理想的入侵防御是防御過程與人的結合

一個擁有3.9萬名雇員和數千台計算機設備的全球星IT服務公司肯定是數字亡命之徒希望攻擊的目標。但是，哪一種攻擊最可能使安全主管晚上睡不著覺呢?位於慕尼黑的西門子公司旗下的西門子商務服務公司的首席信息和安全官Dave Bixler列出了下列三種攻擊:

·間諜軟件

·帶有容易被破解的口令的筆記本電腦被盜竊或者丟失。這種口令使用任何在線工具都能夠在幾分鐘之內被破解。

·雇員把敏感文件拷貝到U盤中，然後把那個U盤弄丟了。

Bixler說，你參加任何會議都會發現人們把U盤丟得到處都是。我敢肯定人們丟在飛機上或者飯店房間中的U盤都存儲著數據。我非常擔心我的數據會去哪裡，以及如何保證我的數據不去我不希望它去的地方。

並非Bixler一個人是如此。在今年2月份SearchSecurity.com網站對307位IT專業人員進行的有關他們入侵防御計劃的調查中，大多數受訪者表示他們最擔心的是內部使用計算機設備習慣不好的人會使敏感的數據處於風險之中以及間諜軟件和其它惡意軟件。這些威脅是他們最希望自己的入侵防御工具能夠解決的問題。但是，他們對這個結果總是不滿意。

Bixler說，間諜軟件是一個非常嚴重的問題，因為殺毒軟件廠商基本上使我們失望。主要廠商正在加緊努力，但是對於我來說，他們已經晚了兩年了。間諜軟件是另一種形式的病毒。我最希望能夠在每一個人的台式電腦中都有另一種工具對付這種另類的病毒。

擔心的問題

在回答他們最希望自己的入侵檢測工具在哪些方面有所改善的問題時，35.6%的受訪者表示，他們要更好地檢測和防御內部的威脅，如雇員濫用政策規定和向U盤下載專用的信息等。

32%以上的受訪者表示，他們要更好地防御間諜軟件、減少檢測錯誤率和能夠把嚴重的攻擊和網絡噪聲分開的能力。30%的受訪者要求有更好的方法檢測未知的/零日攻擊。25.8%的受訪者要求有更好的病毒和蠕蟲防御功能。25.2%的受訪者需要把安全漏洞和威脅關聯起來。

在回答促使他們更換不同的IDS/IPS廠商的原因是什麼的問題時，45.4%的受訪者表示，不同廠商的產品必須能夠更好地檢測和防御攻擊。35%的受訪者表示，如果不同廠商的產品更容易安裝和管理，他們就改用那個廠商的產品。

如果另一家廠商的產品提供更廣泛的安全功能和性能，33%的受訪者會轉換到這家廠商的產品。32%的受訪者表示，如果另一家廠商的產品能夠更好地與企業基礎設施集成在一起，他們就願意轉換到那個廠商的產品。25.2%的受訪者表示，如果另一家廠商的產品能夠比他們目前使用的工具提供更多的安全功能而且價格更便宜，他們就願意轉換到那家廠商的產品。

在Bixler最擔心的全部內部威脅中，移動設備並不總是排在前面的。這個情況有一天發生了變化。一位離職的雇員上交了一台筆記本電腦，但是，沒有告訴IT工作人員這台筆記本電腦的口令。
　　Bixler說，我到互聯網上尋找免費軟件破解這台筆記本電腦的管理員口令。我只用了8分鐘的時間就用Google搜索到了一個恰當的工具破解了這個口令。我還是一邊打電話一邊做的這個事情。而且我並不很擅長做這件事情。

用戶教育是一個大弱點

·小心被黑客借QQ Mail入侵你的電腦·只開80端口主機的入侵思路·防止入侵：DLL後門完全清除方法·防范非法用戶入侵Win 2K/XP系統七招·入侵xp系統之初步攻略·怎麼關閉受到的入侵端口·Windows 2000安全審核讓入侵者無處遁形·妙招防止非法入侵Win2000/XP系統·再談SQL注入入侵動網SQL版論壇·小心系統入侵之八招吸星大法！

Jeremy Martin能夠理解為什麼IT專業人員對內部威脅那麼擔心。他是科羅拉多州科羅拉多斯普林斯的一個入侵測試員。他在工作時間設法突破大型商業企業和美國國防部等政府部門的網絡。

在發現全部安全漏洞之前，他首先進行基本的掃描，然後找到進入網絡的方法。他在業余時間還嘗試了社會工程學，發出釣魚攻擊的電子郵件，看看是否有人會打開這種電子郵件。他的目的是向客戶展示他們在安全方面最大的弱點在哪裡以及入侵者是如何進來的。

