幾大大企業(yè)網(wǎng)絡(luò)安全威脅分析

幾大大企業(yè)網(wǎng)絡(luò)安全威脅分析

一、安全隱患：IPv6存在的攻擊漏洞在從IPV4向IPV6過渡的過程中，企業(yè)面臨著很多信息安全調(diào)整，安全專家表示。讓情況更糟糕的是，一些攻擊者已經(jīng)開始使用IPV6地址空間來偷偷向IPV4網(wǎng)絡(luò)發(fā)起攻擊。Sophos公司的技術(shù)策略主管JamesLyne表示，眾所周知，企業(yè)間從IPV4向IPV6過渡過程非常緩慢，而很多網(wǎng)絡(luò)罪犯就鉆了這個空子，很多攻擊者在IPV6基礎(chǔ)設(shè)施散步垃圾郵件并且利用了錯誤配置的防火墻的缺點(diǎn)。很多現(xiàn)代防火墻在默認(rèn)配置下都是讓IPV6流量自行通過的，Lyne表示。那些對IPV6流量不感興趣的企業(yè)就會設(shè)立明確的規(guī)則來嚴(yán)格阻止IPV6數(shù)據(jù)包，IT管理人員需要“知道如何與IPV6對話”，這樣他們就可以編寫相應(yīng)的規(guī)則來處理該協(xié)議?！皬男袠I(yè)的角度來看，現(xiàn)在銷售IPV6的方式是錯誤的，”Lyne表示，他指出關(guān)于該協(xié)議的內(nèi)置功能如何幫助提高隱私性方面的問題很少有人探討。相反的，對IPV6難以部署的普遍觀念讓企業(yè)很容易受到潛在攻擊。從一般規(guī)則來看，IPV4和IPV6網(wǎng)絡(luò)是并行運(yùn)行的。具有傳統(tǒng)IPV4地址的計算機(jī)不能訪問在IPV6地址空間運(yùn)行的服務(wù)器和網(wǎng)站。隨著IPV4地址“逐漸衰敗”，業(yè)內(nèi)都鼓勵企業(yè)轉(zhuǎn)換到IPV6或者無法獲取新IP地址。負(fù)責(zé)向亞太地區(qū)分配IP地址的亞太網(wǎng)絡(luò)信息中心近日宣布所有新的地址申請將被分配IPV6地址。一位安全研究人員近日發(fā)現(xiàn)攻擊者可能通過IPV6網(wǎng)站發(fā)動中間人攻擊。InfoSec研究所安全研究人員AlecWaters表示，攻擊者可以覆蓋到目標(biāo)IPV4網(wǎng)絡(luò)上的“寄生”IPV6網(wǎng)絡(luò)來攔截互聯(lián)網(wǎng)流量，他的概念證明攻擊只考慮了windows7系統(tǒng)，但是同樣也可能發(fā)生在Vista、Windows2008Server和其他默認(rèn)情況下開啟了IPV6的操作系統(tǒng)上。為成功發(fā)動攻擊，攻擊者需要獲取對目標(biāo)網(wǎng)絡(luò)的物理訪問，并且時間足以連接到IPV6路由器。在企業(yè)網(wǎng)絡(luò)的環(huán)境中，攻擊者將需要連接IPV6路由器到現(xiàn)有的IP4樞紐，但是對于公眾無線熱點(diǎn)，就非常簡單了，只需要用IPV6路由器就能發(fā)動攻擊。攻擊者的IPV6路由器將會使用假的路由器廣告來為網(wǎng)絡(luò)中啟用了IPV6的機(jī)器自動創(chuàng)建新的IPV6地址。路由器廣告的作用就像是IPV6地址的DHCP(動態(tài)主機(jī)配置協(xié)議)，它提供了一個地址池供主機(jī)來選擇，根據(jù)SANS研究所首席研究官JohannesUllrich表示。在用戶或者IT管理人員不知情的情況下，他們的機(jī)器已經(jīng)變成IPV6獵物。雖然系統(tǒng)已經(jīng)有一個企業(yè)分配的IPV4地址，但是因為操作系統(tǒng)處理IPV6的方式，系統(tǒng)會被打亂到IPV6網(wǎng)絡(luò)?，F(xiàn)代操作系統(tǒng)將IPV6默認(rèn)為首選連接(如果系統(tǒng)同時被分配了IPV6和IPV4地址的話)。由于IPV6系統(tǒng)無法與企業(yè)真正的IPV4路由器進(jìn)行連接，系統(tǒng)必須通過惡意路由器進(jìn)行路由，Waters表示，攻擊者然后可以使用一個通道來將IPV6地址轉(zhuǎn)換到IPV4地址，例如NAT-PT，這是一個實(shí)驗性IPV4到IPV6轉(zhuǎn)換機(jī)制，但是因為存在很多問題，該機(jī)制并沒有獲得廣泛支持?！