
Mark Osborn,英国,国家基础架构保护中心(CPNI)
Email:marko@cpni.gsi.gov.uk
以及:
Johannes Ullrich(主动攻击领域),SNAS互联网风暴中心首席技术官
Email:jullrich@sans.org
Marcus Sachs(主动攻击领域),SNAS互联网风暴中心和Verizon公司总监
Email:marc@sachs.us
Ed Skoudis(黑客查找领域),Intelguardians创始人,SNAS事件处理与黑客查找课程总监
Email:ed@intelguardians.com
Gerhard Eschelbeck,(间谍软件领域)Webroot公司首席技术官
Email:gerhard@eschelbeck.com
Amol Sarwate,(漏洞样式领域),Qualys公司
Email:asarwate@qualys.com
SNAS2007年20大互联网安全风险总览。
最新而且最难防范的风险:
1. 网络应用中的致命漏洞,导致网站被感染,网站数据丢失,也使得连接于该网站的电脑处在危险之中
最佳防范措施:网络应用防火墙,网络应用安全扫描器,应用源代码测试工具,应用渗透测试服务,而最重要的就是正式的政策,重要的网络应用应通过验证的安全过程进行开发,并且只由那些(通过测试)证明其具有编写安全应用程序的技能与知识的软件开发商编写网络应用程序。
2. 易受骗的、忙碌的、以及新的电脑用户,包括高级管理人员、IT员工以及其他具有访问特权的人,他们可能在含有钓鱼软件的邮件中按其指令进行操作,从而导致银行账户损失,全球主要军事系统以及政府承包商处于危险之中,以及商业间谍行为等。
最佳防范措施:这是最具挑战性的风险,所以安全知识培训是非常重要的,但同时也不能完全解决该问题。可以采取两种方法加以防范:(a), “演习”---定期给用户发送无恶意的钓鱼邮件,测试用户反映。对于防范意识薄弱者进行教育或开除。(b)此问题无法彻底杜绝,因此应该不断监控网络流量和系统,及时发现入侵问题。
其他日益严重但能够采取合理的技术措施进行防范的网络安全问题:
3. 公司内外的个人电脑中软件的致命漏洞(客户端漏洞)会导致公司系统瘫痪,使系统成为僵尸网络(Botnet),并使得这些电脑被当作后门,供攻击者窃取大型机构信息和控制其服务器。
l 互联网浏览器
l 办公软件
l 邮箱用户
l 媒体播放器
最佳防范措施:严格对所有应用程序进行安全配置(在安装程序时),始终对应用程序和系统软件的补丁安装和升级过程进行验证,始终对漏洞进行扫描并对找出的问题迅速提出解决方案,严格配置防火墙和防入侵系统,在网关和电脑中及时更新杀毒软件和防间谍软件。
4. 为电脑用户提供操作环境及主要服务的软件和系统中的重要漏洞(服务器端软件)
l Windows服务
l Unix和Mac(苹果)操作系统服务
l 备份软件
l 杀毒软件
l 管理服务器
l 数据库软件
l VOIP服务器
最佳防范措施:(与第3组基本相同)严格对所有应用程序进行安全配置(在安装程序时),始终对应用程序和系统软件的补丁安装和升级过程进行验证,严格配置防火墙和防入侵系统。
5. 导致恶意软件进一步侵害系统并使大量数据丢失的政策和执行问题
l 过度的用户权利以及未授权设备
最佳防范措施:“无例外”政策,始终进行监控,并制定实质性的处罚措施。
6. 对于受用户欢迎的应用程序的滥用,导致用户和服务器处于危险之中,敏感数据丢失,以及利用公司系统进行非法活动,比如提供儿童色情服务。
l 即时信息
l 点对点程序
最佳防范措施:只使用安全版本的工具,或彻底禁止使用。
7. 零日攻击
最佳防范措施:创建具有“全部拒绝,部分允许”防火墙规则的,更严格的外围配置,并重新设计网络,以保护内部系统不受面向于互联网的系统的侵害。
底线:对于系统的保护,我们还有哪些没有做?
对于防范20大网络安全风险的最佳措施:
1) 配置系统。从第一天开始就采用最安全的配置,并利用自动控制限制用户安装/卸载软件。
2) 使用自动控制来保证系统处于安全配置中,即时、全面地安装软件最新版本的补丁(包括即时更新杀毒软件)。
3) 在您的边界网络使用代理,并对所有用户服务进行配置(比如HTTP, HTTPS, FTP, DNS),从而必须先通过这些代理才能够使用互联网。
4) 通过加密,数据分级进行通路控制,以及数据泄漏自动保护措施,对敏感数据进行保护。
5) 使用自动“演习”,提高安全意识,对违反使用政策的人进行处罚。
6) 通过防火墙对非军事区(DMZ)进行划分。
7) 通过测试编写人的安全知识以及测试软件的缺陷,来消除安全缺陷。
总而言之,通过自动控制和测试进行辨别和验证。
