几大大企业网络安全威胁分析

几大大企业网络安全威胁分析

一、安全隐患：IPv6存在的攻击漏洞在从IPV4向IPV6过渡的过程中，企业面临着很多信息安全调整，安全专家表示。让情况更糟糕的是，一些攻击者已经开始使用IPV6地址空间来偷偷向IPV4网络发起攻击。Sophos公司的技术策略主管JamesLyne表示，众所周知，企业间从IPV4向IPV6过渡过程非常缓慢，而很多网络罪犯就钻了这个空子，很多攻击者在IPV6基础设施散步垃圾邮件并且利用了错误配置的防火墙的缺点。很多现代防火墙在默认配置下都是让IPV6流量自行通过的，Lyne表示。那些对IPV6流量不感兴趣的企业就会设立明确的规则来严格阻止IPV6数据包，IT管理人员需要“知道如何与IPV6对话”，这样他们就可以编写相应的规则来处理该协议。“从行业的角度来看，现在销售IPV6的方式是错误的，”Lyne表示，他指出关于该协议的内置功能如何帮助提高隐私性方面的问题很少有人探讨。相反的，对IPV6难以部署的普遍观念让企业很容易受到潜在攻击。从一般规则来看，IPV4和IPV6网络是并行运行的。具有传统IPV4地址的计算机不能访问在IPV6地址空间运行的服务器和网站。随着IPV4地址“逐渐衰败”，业内都鼓励企业转换到IPV6或者无法获取新IP地址。负责向亚太地区分配IP地址的亚太网络信息中心近日宣布所有新的地址申请将被分配IPV6地址。一位安全研究人员近日发现攻击者可能通过IPV6网站发动中间人攻击。InfoSec研究所安全研究人员AlecWaters表示，攻击者可以覆盖到目标IPV4网络上的“寄生”IPV6网络来拦截互联网流量，他的概念证明攻击只考虑了windows7系统，但是同样也可能发生在Vista、Windows2008Server和其他默认情况下开启了IPV6的操作系统上。为成功发动攻击，攻击者需要获取对目标网络的物理访问，并且时间足以连接到IPV6路由器。在企业网络的环境中，攻击者将需要连接IPV6路由器到现有的IP4枢纽，但是对于公众无线热点，就非常简单了，只需要用IPV6路由器就能发动攻击。攻击者的IPV6路由器将会使用假的路由器广告来为网络中启用了IPV6的机器自动创建新的IPV6地址。路由器广告的作用就像是IPV6地址的DHCP(动态主机配置协议)，它提供了一个地址池供主机来选择，根据SANS研究所首席研究官JohannesUllrich表示。在用户或者IT管理人员不知情的情况下，他们的机器已经变成IPV6猎物。虽然系统已经有一个企业分配的IPV4地址，但是因为操作系统处理IPV6的方式，系统会被打乱到IPV6网络。现代操作系统将IPV6默认为首选连接(如果系统同时被分配了IPV6和IPV4地址的话)。由于IPV6系统无法与企业真正的IPV4路由器进行连接，系统必须通过恶意路由器进行路由，Waters表示，攻击者然后可以使用一个通道来将IPV6地址转换到IPV4地址，例如NAT-PT，这是一个实验性IPV4到IPV6转换机制，但是因为存在很多问题，该机制并没有获得广泛支持。“但并不意味着它没有作用，”Waters表示。通过NAT-PT，具有IPV6地址的机器就可以通过恶意路由器访问IPV4网络，使攻击者对他们的互联网活动有了全面了解。，这种攻击的严重程度还存在争议，InfoSec研究所安全计划经理JackKoziol表示。根据常见漏洞清单，“IPV6符合RFC3484(IPV6协议)，以及试图确定RA的合法性目标仍位于主机操作系统推荐行为的范围外仍然存在争议。”不需要使用IPV6或者没有完成过渡的企业应该关闭所有系统上的IPV6，或者，企业应该“像IPV4一样对攻击进行监控和抵御”。二、钓鱼攻击成为主要安全威胁成功利用钓鱼邮件对安全企业(例如OakRidge和RSA等)造成的数据泄漏攻击为我们敲响了警钟，一些专家嗤之以鼻的低技术含量攻击方法也可能造成严重威胁。