暗⒉灰馕吨鼪]有作用，”Waters表示。通過NAT-PT，具有IPV6地址的機(jī)器就可以通過惡意路由器訪問IPV4網(wǎng)絡(luò)，使攻擊者對他們的互聯(lián)網(wǎng)活動有了全面了解。，這種攻擊的嚴(yán)重程度還存在爭議，InfoSec研究所安全計劃經(jīng)理JackKoziol表示。根據(jù)常見漏洞清單，“IPV6符合RFC3484(IPV6協(xié)議)，以及試圖確定RA的合法性目標(biāo)仍位于主機(jī)操作系統(tǒng)推薦行為的范圍外仍然存在爭議。”不需要使用IPV6或者沒有完成過渡的企業(yè)應(yīng)該關(guān)閉所有系統(tǒng)上的IPV6，或者，企業(yè)應(yīng)該“像IPV4一樣對攻擊進(jìn)行監(jiān)控和抵御”。二、釣魚攻擊成為主要安全威脅成功利用釣魚郵件對安全企業(yè)(例如OakRidge和RSA等)造成的數(shù)據(jù)泄漏攻擊為我們敲響了警鐘，一些專家嗤之以鼻的低技術(shù)含量攻擊方法也可能造成嚴(yán)重威脅。美國能源部研究實(shí)驗室OakRidge近日宣布在發(fā)現(xiàn)在其網(wǎng)絡(luò)中存在數(shù)據(jù)竊取惡意軟件程序后，已經(jīng)關(guān)閉了所有互聯(lián)網(wǎng)訪問和電子郵件服務(wù)。根據(jù)該實(shí)驗室表示，這次數(shù)據(jù)泄漏事故源于一封被發(fā)送給570名員工的釣魚攻擊郵件。這封電子郵件偽裝成該實(shí)驗室的人力資源部門的通知，當(dāng)一些員工點(diǎn)擊嵌入在電子郵件中的鏈接后，惡意程序就被下載到他們的電腦中。這個惡意程序利用了微軟IE軟件中未修復(fù)的漏洞，并且目的是搜尋和竊取該實(shí)驗室的技術(shù)信息，該實(shí)驗室的工程師們正在努力研制世界上最快的超級計算機(jī)。OakRidge實(shí)驗室的官方發(fā)言人形容這次攻擊與安全供應(yīng)商RSA遭受的攻擊非常類似。RSA數(shù)據(jù)泄漏事故導(dǎo)致了RSA公司的SecurID雙因素認(rèn)證技術(shù)信息的被竊。而在本月初Epsilon發(fā)生的數(shù)據(jù)泄漏事故也被懷疑是有針對性的釣魚攻擊行為，這次事故是有史以來設(shè)計最多電子郵件地址的事故。分析家表示，攻擊者能夠利用低技術(shù)含量、假冒電子郵件的方法來滲透入這些受到良好保護(hù)的企業(yè)表明了有針對性的釣魚攻擊日益成熟，并且存在這樣的趨勢，企業(yè)認(rèn)為單靠教育員工就能夠緩解這個問題?！斑@并不讓我感到驚訝，”安全公司Invincea公司創(chuàng)始人AnupGhosh表示，“幾乎每個公開的和發(fā)表聲明的高級持續(xù)性攻擊都是通過釣魚郵件開始的?！笔聦?shí)上，現(xiàn)在這類郵件似乎成為攻擊者非法進(jìn)入企業(yè)網(wǎng)絡(luò)的首選方法，他表示。“你需要做的就是設(shè)立一個電子郵件目標(biāo)，你只需要通過幾次電機(jī)就能夠在企業(yè)內(nèi)部建立幾個存在點(diǎn)，”Ghosh表示，“如果你企業(yè)有1000名員工，并且你教育他們不能打開不可信任的附件，還是會有那么幾個人會打開。這并不是訓(xùn)練可以解決的問題?！弊寙栴}更嚴(yán)重的就是釣魚攻擊越來越復(fù)雜，分析師指出。越來越多的有組織的攻擊團(tuán)隊開始使用精心設(shè)計的電子郵件來針對高層管理人員以及企業(yè)內(nèi)部他們想要攻擊的員工。在很多情況下，釣魚郵件都是個性化的、本地化的，并且設(shè)計得好像是來自可信任來源一樣。Ghosh表示，他上周就收到過類似的郵件。郵件發(fā)送到他的個人郵箱，看起來是一個好朋友發(fā)過來的郵件，包含一個能夠打開朋友的女兒生日派對照片的鏈接。郵件甚至還包含朋友女兒的名字。郵件被標(biāo)記為紅色，但是Ghosh在點(diǎn)擊鏈接后才發(fā)現(xiàn)紅色標(biāo)記?！