四个步骤减少恶意软件引起的安全泄漏

发布时间:2010-04-14 16:48 作者: 来源: IT专家网点击:加载中...次

    恶意软件是当今企业面临的最大的发展最迅速的安全挑战，谷歌报告显示恶意网站正在成倍增加，去年夏天报道的新型主动中间人恶意攻击已经致使数百万银行客户受到影响。
    在对IT专业人士的最新调查显示，超过32%的IT人士认为在未来12个月内安装在个人电脑中的恶意软件必将对IT安全造成巨大外部威胁，超过16%认为移动设备上的恶意软件也将造成威胁。总而言之，个人电脑和移动设备中运行的恶意软件被认为是2010年最大威胁。
    Web安全威胁愈演愈烈，您做好准备了吗？详情请看【Web安全：真相大揭秘】专题。
    以下是对恶意软件威胁类型的说明，以及企业应该如何部署安全策略保护企业自身安全的技巧。
    恶意软件威胁
    近年来，企业一直在于恶意软件作斗争，但威胁仍然在不断演化，其中企业面临的最大问题就是个人信息泄漏。攻击者们开始广泛部署复杂恶意软件来窃取合法用户的用户名和密码，他们可以通过多种方式进行窃取，包括用户无意安装恶意软件、浏览器恶意软件和窃听攻击等。
    例如，在2009年11月，一名安全专家就利用SSL(安全套接字层)协议的漏洞成功获取Twitter用户的登陆信息，可能大家会认为这种攻击不太会造成伤害，但请考虑一下，有多少人会使用与Twitter帐号相同密码作为网上银行登陆密码呢?有多少企业用户会使用相同密码来登陆企业域呢?这些各种形式的恶意软件可能通过各种方式引发安全泄漏事故。
    另外一种攻击媒介就是最近报道的针对SSL VPN使用浏览器恶意软件来登陆已在浏览器登陆过的帐户。这种攻击利用了大多数SSL VPN与浏览器的同源政策交互的方式，这样很容易致使用户泄漏密码，当他们使用浏览器登陆企业邮箱帐户时。
    另一种恶意软件相关的威胁涉及针对性钓鱼攻击。我们看到越来越多的攻击者通过发送精心制作的钓鱼电子邮件信息来攻击用户，这些电子邮件信息可能包含恶意软件(以安装在用户电脑)或者恶意网站链接。可以说，这些钓鱼攻击方式的高度针对性让一般用户很难检测，最新试验证明，包含假冒社交网站链接确实能够成功让用户点击并安装恶意软件。
    最后，信息盗窃是新一代恶意软件主要涉及的攻击活动。像Clampi和Zeus这种木马病毒能够主动窃取信息，并且可以窃取任何攻击者感兴趣的信息。例如，它们可以窃取登陆网上银行的用户名和密码，更糟的是，它们可以创建隐藏交易，让用户将钱转到攻击者控制的银行帐号。传统的身份验证解决方案(例如令牌和智能卡)对于预防这种攻击都没有用。
    预防恶意软件威胁的四步骤
    主要有以下四个步骤可以帮助大家预防企业内的恶意软件威胁：
    第一步: 部署企业反恶意软件解决方案
    随着恶意软件逐渐成为安全机制的核心问题，企业都应该部署自己的防恶意软件解决方案，并且由于大多数恶意软件都会直接影响用户电脑，因此安全重点应该是企业中每台用户计算机。
    此外，由于远程访问技术无处不在，远程用户也应该部署相同的安全措施，最好就是为远程用户部署完成的端点安全解决方案，包括修补程序和防火墙管理以及防恶意软件程序。最后，可以考虑部署入侵防御系统(IPS)来拦截和预防某些由远程用户导致的攻击。
    第二步: 及时修复
    由于安全领域技术日益变化，企业应该随时保持企业系统的更新状态，例如可以专门安排一名工作人员关注CERT警告和漏洞标签以获取任何更新信息，保持企业系统的及时修复可以在很大程度上降低安全风险。当然有时供应商的修复补丁可能会比较晚，但及时修复补丁绝对是最安全的做法。
    第三步: 部署强大的身份验证机制
    很多企业攻击都是依靠单一验证而发动攻击的，传统钓鱼式攻击、键盘记录攻击以及上述Twittr攻击都属于这种形式。这些攻击主要在于窃取个人信息(用户名和密码)，这些信息将用于登陆用户的帐户。部署额外的身份验证机制可以抵御这些攻击，例如通过要求用户使用自身的东西(安全设备)或者指纹等来验证身份。部署多因素身份验证系统通常能够抵御上述所有攻击形式。
    因为这些攻击可以获取信息，例如用户安全问题的答案，额外的基于信息的身份验证并不能提供额外的保护，数字证书也是同样的道理，因为这些信息都很容易复制或者窃取，并不能抵御这些攻击。
    目前选择身份验证解决方案的最佳做法是，选择一个带外双因素系统，因为现在的恶意软件已经能够攻击传统的带内双因素系统。另外，考虑添加生物认证因素，混合声音、指纹或者其他三因素验证系统。通过使用单独渠道(例如电话网络)进行第二层验证，还可以帮助避开安装在用户设备上的恶意软件。
    第四步: 使用通信验证
    如果你在银行工作，你应该需要注意一种新型恶意软件威胁，这种攻击形式等待用户登陆然后通过SSL渠道在用户完全不知情的情况下将选择的交易发送给攻击者。
    这些攻击完全可以通过带外交易验证系统来抵御，不管用户什么时候发起一个交易(或者只是选定的交易)，银行会自动打电话给用户的注册电话号码，将拟定进行的交易详情告诉用户，只有当用户批准的情况下才能继续进行交易，这样可以避免恶意软件的恶意行为。