美国能源部研究实验室OakRidge近日宣布在发现在其网络中存在数据窃取恶意软件程序后，已经关闭了所有互联网访问和电子邮件服务。根据该实验室表示，这次数据泄漏事故源于一封被发送给570名员工的钓鱼攻击邮件。这封电子邮件伪装成该实验室的人力资源部门的通知，当一些员工点击嵌入在电子邮件中的链接后，恶意程序就被下载到他们的电脑中。这个恶意程序利用了微软IE软件中未修复的漏洞，并且目的是搜寻和窃取该实验室的技术信息，该实验室的工程师们正在努力研制世界上最快的超级计算机。OakRidge实验室的官方发言人形容这次攻击与安全供应商RSA遭受的攻击非常类似。RSA数据泄漏事故导致了RSA公司的SecurID双因素认证技术信息的被窃。而在本月初Epsilon发生的数据泄漏事故也被怀疑是有针对性的钓鱼攻击行为，这次事故是有史以来设计最多电子邮件地址的事故。分析家表示，攻击者能够利用低技术含量、假冒电子邮件的方法来渗透入这些受到良好保护的企业表明了有针对性的钓鱼攻击日益成熟，并且存在这样的趋势，企业认为单靠教育员工就能够缓解这个问题。“这并不让我感到惊讶，”安全公司Invincea公司创始人AnupGhosh表示，“几乎每个公开的和发表声明的高级持续性攻击都是通过钓鱼邮件开始的。”事实上，现在这类邮件似乎成为攻击者非法进入企业网络的首选方法，他表示。“你需要做的就是设立一个电子邮件目标，你只需要通过几次电机就能够在企业内部建立几个存在点，”Ghosh表示，“如果你企业有1000名员工，并且你教育他们不能打开不可信任的附件，还是会有那么几个人会打开。这并不是训练可以解决的问题。”让问题更严重的就是钓鱼攻击越来越复杂，分析师指出。越来越多的有组织的攻击团队开始使用精心设计的电子邮件来针对高层管理人员以及企业内部他们想要攻击的员工。在很多情况下，钓鱼邮件都是个性化的、本地化的，并且设计得好像是来自可信任来源一样。Ghosh表示，他上周就收到过类似的邮件。邮件发送到他的个人邮箱，看起来是一个好朋友发过来的邮件，包含一个能够打开朋友的女儿生日派对照片的链接。邮件甚至还包含朋友女儿的名字。邮件被标记为红色，但是Ghosh在点击链接后才发现红色标记。“随便看一眼就已经能够说服我去点击链接，”他表示。SpireSecurity公司的分析师PeteLindstrom表示，“最近很多攻击都是使用某种形式的钓鱼攻击，这个十分令人担忧，我们总是很容易在一些安全基础环节掉链子。”公司必须定期记录和监测网络是否存在这种钓鱼攻击造成的数据泄漏，他表示。在钓鱼攻击中，企业必须更注重响应和遏制，而不仅仅是预防，Securosis公司分析师RichMogull表示。在这种攻击中，企业常常面对的是拥有丰富资源、耐心和资金的对手。通常情况下，这样的对手都愿意不断尝试直到他们攻入系统网络。“几乎不可能阻止这样的人。”因此，IT安全人员应该注重最大限度地减少损失，Mogull表示。举例来说，企业应该考虑将网络进行区域划分，并在关键设备以及数据间建立“空间间隔”，以确保入侵者更难进入网络。同样重要的是，企业需要广泛地监控内部网络以确保数据没有泄漏出去。“有针对性的钓鱼攻击已经不都是低技术含量的攻击形式了，”Gartner公司分析师JohnPescatore表示。并且，越来越多来自社交网络(例如LinkedIn和Facebook)的信息被用于钓鱼攻击，这使钓鱼攻击更难被检测，他表示，“在这些社交网络上，有很多个人信息和朋友的名单，从这些信息中并不难获取非常私人的电子邮件地址，”Pescastore表示。此外，网络安全工作(特别是政府机构和研究实验室，如OakRidge)往往侧重于诸如URL阻止等问题，以防止内部员工访问色情或者非法网站，而不是阻止可疑的入站邮件。“这让他们更容易受到攻击，如果用户点击了钓鱼邮件的话，这也是员工经常发生的事情，”他表示，“25年试图通过宣传和教育来提升员工的安全意识的经验证明，这是无法杜绝的。”三、安全软件和服务并不安全?在我们电脑出现病毒，或者我们希望电脑可以抵御未知的安全风险时，我们常常想到的就是安全软件和服务。