企業(yè)網絡安全威脅大(dà)揭秘 λ' 2024-04-18
摘要(yào) :
對(duì)于企業(yè)來(lái)說(shuō),木(mù)馬、黑(hēi)ε®↑客、病毒等網絡安全威脅已經成為(wèi)信息安全的(÷♠de)重大(dà)隐患。為(wèi)了(le)保護企業←¥(yè)數(shù)據的(de)安全,就(jiù)要(yào)清楚目前來(lái)自(z≠₹ì)網絡的(de)主要(yào)威脅都(dōu)有(yǒu)哪些(xiē)。
一(yī)、安全隐患:IPv6存在的(de)攻擊漏洞
在從(cóng)IPV4向IPV6過渡的(de)過程中,企業(yè)面'<←&臨著(zhe)很(hěn)多(duō)信÷↔息安全調整,安全專家(jiā)表示。讓情況更糟糕的(de)§£★是(shì),一(yī)些(xiē)攻擊φ₩'★者已經開(kāi)始使用(yòng)IPV6地(dì)址空(kōng)間(jiān)φ 來(lái)偷偷向IPV4網絡發起攻擊。
Sophos公司的(de)技(jì)術(shù)策略主管James Lyne表示,衆所周知(♥↕¥zhī),企業(yè)間(jiān)從(cóng☆γγ)IPV4向IPV6過渡過程非常緩慢(màn),而很(hěn)多(du→&ō)網絡罪犯就(jiù)鑽了(le)這(zhè)個(gè)空(kōng)子↑✘✘ (zǐ),很(hěn)多(duō)攻擊者在IPV6基礎設施散步垃圾₽↓♦φ郵件(jiàn)并且利用(yòng)了(l σ₹e)錯(cuò)誤配置的(de)防火(huǒ)牆的(d≥≠e)缺點。
很(hěn)多(duō)現(xiàn)代防火(huǒ)牆在默認配置下(xià♥φ)都(dōu)是(shì)讓IPV6流量自(zì)行(xíng)通(tōng)過的(de),Lyn©€e表示。那(nà)些(xiē)對(duì)IPV★•δ6流量不(bù)感興趣的(de)企業(yè)就(ji€≥ù)會(huì)設立明(míng)确的(de)規則來(lái)嚴∞↓α≈格阻止IPV6數(shù)據包,IT管理(lǐα≈☆§)人(rén)員(yuán)需要(yào÷®±)“知(zhī)道(dào)如(rú)何☆₹÷≥與IPV6對(duì)話(huà)”,這(zhè)樣他(tΩ₹ā)們就(jiù)可(kě)以編寫相(xiàng÷<≤)應的(de)規則來(lái)處理(lǐ)β↔☆β該協議(yì)。
“從(cóng)行(xíng)業(yè)的(de)角度來(lái)看("ε¶kàn),現(xiàn)在銷售IPV6的(de)方♦±式是(shì)錯(cuò)誤的(de),”L ±yne表示,他(tā)指出關于該協議(yì)的(de)內(nèi♣€)置功能(néng)如(rú)何幫助提高(gāo)隐私Ω™♥性方面的(de)問(wèn)題很(hěn)少(shǎ÷₽o)有(yǒu)人(rén)探討(tǎo)。γπ相(xiàng)反的(de),對(duì)IPV6'₹"$難以部署的(de)普遍觀念讓企業(yè)很(hěn)¶™β₹容易受到(dào)潛在攻擊。
從(cóng)一(yī)般規則來(lái)看(kàn),IPV4和(φ'hé)IPV6網絡是(shì)并行(xíng)運行(xíng)的(de)。具δ€↕有(yǒu)傳統IPV4地(dì)址的(de)計(jì)算(s₹✘uàn)機(jī)不(bù)能(néng)訪問(wèn)在IPV6地(dì)址空(kōngδ)間(jiān)運行(xíng)的(de)服↑★←務器(qì)和(hé)網站(zhàn)。随著(£φzhe)IPV4地(dì)址“逐漸衰敗”,業(yè)內(nèi)都(dōu)鼓勵企業' ™(yè)轉換到(dào)IPV6或者無法獲取新IP地(dì)址。負責向亞太地(dì)α®區(qū)分(fēn)配IP地(dì)址的(de)亞太網絡信息中心近(jìn÷β♥)日(rì)宣布所有(yǒu)新的(de)地(dì)址申請(qǐng€&&)将被分(fēn)配IPV6地(dì)址。