半S便看一眼就已經(jīng)能夠說服我去點(diǎn)擊鏈接，”他表示。SpireSecurity公司的分析師PeteLindstrom表示，“最近很多攻擊都是使用某種形式的釣魚攻擊，這個十分令人擔(dān)憂，我們總是很容易在一些安全基礎(chǔ)環(huán)節(jié)掉鏈子。”公司必須定期記錄和監(jiān)測網(wǎng)絡(luò)是否存在這種釣魚攻擊造成的數(shù)據(jù)泄漏，他表示。在釣魚攻擊中，企業(yè)必須更注重響應(yīng)和遏制，而不僅僅是預(yù)防，Securosis公司分析師RichMogull表示。在這種攻擊中，企業(yè)常常面對的是擁有豐富資源、耐心和資金的對手。通常情況下，這樣的對手都愿意不斷嘗試直到他們攻入系統(tǒng)網(wǎng)絡(luò)?！皫缀醪豢赡茏柚惯@樣的人。”因此，IT安全人員應(yīng)該注重最大限度地減少損失，Mogull表示。舉例來說，企業(yè)應(yīng)該考慮將網(wǎng)絡(luò)進(jìn)行區(qū)域劃分，并在關(guān)鍵設(shè)備以及數(shù)據(jù)間建立“空間間隔”，以確保入侵者更難進(jìn)入網(wǎng)絡(luò)。同樣重要的是，企業(yè)需要廣泛地監(jiān)控內(nèi)部網(wǎng)絡(luò)以確保數(shù)據(jù)沒有泄漏出去?！坝嗅槍π缘尼烎~攻擊已經(jīng)不都是低技術(shù)含量的攻擊形式了，”Gartner公司分析師JohnPescatore表示。并且，越來越多來自社交網(wǎng)絡(luò)(例如LinkedIn和Facebook)的信息被用于釣魚攻擊，這使釣魚攻擊更難被檢測，他表示，“在這些社交網(wǎng)絡(luò)上，有很多個人信息和朋友的名單，從這些信息中并不難獲取非常私人的電子郵件地址，”Pescastore表示。此外，網(wǎng)絡(luò)安全工作(特別是政府機(jī)構(gòu)和研究實(shí)驗室，如OakRidge)往往側(cè)重于諸如URL阻止等問題，以防止內(nèi)部員工訪問色情或者非法網(wǎng)站，而不是阻止可疑的入站郵件?！斑@讓他們更容易受到攻擊，如果用戶點(diǎn)擊了釣魚郵件的話，這也是員工經(jīng)常發(fā)生的事情，”他表示，“25年試圖通過宣傳和教育來提升員工的安全意識的經(jīng)驗證明，這是無法杜絕的?！比踩浖头?wù)并不安全?在我們電腦出現(xiàn)病毒，或者我們希望電腦可以抵御未知的安全風(fēng)險時，我們常常想到的就是安全軟件和服務(wù)。這些產(chǎn)品和服務(wù)似乎讓我們感覺自己得到了保護(hù)。然而，近日國外的一項調(diào)查報告卻揭示，實(shí)際上，我們的安全軟件和服務(wù)也并非是“安全”的!你愿意接受這個殘酷的事實(shí)么?近日Veracode發(fā)布的最新報告顯示，測試的大部分安全軟件和安全服務(wù)安全評分都“難以置信”的低，也就是所有商業(yè)軟件中超過65%的安全軟件服務(wù)安全狀況并不理想。Veracode公司最新發(fā)布的軟件安全狀態(tài)報告顯示客戶支持軟件比安全產(chǎn)品以及服務(wù)更糟糕，其中82%的應(yīng)用程序評分都非常低，而相對的，安全軟件和安全服務(wù)軟件則是72%。Veracode掃描的所有商業(yè)軟件中有66%的軟件在第一次安全掃描中都得到了“無法令人接受”的低分，安全產(chǎn)品和服務(wù)軟件的低分?jǐn)?shù)是最令人震驚的?！斑@真的讓我們很驚訝，”Veracode公司產(chǎn)品營銷副總裁SamKing表示，該公司對超過4800個應(yīng)用程序進(jìn)行了掃描分析，“這也解釋了最近在RSA、HBGary和Comodo發(fā)生的數(shù)據(jù)泄漏事故的原因，攻擊者開始瞄準(zhǔn)安全公司以及其他垂直行業(yè)，這里給我們的教訓(xùn)是：你無法想象的是，安全供應(yīng)商可能都不安全?！比欢?