Martin說，遺憾的是大多數機構的最大的弱點是用戶的教育問題。人們在打開這類電子郵件。人們寫下他們的口令或者反復使用同樣的口令。

至於間諜軟件，，Martin說，大多數嚴重的間諜軟件爆發時間都可以追溯到用戶使用計算機設備的不良習慣。

間諜軟件是這樣一個問題:人們打開不應該打開的電子郵件或者訪問不應該訪問的網站，間諜軟件就趁這個機會下載到用戶的計算機中了。

忠告的話

當用戶問他如何封閉安全漏洞時，Martin提供了這樣的忠告:全體雇員必須學習他們機構的安全政策並且一直遵守這些政策。
·小心被黑客借QQ Mail入侵你的電腦·只開80端口主機的入侵思路·防止入侵：DLL後門完全清除方法·防范非法用戶入侵Win 2K/XP系統七招·入侵xp系統之初步攻略·怎麼關閉受到的入侵端口·Windows 2000安全審核讓入侵者無處遁形·妙招防止非法入侵Win2000/XP系統·再談SQL注入入侵動網SQL版論壇·小心系統入侵之八招吸星大法！

他說，你需要確認通過培訓讓每一個人都了解安全政策。人們必須知道使用網絡、電子郵件等IT技術的正確的做法和錯誤的做法。這些使用政策對於高級官員和高級雇員的要求必須是相同的。

當然，這些安全政策必須要正確地制定。Martin說，我一直關注的一件事情就是政策中缺乏定義。這樣人們可以隨意解釋這個政策，而且每個人的解釋都不一樣。

北溫哥華市的IT管理員Craig Hunter的部門管理由350人使用的許多工作站。他也認為對用戶進行教育是非常重要的。但是，他說，普通雇員永遠不會成為信息安全專家。

他的觀點是，你要做的最好的事情就是把安全嵌入到系統中。這樣，用戶就看不見了。讓用戶更容易做正確的事情，而不是做錯誤的事情。

最後，Craig Hunter的IT部門取消了用戶申請過程，因為這個過程已經不需要了。這個部門使用了位於聖地亞哥的Websense公司提供的內容過濾器來封鎖可能向內部網絡下載包括間諜軟件在內的惡意軟件的網站。下載惡意軟件以前曾經是困擾這個部門的一個問題。他的部門還使用IronPort系統公司的Brightmail設備減少垃圾郵件和病毒。

最佳的防御總是多層次的防御

從大的方面看，Bixler、Martin和Hunter這三個人一致認為用戶的熟悉只是更大的分層次的防御的一部分。如果一個入侵者突破了網絡的這一端，這個網絡其它部分部署的設備或者程序會阻止這個入侵者。

Martin說，擁有監視功能的軟件也是很重要的。不僅要在網絡上安裝這種軟件，而且也要在個人電腦上安裝這種軟件。

他補充說，一句明智的話就是在網絡上使用一家殺毒軟件廠商的軟件，在台式電腦中使用另一家殺毒軟件廠商的軟件。Martin說，一家廠商更新簽名的速度和范圍可能比另一家廠商更快更廣。因此，使用兩家廠商的產品覆蓋面會更廣。

關於Intruder Alert

入侵防御程序經常宣稱它們能夠防御目前不斷發展的威脅。根據對一些IT專業人員進行的獨家調查，SearchSecurity.com網站的特別系列新聞“Intruder Alert”(入侵者報警器)考察了現實世界中的入侵防御計劃，以及哪一個廠商對於戰壕中人們最有價值。

系列新聞目錄

第一天:理想的入侵防御是防御過程與人的因素相結合

--什麼決定最好的入侵防御?IT專業人員稱，最好的計劃不僅要阻止有不良計算習慣的內部人員犯錯誤，而且要阻止間諜軟件和其它進來的惡意軟件。

第二天:對於企業官員來說，入侵防御是很難推銷的

--安全管理員稱，入侵防御使他們感到困惑，不僅是由於企業官員們不買賬，而且還因為頂級產品還有很長的路要走。

第三天:在入侵防御廠商中，一個尺寸不能滿足所有的需求

--大多數IT部門依靠思科和賽門鐵克的產品進行入侵防御。但是，也有一些IT部門願意使用免費的開源軟件工具。

Intruder Alert:看一下這個數字--在今年2月份，SearchSecurity.com對來自各個行業的307名IT專業人員進行了一項關於他們的入侵防御計劃的調查。這裡是我們提出的一些問題和他們的回答。