一(yī)位安全研究人(rén)員(yuán)近(jìn)日(rì÷₩)發現(xiàn)攻擊者可(kě)能(n鮩←≥ng)通(tōng)過IPV6網站(zhàn)發動中間(jiān)人(rén)攻擊β。InfoSec研究所安全研究人(rén)員(yuán)Alec Waters表示,攻擊者可(kě→•♠→)以覆蓋到(dào)目标IPV4網絡上(shàng)的(de)“寄生(shē★↔ng)”IPV6網絡來(lái)攔截互聯網流量,他(tā)的(d™¶e)概念證明(míng)攻擊隻考慮了(le)windows 7系®"統,但(dàn)是(shì)同樣也(yě)可(kě∏'↔)能(néng)發生(shēng)在Vista、W↑•indows 2008 Server和(hé)★€ 其他(tā)默認情況下(xià)開(kāi)啓了(le)IPV6的(de)操作(zuò)系統上(s↕✔¶"hàng)。
為(wèi)成功發動攻擊,攻擊者需要(yào)獲取對(duì)目标網絡的π(de)物(wù)理(lǐ)訪問(wèn),并且時(shí)間(jiān)足以連接到(dào)IPγφ☆V6路(lù)由器(qì)。在企業(yè)網絡的(→♣de)環境中,攻擊者将需要(yào)連接IP₽α♠V6路(lù)由器(qì)到(dào)現(xiàn)有(yǒu)的(de)IP4樞紐,但(dàn)♦×>€是(shì)對(duì)于公衆無線熱(rè)點,就(jiù)非常簡單了(le),隻需要×™(yào)用(yòng)IPV6路(lù)由器(qì)就∞®>(jiù)能(néng)發動攻擊。
攻擊者的(de)IPV6路(lù)由器(qì)将會(huì)使用(yòng)$假的(de)路(lù)由器(qì)廣告來(lái)為(wèi)網絡中啓用(yòn≥λ ☆g)了(le)IPV6的(de)機(jī)器(qì)自(z£©ì)動創建新的(de)IPV6地(dì)址。
路(lù)由器(qì)廣告的(de)作(zuò)用(yòng)就(jiù)☆•₩₹像是(shì)IPV6地(dì)址的(de)D☆<HCP(動态主機(jī)配置協議(yì)),它提供了(le)一(yī)個(gè)地(dì)址池←∞×→供主機(jī)來(lái)選擇,根據SANS研究÷所首席研究官Johannes Ullrich ™表示。在用(yòng)戶或者IT管理(lǐ)人(r™&én)員(yuán)不(bù)知(zhī)情的(de)情況下(xià¥≠β≠),他(tā)們的(de)機(jī)器(qì)已經變成IPV6獵物(wù)。↑≤φ
雖然系統已經有(yǒu)一(yī)個(gè)企業(yè)分(fεπēn)配的(de)IPV4地(dì)址,但(dàn)是(shì)因為(wèi)操作(zuò)系統π處理(lǐ)IPV6的(de)方式,系統會(huì©↑₹≠)被打亂到(dào)IPV6網絡。現(xiàn)代操作(zuò)系統将IP♠ V6默認為(wèi)首選連接(如(rú)果系統同時(shí)被分(fēn)配了(le)IPV6☆≥和(hé)IPV4地(dì)址的(de)話(huà®φ♣))。
由于IPV6系統無法與企業(yè)真正的(de)IP♦♠±αV4路(lù)由器(qì)進行(xíng)連接,±•♣系統必須通(tōng)過惡意路(lù)由器(qì)進行(xínφλ↑αg)路(lù)由,Waters表示,攻擊者然★♥後可(kě)以使用(yòng)一(yī)個(gè)通(tōng)道(dào)來(lái)将IPV6©←α地(dì)址轉換到(dào)IPV4地(dì)址,例如(rú)NAT∏ σ₩-PT,這(zhè)是(shì)一(yī)個(gè)實驗性IPV4到(dào)IPV6轉換♠δ機(jī)制(zhì),但(dàn)是(shì♣ε₽¶)因為(wèi)存在很(hěn)多(duō)問(wèn)題,該機(jī ≥)制(zhì)并沒有(yǒu)獲得(de)廣泛支持。
“但(dàn)并不(bù)意味著(zhe)它∞★<←沒有(yǒu)作(zuò)用(yòng), ∑”Waters表示。
通(tōng)過NAT-PT,具有(yǒu)IPV6地(d ±★ ì)址的(de)機(jī)器(qì)就(jiù)可(kě)以∞≤✘通(tōng)過惡意路(lù)由器(qì&™≠)訪問(wèn)IPV4網絡,使攻擊者對(duì)他(tā)們的(d≠✔'e)互聯網活動有(yǒu)了(le)全面了(le)解。,