这些产品和服务似乎让我们感觉自己得到了保护。然而，近日国外的一项调查报告却揭示，实际上，我们的安全软件和服务也并非是“安全”的!你愿意接受这个残酷的事实么?近日Veracode发布的最新报告显示，测试的大部分安全软件和安全服务安全评分都“难以置信”的低，也就是所有商业软件中超过65%的安全软件服务安全状况并不理想。Veracode公司最新发布的软件安全状态报告显示客户支持软件比安全产品以及服务更糟糕，其中82%的应用程序评分都非常低，而相对的，安全软件和安全服务软件则是72%。Veracode扫描的所有商业软件中有66%的软件在第一次安全扫描中都得到了“无法令人接受”的低分，安全产品和服务软件的低分数是最令人震惊的。“这真的让我们很惊讶，”Veracode公司产品营销副总裁SamKing表示，该公司对超过4800个应用程序进行了扫描分析，“这也解释了最近在RSA、HBGary和Comodo发生的数据泄漏事故的原因，攻击者开始瞄准安全公司以及其他垂直行业，这里给我们的教训是：你无法想象的是，安全供应商可能都不安全。”然而，商业软件供应商都能够较为迅速地修复他们的产品，超过90%的供应商在Veracode调查后的一个月内让他们的产品达到“可接受”的分数。并且安全供应商更加迅速，平均在三天内就让他们的应用程序达到可接受的安全状态，Veracode调查显示。但是为什么安全供应商的软件在最初的扫描分析中安全状况如此之差呢?研究高级主管ChrisEng表示，问题在于安全供应商面临着与其他企业一样的挑战：拥有安全经验的开发人员并不多。“他们不一定具备安全专业知识，”他表示。在参加Veracode在线培训计划的安全基础知识考试中，超过50%的应用程序开发人员只拿到C或者更低的分数，而这个测试涵盖了常见威胁和其他安全基本概念。这个考试只是作为培训前的评估测试，超过30%的开发人员拿到D或者不及格，Veracode调查显示。“他们对于应用程序安全基础知识并不是很了解，而这些知识能够帮助你更好地了解我们报道的其他统计数据，”King表示。选择了Veracode公司的Java和.NET安全编码课程以及加密介绍课程的开发人员中，有35%到48%的开发人员得到C或者更低分数。“这些课程的及格率比应用程序安全基础知识的及格率要高一点点，所以这个消息很令人振奋：通过良好的培训与教育，他们能够有更好的表现，”King表示。这次调查的其他发现：19个web应用程序中有超过8个应用程序存在OWASP前十大常见漏洞，跨站脚本攻击仍然是应用程序中最多的漏洞。SQL注入攻击漏洞平均每季度较低了约2.4%。《关于2010-2011年度：中国电子商务系列研究报告定制的通知》作为国内专业电子商务研究机构，包括B2B领域的阿里巴巴、网盛生意宝、中国制造网、慧聪网、环球资源、金银岛、一达通、敦煌网等企业；B2C领域的京东商城、当当网、卓越亚马逊、新蛋中国、红孩子、凡客诚品(VANCL)、麦考林(麦网)、库巴购物网、苏宁易购、淘宝网、拍拍网、eBay易趣网、乐酷天、百度有啊、乐淘网、银泰网、珂兰钻石网等；支付领域的支付宝、财付通、环迅支付、百付宝、银联电子支付、快钱、易宝支付等；还有移动电子商务领域的中科聚盟、新网互联、汇海科技、亿美软通、天下互联、新网互联、用友伟库等，以及团购领域的拉手网、美团网、F团、窝窝团、阿丫团、24券、爱帮网、糯米网、腾讯“QQ”团、酷团网、大众点评网、淘宝“聚划算”等电子商务各领域典型企业，均为中心的重点研究与监测对象。据不完全统计：逾500家专注报道电商的媒体记者已注册为中心“特约记者”，第一时间密切关注引用本中心报告；累计5余万家电子商务及相关企业长期订阅、并引用报告数据；报告影响力辐射2000万家中小企业、5千万网购用户；并屡获包括国家统计局、商务部、工信部、工商总局、发改委、国新办、央行、海关总署在内的多部委引用、认可；累计不少于600家平面媒体独立