小心防范十種最常見的內部安全威脅

最近安全領域的一個熱門詞語是端點（endpoint）：端點是指可連接至公司網絡的任何一種設備，從桌面工作站、筆記本電腦、個人數字助理甚至到手機。由於端點數量不斷增加，光靠防火牆和反病毒軟件這類保護機制再也不夠了。

犯罪分子和各種新型惡意軟件采用的新手法在伺機探測網絡、尋找安全漏洞。而它們找到漏洞的機會越來越大。

專家們表示，從根本上來說，端點引起了更多人的關注，原因在於攻擊計算機網絡的方式出現了巨大變化。

在任何一種攻擊中，第一步就是滲入某家組織的安全邊界。過去通過外部威脅來實現這一步，比如被感染的電子郵件消息。雖然目前仍有許多攜帶病毒的電子郵件，但這種攻擊途徑的效果日益減弱。

Centennial Software公司的產品管理副總裁Bill Piwonka說：“安全公司在對付外部威脅方面一般做得很出色。該公司是安全軟件生產商，並且建有博客WatchYourEnd.com。

一個結果就是，電子郵件病毒的效果變弱了。安全軟件生產商Sophos公司的高級安全分析師Ron O’Brien說：“從2006年1月到2007年1月，電子郵件被感染的比例從40封郵件中被感染1封減少至330封郵件中被感染1封。作為一種感染途徑，電子郵件日漸式微。

Piwonka說：“在過去，最大的威脅來自公司外部，通過互聯網或電子郵件。如今，黑客及不懷好意的人企圖通過其他方式進入及訪問組織。他們的目光盯在了‘這家組織的系統和數據還有哪些地方存在安全漏洞？’

O’Brien說：“普通用戶已獲得了足夠到位的教育，懂得不會點擊主動發來的電子郵件裡面的附件。於是，惡意軟件編寫者改變了分發病毒、特洛伊木馬和蠕蟲的手段。現在的攻擊活動主要致力於把人們引到被感染的網站上，但越來越多的攻擊牽涉其他種類的威脅，比如網絡釣魚。據卡巴斯基公司的Viruslist.com聲稱，截至2007年1月，網絡釣魚攻擊比電子郵件裡面的病毒還要常見。

不過，越來越多的攻擊企圖繞過防火牆和反病毒程序，從公司內部未得到保護的角落發動攻擊。雖然外部威脅的危害性與過去一樣大、需要采用防火牆及其他防御機制加以防范，但是更重要的是關注內部薄弱環節。

Piwonka說：“如今存在數量眾多的插入式設備，這個事實絕對帶來了新的風險領域。

當然，公司內外威脅會協同發力。比方說，對等網絡是個內部問題，因為有人故意把它們安裝在公司系統上；但它們之所以成為一種威脅，就在於外部人員可以利用它們來危及安全。

如今存在好多安全漏洞。

安全軟件廠商Promisec公司的首席執行官Amir Kolter說：“早些年，我們調查了規模不一的30個客戶；有的客戶只有幾百個工作站，有的在世界各地有成千上萬個工作站。有的甚至擁有20萬個端點。

據Kolter聲稱，結果讓人沮喪。他說：“所有客戶都存在內部威脅。威脅總數超出我們的預期。此外，存在某種特定漏洞的公司其數量常常要比表明存在這種漏洞的計算機的比例高得多。Kolter表示，因而，盡管接受調查的所有端點當中只有4%安裝了對等軟件，但接受調查的公司當中22%存在一個或多個端點有這種漏洞的情況。

雖然存在問題的計算機其比例似乎很低，但別忘了這點：一家組織當中只要有一台計算機存在安全漏洞，就會危及整個網絡。

Promisec的部分發現結果並無新意：沒有打上最新補丁的各版本Windows、需要更新特征文件的反病毒軟件，等等。不過，Promisec發現的有些端點威脅不大常見，也不大明顯。

Promisec發現十大方面存在問題。不是每家公司都存在所有這些問題，但它們都至少存在其中一個問題。在某些情況下，端點威脅是完全可以消除的，比如沒有打上最新安全補丁的計算機。在另一些情況下，比如未得到保護的USB設備，解決辦法就是通常使用軟件執行的安全政策來控制該漏洞。

一、USB設備

Promisec的調查發現，最大的威脅是未加登記或未加保護的USB設備。接受調查的端點當中約有13%存在這個威脅。

這不只是理論上讓人擔心的問題。揚基集團在早些年的一項調查發現，接受調查的公司當中37%認為，USB設備被用於洩露公司信息。

感染的來源未必是內部員工。來訪者（不管有沒有受到邀請）訪問公司的計算機後，就能輕易插入拇指驅動器。更精心策劃的是，前幾年有家計算機安全公司往20只USB驅動器上安裝了竊取密碼的惡意軟件，然後把它們故意扔在目標公司外面的停車場及其他有可能被撿到的地方。結果，50%的驅動器被該公司的員工撿到了，他們插入計算機後想看看裡面有什麼東西；短短數小時之內，這家安全公司就源源不斷地獲得了密碼及其他關鍵數據（這家安全公司是Secure Network Technologies，它當時在客戶地方測試安全）。