這(zhè)種攻擊的(de)嚴重程度還(hái)存在争議(yì>ππ),InfoSec研究所安全計(jì)劃經理(lǐ)Jack Koziol表示。根據常β 見(jiàn)漏洞清單,“IPV6符合RFC 348 ≤♥4(IPV6協議(yì)),以及試圖确定RA的(de)合β↔法性目标仍位于主機(jī)操作(zuò)系統推薦行(xíng)為(wèi)的(de)範圍外(wài•γ&★)仍然存在争議(yì)。”
不(bù)需要(yào)使用(yòng)IPV γ6或者沒有(yǒu)完成過渡的(de)企€φ業(yè)應該關閉所有(yǒu)系統上(shàng)的(de)IPV♣∞δδ6,或者,企業(yè)應該“像IPV4一(yī)樣對(σ$duì)攻擊進行(xíng)監控和(hé)抵禦”。
二、來(lái)自(zì)客戶和(hé)合作(zuò)夥伴的(de)安全威脅
雖然企業(yè)盡其全力确保了(le)自(zì)身(shēn)網絡安全,但(dàn)在電(dià≥ ∞n)子(zǐ)商務和(hé)網上(shàng)銀(→ yín)行(xíng)的(de)時(shí)代,這(£☆zhè)些(xiē)還(hái)遠(yuǎn)遠(yuǎn)不(bù)夠。IT管"♥理(lǐ)人(rén)員(yuán)應該要(yào)問(wèn):與我們業(yè)務往來(l®★ái)的(de)合作(zuò)夥伴的(de)安全保護工(gōng)作(zuò)是₽$•(shì)否到(dào)位?
答(dá)案可(kě)能(néng)是(shì)否定♦★α的(de),因為(wèi)客戶和(hé)業(yè)務合作¶"↕≥(zuò)夥伴并沒有(yǒu)實現(xiàn)安全數(shù)據共享,例如(rú)使•α→用(yòng)加密來(lái)保護敏感信息。當他(tā)們的(de)計(jì)算(suà↑"≥n)機(jī)被攻擊者攻擊或者他(tā)們的(de☆®)員(yuán)工(gōng)以不(bù)合法規的(de)方式發送敏感&™★數(shù)據時(shí),這(zhè)自(zì)然也(yě)Ω©會(huì)成為(wèi)你(nǐ)們公司的(de)€©問(wèn)題。
在醫(yī)療保健行(xíng)業(yè),與個(gè)人(rén)醫(£×yī)療信息和(hé)個(gè)人(rén)身(♠ "shēn)份信息有(yǒu)關的(de)數(shù)α≥✔據必須通(tōng)過加密後才能(néng)發送給業(yè)務合作(zuò)夥伴π♦←,Lutheran Life Communities(醫(yī)療保健供應商,160✘>∑→0名員(yuán)工(gōng),為(wèi)老(lǎo)年$→₩(nián)人(rén)提供醫(yī)療保健、家(jiā)庭護理(lǐ)等服務)的(de)信息技(≈α≤jì)術(shù)主管Richard DeRoche表示。
該醫(yī)療保健供應商安裝了(le)數(shù)據丢失防護設備來(lái)确保個(gèεγ∏π)人(rén)醫(yī)療信息和(hé)個(gè)人≥ φ₹(rén)身(shēn)份信息數(shù)據傳輸安₽$β¥全進行(xíng),但(dàn)是(shì)令人(rén)驚訝的(de)是(shì),最終是(s™πφhì)業(yè)務合作(zuò)夥伴的(de)問(wèn)題導緻數(shù)據洩漏。
“85%到(dào)90%的(de)數(shù)據洩漏是(shì)入站(zhàn)的(d∏↔ e),”DeRoche指出,雖然Lutherφ¥an Life的(de)員(yuán)工(gōng)遵守加" ✔密敏感數(shù)據的(de)規則,但(dàn)↔是(shì)該供應商的(de)合作(zuò≤•§)夥伴确實犯下(xià)最大(dà)錯(cuò)誤的(de)一(yī)方,真是(shì)防不↔λ§δ(bù)勝防。
這(zhè)引起了(le)Lutheran Life法★♣律部的(de)辯論,關于公司是(shì)否應該接受看(kàn)似違反了(le)HIPAA以及H ∞∞±ITECH法案的(de)電(diàn)子(zǐ)郵件(jiàn),這(zhè)些(xiē)法案都(<Ω £dōu)會(huì)對(duì)違規者進行( ε♦Ωxíng)罰款。