，商業(yè)軟件供應(yīng)商都能夠較為迅速地修復(fù)他們的產(chǎn)品，超過90%的供應(yīng)商在Veracode調(diào)查后的一個月內(nèi)讓他們的產(chǎn)品達(dá)到“可接受”的分?jǐn)?shù)。并且安全供應(yīng)商更加迅速，平均在三天內(nèi)就讓他們的應(yīng)用程序達(dá)到可接受的安全狀態(tài)，Veracode調(diào)查顯示。但是為什么安全供應(yīng)商的軟件在最初的掃描分析中安全狀況如此之差呢?研究高級主管ChrisEng表示，問題在于安全供應(yīng)商面臨著與其他企業(yè)一樣的挑戰(zhàn)：擁有安全經(jīng)驗的開發(fā)人員并不多?！八麄儾灰欢ň邆浒踩珜I(yè)知識，”他表示。在參加Veracode在線培訓(xùn)計劃的安全基礎(chǔ)知識考試中，超過50%的應(yīng)用程序開發(fā)人員只拿到C或者更低的分?jǐn)?shù)，而這個測試涵蓋了常見威脅和其他安全基本概念。這個考試只是作為培訓(xùn)前的評估測試，超過30%的開發(fā)人員拿到D或者不及格，Veracode調(diào)查顯示。“他們對于應(yīng)用程序安全基礎(chǔ)知識并不是很了解，而這些知識能夠幫助你更好地了解我們報道的其他統(tǒng)計數(shù)據(jù)，”King表示。選擇了Veracode公司的Java和.NET安全編碼課程以及加密介紹課程的開發(fā)人員中，有35%到48%的開發(fā)人員得到C或者更低分?jǐn)?shù)。“這些課程的及格率比應(yīng)用程序安全基礎(chǔ)知識的及格率要高一點(diǎn)點(diǎn)，所以這個消息很令人振奮：通過良好的培訓(xùn)與教育，他們能夠有更好的表現(xiàn)，”King表示。這次調(diào)查的其他發(fā)現(xiàn)：19個web應(yīng)用程序中有超過8個應(yīng)用程序存在OWASP前十大常見漏洞，跨站腳本攻擊仍然是應(yīng)用程序中最多的漏洞。SQL注入攻擊漏洞平均每季度較低了約2.4%?！蛾P(guān)于2010-2011年度：中國電子商務(wù)系列研究報告定制的通知》作為國內(nèi)專業(yè)電子商務(wù)研究機(jī)構(gòu)，包括B2B領(lǐng)域的阿里巴巴、網(wǎng)盛生意寶、中國制造網(wǎng)、慧聰網(wǎng)、環(huán)球資源、金銀島、一達(dá)通、敦煌網(wǎng)等企業(yè)；B2C領(lǐng)域的京東商城、當(dāng)當(dāng)網(wǎng)、卓越亞馬遜、新蛋中國、紅孩子、凡客誠品(VANCL)、麥考林(麥網(wǎng))、庫巴購物網(wǎng)、蘇寧易購、淘寶網(wǎng)、拍拍網(wǎng)、eBay易趣網(wǎng)、樂酷天、百度有啊、樂淘網(wǎng)、銀泰網(wǎng)、珂蘭鉆石網(wǎng)等；支付領(lǐng)域的支付寶、財付通、環(huán)迅支付、百付寶、銀聯(lián)電子支付、快錢、易寶支付等；還有移動電子商務(wù)領(lǐng)域的中科聚盟、新網(wǎng)互聯(lián)、匯?？萍?、億美軟通、天下互聯(lián)、新網(wǎng)互聯(lián)、用友偉庫等，以及團(tuán)購領(lǐng)域的拉手網(wǎng)、美團(tuán)網(wǎng)、F團(tuán)、窩窩團(tuán)、阿丫團(tuán)、24券、愛幫網(wǎng)、糯米網(wǎng)、騰訊“QQ”團(tuán)、酷團(tuán)網(wǎng)、大眾點(diǎn)評網(wǎng)、淘寶“聚劃算”等電子商務(wù)各領(lǐng)域典型企業(yè)，均為中心的重點(diǎn)研究與監(jiān)測對象。據(jù)不完全統(tǒng)計：逾500家專注報道電商的媒體記者已注冊為中心“特約記者”，第一時間密切關(guān)注引用本中心報告；累計5余萬家電子商務(wù)及相關(guān)企業(yè)長期訂閱、并引用報告數(shù)據(jù)；報告影響力輻射2000萬家中小企業(yè)、5千萬網(wǎng)購用戶；并屢獲包括國家統(tǒng)計局、商務(wù)部、工信部、工商總局、發(fā)改委、國新辦、央行、海關(guān)總署在內(nèi)的多部委引用、認(rèn)可；累計不少于600家平面媒體獨(dú)立