8月第1周安全回顾 0Day漏洞成企业最大威胁 应重视网络监听

文章同时发表在： [url]http://netsecurity.51cto.com/art/200708/52822.htm[/url]

 

本周（0730至0805）安全方面值得关注的新闻集中在安全管理、安全威胁和安全产品方面。

安全管理：0Day漏洞攻击成为企业信息安全的最大威胁

新闻：周一，根据全球领先的安全及漏洞管理企业Patchlink的最近的客户调查报告，在超过250名的被调查IT专家中，有54%认为0Day漏洞攻击是对企业信息安全威胁最大的因素，这个比例明显超过了排在威胁列表第二位的黑客攻击（35%）和第三位的恶意软件威胁（34%） 。

分析：0Day漏洞攻击这个名词从去年初开始就频繁在安全业界和媒体上出现，但对许多企业用户来说，这个名词的概念仍比较模糊，许多企业在进行信息安全风险分析和部署防御方案的时候也没有将其考虑在内。0Day漏洞攻击指的是攻击者利用未被公开的系统或应用程序漏洞发起的攻击，常见的0Day漏洞包括系统漏洞、Office类软件漏洞、Web应用程序漏洞。和其他类型的攻击不同，0Day漏洞攻击会影响到绝大部分的企业用户，而不分企业大小；同时由于0Day漏洞都是未公开的，企业用户在部署防御方案时也无法全面覆盖0Day漏洞可能发生的薄弱点。攻击者还常常利用用户的惰性和疏忽，将社会工程学和0Day漏洞攻击结合使用。

笔者建议：因为0Day漏洞大部分是属于缓冲区溢出类型的漏洞，因此在服务器和客户端上开启系统的数据执行保护（DEP），部署带有缓冲区溢出保护的安全软件，即可有效防护缓冲区溢出类型的0Day漏洞攻击；减少不必要的功能，对文件系统进行严格的访问权限控制，也可在一定程度上防护针对Web应用程序的0Day漏洞攻击；对于使用社会工程学的0Day漏洞攻击，最有效的办法是加强用户的安全意识和安全操作教育，并对黑客有可能利用的攻击路径，如Office软件、网页浏览等部署对应的安全方案。

安全威胁：互联网上的网络监听有可能成为企业新的安全威胁

新闻：周三，在当天的Black Hat会议上，来自PGP等公司的4名研究人员发表了一个关于互联网网络监听威胁的研究报告。该报告中指出，网络监听行为有可能会成为企业新的安全威胁，攻击者可以直接在互联网上对目标企业的网络通讯进行监听，并结合一定的数据分析手段，不需要破解网络通讯的具体内容也可获得目标企业内用户、系统及网络通讯的情况。

分析：网络监听常常被管理员用于监视企业内网的使用情况，发现内网中可能存在的异常流量或恶意软件流量，但网络监听也可能被黑客用来进行攻击活动。周三Black Hat会议上提到的网络监听攻击就是一个例子，这种攻击方式通常会发生在企业网络出口或ISP机房，攻击者只需要收集并分析特定时间段内的数据，即可从数据包的类型和时间戳上推断出目标企业日常的网络活动情况，但这种攻击方式同样可以运用在企业的内部网络，对特定的客户端进行网络活动分析，最终黑客可以用获得的信息对企业网络进行进一步的攻击。由于网络监听攻击不需要像网络嗅探那样要获取数据传输的具体内容，而是更多的使用统计学上的分析方法，因此常用的加密等防御手段对网络监听也没有效果。

笔者认为：企业暂时还不需要太过担心来自互联网上的网络监听攻击，但应该警惕发生在企业内部网络中的网络监听行为，可以通过部署IDS等安全设备来检查内网中是否存着网络监听。如果不是经过授权的管理员行为，那就有可能是攻击者已经侵入到企业内网，并正在进行网络活动的调查和特定网络数据的收集。

安全产品：WebSense部署Web 2.0威胁检测方案

新闻：周五，内容安全厂商WebSense在过去的6到8个月里，已经在互联网上部署了一个Web2.0威胁检测方案。这套称为“HoneyJax”的系统通过模仿用户在Web 2.0站点上的浏览行为，可以发现Web 2.0站点上可能存在的恶意软件、网络钓鱼等安全威胁。WebSense计划于本周日的Black Hat会议上向安全业界介绍这套系统。

分析：从去年开始，Web 2.0时代的用户浏览安全逐渐为安全业界所重视，但WebSense此次公开的系统却是业界首个直接关注Web 2.0安全的产品。虽然这个名为“HoneyJax”（意指”Honey“+”Ajax“，Web 2.0蜜罐）的产品只是一个检测型的产品，并不直接适用于客户端，但也代表了Web 2.0浏览安全的产品正式登上了内容安全市场的舞台。

可以预见的是，不久市场上便会出现可以用于客户端的Web 2.0浏览安全产品，这种产品有可能以防御查杀为主（集成到现在的反病毒产品）或检测为主（如现有的SiteAdvisor等站点访问提示工具），直接针对页面上存在的恶意代码为用户提供保护；还有另外一种可能的趋势是，各大搜索引擎商和安全厂商合作，为Web 2.0站点提供恶意代码检测服务，或在搜索结果中对用户提供危险页面的警告功能。