DeRoche表示,公司已經決定開(kāi)始向違反其安全和(h→÷é)隐私政策的(de)電(diàn)子(zǐ)郵件(jiàn)發送者發送警告信息,∑$'©信息中稱本公司無法接受這(zhè)種形式的(de)信息。他(tā)指≤¶出,有(yǒu)必要(yào)建立更多(duō)的(d•♥®βe)業(yè)務夥伴協議(yì),以防止類似問(wèn)題再次發生(shē≥§ng)。
像許多(duō)公司一(yī)樣,Lutheran Life Communi♠♣♦ties發現(xiàn)很(hěn)難讓業(yè)務夥伴使用(yòng)加密技(jì)術(s ≈↔hù),建立的(de)微(wēi)軟SharePoint≈✔♥作(zuò)為(wèi)業(yè)務夥伴共享機★∞πβ(jī)密信息的(de)外(wài)部端口,這(zh★&λ✔è)個(gè)系統是(shì)使用(yòng)密♥δ碼和(hé)加密的(de)系統,但(dàn)是(shì)對(duì)'"最終用(yòng)戶卻不(bù)實用(y™®←òng)。
銀(yín)行(xíng)業(yè)也(yě)是(shì∏↓↔)同樣的(de)情況,其他(tā)人(rén)犯的(de)錯(cuòδ÷)誤可(kě)能(néng)帶來(lái)不(bù)必要(yào)的(←≠☆de)麻煩。
網絡罪犯很(hěn)擅長(cháng)欺騙零售業(yè)和(hé)企業(yè)網上(♠ shàng)銀(yín)行(xíng)客'≤戶,有(yǒu)時(shí)候他(tā)們會(huì)精心設計(jì)騙局來(lái)引誘受害$₽π♥者電(diàn)機(jī)假冒釣魚網站(zhàn)來(lái)竊取賬戶信息或者使用(π♣§×yòng)木(mù)馬軟件(jiàn)劫持個(gè)人(rén)電(di ¥àn)腦(nǎo)來(lái)通(tōng)過自(zì)動₩α×清算(suàn)系統服務進行(xíng)欺詐交β§↓易。
罪犯可(kě)以遠(yuǎn)程通(tōng)過受∏₩ §害者的(de)電(diàn)腦(nǎo)發起大(dà)金(jīn)額支付,而這£"±λ(zhè)些(xiē)未經授權的(de)付款最終由錢(qián)螺幫助他(tā)們σ↑€≠兌現(xiàn)(錢(qián)騾指通(tōng)過因特網将用(yòng)詐騙等不(bù)正λ←✘當手段從(cóng)一(yī)國(guó)得(de)來(lái£'λ♠)的(de)錢(qián)款和(hé)高(gāo)價值貨物(wù)轉移到(d¶αào)另一(yī)國(guó)的(de)人(rén),款物(wù✘£γ)接收國(guó)通(tōng)常是(shì)詐騙份子←₽♦(zǐ)的(de)居住地(dì))。當企業(yè)銀(←♦yín)行(xíng)客戶發現(xiàn)這(zhè)種情況發生(shēng)時( ₹shí),他(tā)們不(bù)得(de)不(bù)請(qǐng)銀(yín)λ∞∏<行(xíng)幫忙,而根據法律,企業(yè)客戶對(φ'✔duì)于網上(shàng)銀(yín)行(xíng)操作(zuò)并沒有(yǒu)相(xiλ'$àng)同的(de)欺詐保護。
一(yī)些(xiē)銀(yín)行(xíng)正在嘗試更有(yǒu)效的(de)辦法來(lá∏ i)制(zhì)止這(zhè)種類型的(de)攻擊對(duì)他(t£→↑¶ā)們的(de)客戶和(hé)銀(yín)行(xíng£≠α)體(tǐ)系的(de)損害。
例如(rú),美(měi)國(guó)費(fèi)爾菲爾德縣銀(yín)行(☆Ω&xíng)決定,為(wèi)了(le)阻止攻擊行(xíng)為(wèi),他(tā)們要(y ₽ào)求其企業(yè)自(zì)動清算(suàn)系統銀(≤ ÷♠yín)行(xíng)客戶(約80家(jiā)公司,幾百名終端用(yò∞₹♥πng)戶)使用(yòng)特定的(de)安全保護來(lái)保護✘ ACH支付。