Windows下的USB設備保護機制相當有限。你基本上只能啟用或禁用系統上的USB。由於USB是Windows的默認外設連接，所以這帶來了極大的限制。不過，Sophos、Devicelock或Promisec等第三方軟件對USB設備提供了基於安全政策的管理，從而擺脫了這種限制。

二、對等文件共享

雖然公司政策常常禁止使用未經授權的對等（P2P）文件共享程序，但接受調查的計算機當中還是有4%安裝了這類應用程序。這個問題變得日益嚴重。不但更多的對等網絡出現在了公司網絡上，計算機犯罪分子也開始大規模使用對等網絡來危及並控制計算機。

據安全軟件公司Prolexic聲稱，P2P如今被用於針對公司網站發動分布式拒絕服務攻擊。該公司表示，它發現有一種名叫dc++的基於P2P的分布式拒絕服務攻擊動用了30萬台受到危及的計算機。

未經授權的P2P軟件可能是導致信息洩漏的一條重要途徑，以至於有人建立了一個名為See What You Share的網站，僅僅為了顯示通過文件共享、可以從政府部門竊取哪些信息，包括絕密文件。

當然，P2P文件共享也是非法分發盜版材料的主要方式之一――如果美國唱片業協會（RIAA）的律師發出律師函，你不但面臨巨額罰金，還會陷入尴尬境地。

三、反病毒問題

Promisec的調查發現，大約1.2%的計算機其反病毒軟件存在問題，通常表現為特征文件過時。

由於各大反病毒軟件廠商每周發布的更新程序在1200個到2400個之間，讓保護機制處於最新版本顯得很重要。特別是由於惡意軟件編寫者使用的一種感染手法就是，趁安全廠商還沒有來得及響應，在盡可能短的時間內感染盡可能多的計算機。比方說，在2001年7月19日，“紅色代碼蠕蟲在短短14個小時內感染了359000台計算機。

讓人意想不到的是，“紅色代碼攻擊的目標居然是Windows系統當中兩年多前就已經有補丁的一個漏洞。

四、過時的微軟服務包

運行未安裝最新更新程序的Windows是另一個嚴重問題。大約1.5%的受調查計算機沒有為該操作系統更新最新版本的服務包。

及時更新軟件是一條安全基本常識，每家公司都在設法做到這點，但大多數公司是借助於自動更新。

然而，為公司的每個台式機打上補丁已經是一項艱巨任務，更不用說還要顧及連接到網絡上的筆記本電腦、個人數字助理和手機了。總會有漏網之魚；同樣道理，只要有一個端點存在已知安全漏洞，就足以危及整個網絡。

Windows服務包是個特殊問題，因為有些軟件免不了會存在一些問題。以服務包2為例，微軟承認50款主要的應用程序最初無法與該服務包兼容，主要原因是該服務包在默認情況下打開防火牆。等所有廠商步調一致、微軟發布了服務包，通常已經是幾周、甚至幾個月以後的事。如果你的用戶需要使用的軟件在新的服務包發布後無法兼容，一個常見的解決辦法就是“暫時放棄安裝該服務包，直到微軟公司解決了相關問題，再安裝。這意味著到時你要回過頭去，檢查一下那些系統更新了微軟發布的最新程序――如果你記得的話。

五、未安裝安全代理

許多公司要求在所有端點上安裝代理。這種代理可以監控網絡流量、確保補丁版本最新、跟蹤及報告失竊的計算機。不過，需要這種代理未必意味著實際安裝了代理。理應安裝這種代理軟件的端點當中約有1.2%並沒有安裝。

據Kolter聲稱，以下五個問題在調查樣本中出現的概率不到1%。

六、未經授權的遠程控制軟件

遠程控制軟件對診斷軟硬件方面的故障大有幫助。但這類軟件對不法分子來說同樣大有幫助，因為它為進入計算機提供了一條便道。

在某些情況下，PCAnywhere等遠程控制軟件由需要能夠從其他地方訪問台式機的用戶來安裝。在另一些情況下，卻是有人未經授權擅自安裝上去的，這些安裝或改動的軟件旨在用戶渾然不知或未經同意的情況下，允許第三方使用系統。

盡管存在明顯的危險，但調查發現，還是有近1%（0.82%）的受調查計算機安裝了不該安裝的遠程控制軟件。

七、媒體文件

未經授權的媒體文件之所以很危險，一是由於所含內容本身，二是可能隱藏在裡面的惡意內容。視頻和音樂文件成了有人偷偷把惡意軟件植入一家組織的越來越普遍的方法，包括間諜軟件、特洛伊木馬、病毒以及你能想到的幾乎其他各種惡意軟件。

一種流行的方法就是，把利用媒體播放器中安全漏洞的代碼嵌入到媒體文件中。比方說，被感染的媒體文件可以打開用戶計算機上的某個惡意網頁，利用該網頁自動感染該系統，然後再由該系統感染整個網絡。因為這種攻擊基本上不需要用戶的交互，所以用戶常常甚至不知道發生了什麼情況。

連唱片行業也玩起了這一招。2004年，一家為唱片公司