該銀(yín)行(xíng)的(de)所有(yǒu)客戶都(d×ōu)會(huì)獲得(de)一(yī)個(gè)IronKey Trusted ≥•Access作(zuò)為(wèi)網上(shàng)銀(yín)行(xíng)令牌,這(z÷™hè)是(shì)一(yī)個(gè)安全₹σ的(de)USB令牌,可(kě)以通(tōng)過Ω₹IronKey雲服務來(lái)管理(lǐ)。這(βαzhè)種令牌保護能(néng)夠通(tōng)過創建一(yī)個(gè)獨立于用(yòβ₽ng)戶操作(zuò)系統的(de)受控制(zhì<↔)的(de)在線工(gōng)作(zuò)®☆♣環境防止鍵盤記錄和(hé)基于浏覽器(qì)的(de)攻擊以及惡意軟件(ji$↕àn)。
“這(zhè)将是(shì)必需的(de),” 該銀(yín)₽$行(xíng)助理(lǐ)副總裁、現(xiàn)金(jīn)管理(lǐ)辦公室和(hé)電←®γ(diàn)子(zǐ)銀(yín)行(xíng)業(yè) σ∞務Christina Bodine表示。
她(tā)表示,這(zhè)種強制(zhì)性安全設備将有(yǒu)助于保護客戶和(hé)區≠™(qū)分(fēn)銀(yín)行(xí™π©∏ng)的(de)服務。像其他(tā)銀(✔∑σyín)行(xíng)一(yī)樣,該銀(yín)行(xíng)建議(y★¶¥≈ì)客戶使用(yòng)專門(mén)的(de)電(diàn)✔♦∏♦腦(nǎo)進行(xíng)資金(jīn)轉賬。
三、有(yǒu)補丁不(bù)打,四分(fēn)之一(yī£)SSL網站(zhàn)有(yǒu)風(fēng)險>φ∑
在互聯網工(gōng)程任務組(Internet Engi₩$neering Task Force ,IETF)發布修複SSL協議(yì)中存在♣γ∞☆的(de)漏洞(主要(yào)影(yǐng)響服務器(qì)、浏覽器(qì)、智能(n$↔ éng)卡和(hé)VPN産品,以及很(hěn)多(duō)低(dī←§₽)端設備,如(rú)攝像頭等)的(de)安全補丁的(de)一(yī)年(nián)多÷↓€γ(duō)後,仍然有(yǒu)四分(fēn)φεα之一(yī)的(de)SSL網站(zhàn)沒Ω®©有(yǒu)安裝這(zhè)個(gè)補丁,><這(zhè)讓這(zhè)些(xiē)網站(zhàn)很(hěn)容易收到(dào)中間(£≥∞jiān)人(rén)攻擊。
Qualys公司的(de)工(gōng)程主管Ivan Ristic近(jì♣ n)日(rì)對(duì)120萬個(gè)啓用(yòng)SSL網站(±Ωzhàn)服務器(qì)進行(xíng)了(le)調查,其中發現(xià♠↔₩n)超過25%的(de)網站(zhàn)沒有('᧩yǒu)運行(xíng)所謂的(de)安全的(de)renegotiation。Risπ©¶₽tic還(hái)發現(xiàn),在Alexa排名前100萬的(®∑€de)網站(zhàn)中的(de)30萬個(gè)網站(zhàn)中®₹®♠,有(yǒu)35%容易受到(dào)這(zhè)種類型的(de)攻擊,這(zh ÷αè)種攻擊主要(yào)是(shì)利用(yòng)了(le)SSL認證過程中存在的(α¶de)問(wèn)題,可(kě)以讓攻擊者發動中間(jiān)人☆¶ε(rén)攻擊,并将攻擊者自(zì)己的(de)文(wén)本注入到(dào)已加×ε密的(de)SSL會(huì)話(huà)中。這(zh'πλ©è)個(gè)問(wèn)題主要(yào)存在于renegotiation過程中 ,有(yǒu)些(xiē)應用(yòng)程序要(yào)求對(duì)加密過程進行(xíng∞<♦☆)更新。
為(wèi)了(le)解決這(zhè)個(g→"★≈è)問(wèn)題,互聯網工(gōng)程任務組聯手促進互聯網&λ↑♠安全企業(yè)論壇以及一(yī)些(xiē)供應商,例如(rú)谷歌(gē)、微(wē ≠€i)軟和(hé)PhoneFactor,發布SΩ✘SL的(de)修複補丁,也(yě)就(jiù)是(shì)互聯網工(gōng)程任務組标λ₹準中的(de)傳輸層安全(TLS)。這(zhè)個(gè)修複補丁(ε¶傳輸層安全TLS Renegotiation Indication Extension)于♠ ₹2010年(nián)一(yī)月(yuè)發布。
“令人(rén)感到(dào)意外(wài)的(de)是(β¥$αshì),頂級網站(zhàn)的(de)安全狀況比一(yī)般網站(zhàn)的(de)<£÷還(hái)要(yào)差,”Ristic對(duì)調查結果表示。
Ristic表示,這(zhè)些(xiē)容易受到(dào)攻擊的(de)網站( ✘↕zhàn)基本上(shàng)沒有(yǒu) δφ修複這(zhè)個(gè)漏洞。“在修複補丁後,才能(néng)夠确保安全進行(₩←φxíng)renegotiation,”他(tāαβ)表示,“這(zhè)些(xiē)漏洞系統也(yě)可(kě)以部☆↔→ε署其他(tā)解決方法,通(tōng)過禁用(yòng)客戶端發起的(de)renegotiati'>on,但(dàn)是(shì)他(tā)們也(yě)沒有(yǒu)這(zhè)樣做(zuò<<÷©)。”
發現(xiàn)這(zhè)個(gè)漏洞的(de)PhoneFactor公 ¶✔₩司的(de)Marsh Ray表示,這(zhè)些(xiē)數(shù)>☆★©據說(shuō)明(míng)了(le)修複漏洞方面的(de)場(chǎng)景安全狀況,“有(y§€↓ǒu)一(yī)定數(shù)量的(de)δφ→™網站(zhàn)會(huì)立即修複漏洞,然後修複後就(jiù)沒有(yǒu)采± ★'取任何行(xíng)動了(le)。”
Ray表示,“我們已經盡了(le)全力,我們讓供應商及時(sh≤•≥₽í)地(dì)提供修複補丁。你(nǐ)可(kě)以把馬帶到(dào∑≥£)湖(hú)邊,但(dàn)是(shì)你(nǐ)不(bù)能(néng)命令它Ω©'喝(hē)水(shuǐ)。”
SSL安全問(wèn)題一(yī)直受到(dào)廣泛關注,首先±£♦ε是(shì)研究人(rén)員(yuán)Moxie Ma&→∑ rlinspike制(zhì)造的(de)中間(jiān)人(r↓☆én)攻擊,誘騙用(yòng)戶認為(wèi)他(tā)正處于♣∏λ一(yī)個(gè)HTTPS會(huì)話✘©÷¶(huà)中,而實際上(shàng)他(tā)已經被攻擊者重定向>到(dào)其他(tā)位置。随之而來(lái)的(de)是(shì)研究€ε ↑人(rén)員(yuán)Dan Kaminsky的(d••£e)研究,他(tā)發現(xiàn)了(le)SSL中使用(yòng)的✔$§€(de)X.509數(shù)字證書(shū)技(jì)術(shù)存在的(de $§≈)關鍵漏洞。
“我認為(wèi)沒有(yǒu)辦法讓個(gè)人(rén)≥≥→用(yòng)戶大(dà)幅度改善SSL部署情況。存在太多(duō)問(wèn)題,而且根本沒♣¥♥有(yǒu)人(rén)在乎。我覺得(de)我們應該将側重于庫開±×(kāi)發人(rén)員(yuán)(舉例來(lái)™λ說(shuō))OpenSSL,讓他(tā)們移除過時(shí≥♠&)的(de)功能(néng),并且讓軟件(jiàn)供應商确保默認情況下(xià)開(φαkāi)啓了(le)必要(yào)的(de)安全功能(néng♣×¥<),”Ristic表示。
他(tā)表示,從(cóng)長(cháng)遠(yu<✔ǎn)來(lái)看(kàn),将需要(yào)其他(tā)方法來(láβ∏i)幫助确保SSL部署的(de)安全。“從(cóng)長(chán★>✘ g)遠(yuǎn)來(lái)看(kàn),谷歌(gē)使用(yòn ¥g)的(de)方法肯定會(huì)變得(deπ<≥≈)非常流行(xíng),他(tā)們正在通(tōn ™₩g)過改善性能(néng)來(lái)實現(xiàn)安全的(de)改"&進。例如(rú),他(tā)們的(de)SPDY協議"(yì)在默認情況下(xià)是(shì)100%加密α♣的(de)。所以,所有(yǒu)轉移到(dào)SPDY獲取更好(h✔ǎo)性能(néng)的(de)用(yòng)戶還(hái)将獲得(de)更好(hǎo)的(de★βδ)安全,”Ristic指出,“總體(tǐ)來(™→lái)說(shuō),我們的(de)共同努力,SP≥↔εDY、DNSSEC、HSTS以及類似的(÷>₹de)較小(xiǎo)的(de)協議(yì)改進都(dōu)将幫助我們實現(xiàn)更好✘<€'(hǎo)的(de)安全。”
四、釣魚攻擊成為(wèi)主要(yào)安全威 Ω≥₽脅
成功利用(yòng)釣魚郵件(jiàn)對(duì)安全企業(yè)(例如(rú)Oak Riε£₽↑dge和(hé)RSA等)造成的(de)數(shù)據洩漏攻擊為♠₹&←(wèi)我們敲響了(le)警鐘(zhōng),一(yī)些(xiē)×® 專家(jiā)嗤之以鼻的(de)低(dī)技(jì)術(shù)含量攻γ<擊方法也(yě)可(kě)能(néng)造∏↓φ成嚴重威脅。
美(měi)國(guó)能(néng)源部研究實驗室Oaε↔¶★k Ridge近(jìn)日(rì)宣布在發現(xiàn)在其網絡中存在數(shù)©>₩據竊取惡意軟件(jiàn)程序後,已經關閉了(le)所有(yǒu)互聯網訪問(wèn)和(hé)>≈電(diàn)子(zǐ)郵件(jiàn)∞¥↓Ω服務。
根據該實驗室表示,這(zhè)次數(shù)據洩漏事(shì↕←)故源于一(yī)封被發送給570名員(yuán)工(gōng)的(de)釣€εεπ魚攻擊郵件(jiàn)。這(zhè)封電(diàn)子(zǐ)郵&→¥件(jiàn)僞裝成該實驗室的(de)人(rén)力資源部門(méσ≤Ωn)的(de)通(tōng)知(zhī),當一(>ε♥yī)些(xiē)員(yuán)工(gōng)點擊嵌入±Ω®在電(diàn)子(zǐ)郵件(jiàn)中的(de)鏈接後,惡意程±♥序就(jiù)被下(xià)載到(dào)他(tā)們的(de)÷$§電(diàn)腦(nǎo)中。
這(zhè)個(gè)惡意程序利用(yòng)了(le)微(wēi)軟IE軟件(jiàn)中未←修複的(de)漏洞,并且目的(de)是(shì)搜尋和(hé)竊取該實>✔↔驗室的(de)技(jì)術(shù)信息,該實驗室的(d≥§♦σe)工(gōng)程師(shī)們正在努力研制(zhì)世界上(shàng)最快(kuài)☆↑的(de)超級計(jì)算(suàn)機(jī)。
Oak Ridge實驗室的(de)官方發言人(rén☆↓€©)形容這(zhè)次攻擊與安全供應商RSA遭 δ受的(de)攻擊非常類似。
RSA數(shù)據洩漏事(shì)故導緻了(le)RSA¥☆σ¶公司的(de)SecurID雙因素認證技(jì)術(shù)信息的± (de)被竊。而在本月(yuè)初Epsilon發生(shēng)的(de)數(∑•♣ shù)據洩漏事(shì)故也(yě)被懷疑是(shì)有(yǒu≥∞)針對(duì)性的(de)釣魚攻擊行(xíng)為(wèi),這(zhε♣&₩è)次事(shì)故是(shì)有(yǒu)史以來(lái)設計(jì)最多±×(duō)電(diàn)子(zǐ)郵件(jiàn)地(dì)址的(de)事(shì)故。
分(fēn)析家(jiā)表示,攻擊者能(néng)夠利用(yòng)低(dī)$→φπ技(jì)術(shù)含量、假冒電(diànγ∏↔ )子(zǐ)郵件(jiàn)的(de)方法來(l§£≠ái)滲透入這(zhè)些(xiē)受到(dào)良好(hǎo↑✘↔ )保護的(de)企業(yè)表明(míng)了(le)有(yǒu)★₹★針對(duì)性的(de)釣魚攻擊日(rì)益成熟,并且存在這( σ♦zhè)樣的(de)趨勢,企業(yè)認為(wèi)Ω單靠教育員(yuán)工(gōng)就(jiù)能(néng)夠緩解這(₩£zhè)個(gè)問(wèn)題。
“這(zhè)并不(bù)讓我感到(dào)驚訝,” 安全公司Invincea公司創始✔≠→×人(rén)Anup Ghosh表示,“幾乎每個(gè)公開(kāi)的(de)和(hé)發§✘表聲明(míng)的(de)高(gāo)級持續性攻擊都(dōu)是(s®<α✔hì)通(tōng)過釣魚郵件(jiàn)開(kāi)始的(de)。”
事(shì)實上(shàng),現(xiàn)在這(zhè)類郵件(jiàn)似乎成為(wèi)¶∑ 攻擊者非法進入企業(yè)網絡的(de)首選方法,他(tā)表 ♠≤示。
“你(nǐ)需要(yào)做(zuò)的(de)就(jiù)是(shì)設立一(yī)個(gè≤)電(diàn)子(zǐ)郵件(jiàn)目标,你(nǐ)隻需要(yào)通(tō ∑¶ng)過幾次電(diàn)機(jī)就(jiù)能(néng)夠在企業(yè)內(nèi)部建立₩₩幾個(gè)存在點,”Ghosh表示,“如(rú)果你(n¶®ǐ)企業(yè)有(yǒu)1000名員(yuán)工(gōng),并且你(nǐ)教育他(tā)們₹∑不(bù)能(néng)打開(kāi)不(bù)可 ←←∏(kě)信任的(de)附件(jiàn),↕☆還(hái)是(shì)會(huì)有(yǒu)那(nà)麽幾個(gè)人 →&∞(rén)會(huì)打開(kāi)。這(zhè)并不(bù)≠是(shì)訓練可(kě)以解決的(de)問(wèn)題。”
讓問(wèn)題更嚴重的(de)就(jiù)是(shì)釣魚攻擊越來(lái)®¶π越複雜(zá),分(fēn)析師(shī)指>φ≥出。
越來(lái)越多(duō)的(de)有(yǒu)組織的(de)攻擊團隊開(kāi®≥>)始使用(yòng)精心設計(jì)的(de)↓∞電(diàn)子(zǐ)郵件(jiàn)來(lái)針對(duì)高(gāo)層管理(lǐ)&÷≠人(rén)員(yuán)以及企業(yè)內(nè←ασi)部他(tā)們想要(yào)攻擊的(de)員(yuán)工(gōng)。在很δ≥(hěn)多(duō)情況下(xià),釣魚郵件(jiàn)都(dō×πu)是(shì)個(gè)性化(huà)的(de)、本地(dì)化( Ω₩huà)的(de),并且設計(jì)得(de)好(hǎo)像是(sΩ≈hì)來(lái)自(zì)可(kě)信任來(lái)源一(yī)樣✘φ。
Ghosh表示,他(tā)上(shàng)周就(jiù)收到(dào)過類似的(de)郵件(j≠↓iàn)。郵件(jiàn)發送到(dào)他(tā)的(de)個(gè)人(ré₩±n)郵箱,看(kàn)起來(lái)是(shì×↑←∏)一(yī)個(gè)好(hǎo)朋(pé↕÷§©ng)友(yǒu)發過來(lái)的(de)郵件(jiàn),包含一(yī)個→&€(gè)能(néng)夠打開(kāi)朋(péng©×☆Ω)友(yǒu)的(de)女(nǚ)兒(ér)生(shēng≠<×ε)日(rì)派對(duì)照(zhào)片的(de•λ)鏈接。郵件(jiàn)甚至還(hái)包含朋(péng)友(yǒu)女(nǚ)兒(&∞ér)的(de)名字。
郵件(jiàn)被标記為(wèi)紅(hóng)色,但(dàn)是∏±↕(shì)Ghosh在點擊鏈接後才發現(xiàn)紅(hóng)色标記。“随便Ω看(kàn)一(yī)眼就(jiù)已經能(néng)夠說(shuō)服我去( ÷qù)點擊鏈接,”他(tā)表示。
Spire Security公司的(de)分(fēn)析師(shī)Pete L←$ε©indstrom表示,“最近(jìn)很★"(hěn)多(duō)攻擊都(dōu)是(shì)使用(yòng)某種形式的(de)釣魚攻擊,&♣&γ這(zhè)個(gè)十分(fēn)令人(£≥rén)擔憂,我們總是(shì)很(hěn)容易在一(yī)些(xiē)安全基礎環節掉鏈子¶↔∞(zǐ)。”
公司必須定期記錄和(hé)監測網絡是(shì)否₹★✔α存在這(zhè)種釣魚攻擊造成的(de)數(shù)據洩漏,他(tΩ₩ā)表示。
在釣魚攻擊中,企業(yè)必須更注重響應和(hé)遏制(zhì),而₽"↕¶不(bù)僅僅是(shì)預防,Securosis公司分(fēn)析師(sh₹★↓ī)Rich Mogull表示。
在這(zhè)種攻擊中,企業(yè)常常面對(duì®πσ€)的(de)是(shì)擁有(yǒu)豐富資源、耐心和(hé)資 ✘Ω金(jīn)的(de)對(duì)手。通(tōng)常情況下(xià),這(zh£ è)樣的(de)對(duì)手都(dōu)願意不(bù)斷嘗試直到©←≠∏(dào)他(tā)們攻入系統網絡。“幾乎不(bù)可(kě)能÷•$∞(néng)阻止這(zhè)樣的(de)人(rén)。”
