3月第4周安全回顾 企业IM隐患多 Google助黑客寻找目标

本文同时发表在： [url]http://netsecurity.51cto.com/art/200803/68374.htm[/url]

 

本周（080324至080330）信息安全威胁等级为低。Intel研究人员目前正在研究一种命名为Proteus的移动安全技术，这种技术将能够区分用户正常的行为和恶意软件行为，从而允许或禁止该移动终端访问企业的内部网络，Intel的研究人员还称这种技术甚至能够达到识别特定的移动终端的精确度。由于这种技术的启用需要连续监视用户的操作行为，是否可能造成用户的个人隐私侵犯？请有兴趣的朋友关注《 51CTO隐私保护技术探讨系列》专题。

 

媒体方面，本周值得关注的新闻集中在安全管理、威胁趋势领域。

 

安全管理：企业IM仍存在大量不安全行为；用户是终端安全的最大威胁；关注指数：高

新闻1：周三，安全厂商FaceTime当日发表报告称，企业内部即时通讯的使用 仍存在大量的不安全行为。根据FaceTime一个针对贸易行业的调查显示，平均有占用户总数25%的用户曾经使用即时通讯服务发送过敏感的企业经营计划、财务信息或系统登录密码等。

笔者观点：当前企业中即时通讯服务的使用日益增多，许多企业甚至将即时通讯当作一种标准的业务联络方式，即时通讯的重要性已经不逊于电子邮件。使用即时通讯服务与客户进行业务洽谈，并使用电子邮件对谈好的事项进行确认也是很多企业中一种常见工作方式。但目前存在的问题是，很多的企业员工认为他们正在使用的即时通讯技术是非常安全的，他们正在进行的即时通讯对话并不会被第三方所窃听，因此，企业员工常常使用即时通讯对话来进行敏感信息的交换，如同之前广泛使用的电子邮件方式一样。实际上，相当多的即时通讯产品所使用的通信协议并不是加密的，第三方很容易通过嗅探等手段进行窃听，去年闹得沸沸扬扬的MSN聊天记录被公开案就是一个很有代表性的例子。此外，企业中广泛使用的VoIP技术上也存在同样的风险。

笔者认为，尽管市面已经有能够通过过滤关键词或敏感句子的方式，对即时通讯或电子邮件进行泄密检查的解决方案，但这样并不能有效的阻止企业员工通过这些不安全的通讯渠道发送敏感信息的。因此，更好的解决方法应该是企业在安全策略中规定敏感信息的安全交换方法，同时部署相应的即时通讯加密软件，安全厂商也可以多关注企业的敏感信息安全交换需求。

 

新闻2：周五，安全厂商EMC的信息安全业务主管当天在波士顿安全世界展会上发言称，用户是终端安全的最大威胁。尽管企业在终端安全方案上投入了相当大的成本，但不遵守安全策略的用户仍会使企业的内部网络频频出现安全警报。

笔者观点：终端安全（Endpoint Security）是2006年出现的一个较新的概念，它通过控制用户终端系统上通过文件或设备感染的恶意软件及其他威胁，从而达到减少能够进入企业内网中的威胁因素，保护企业的信息资产的目的。这两年来，许多企业都已经部署了终端安全方案，也取得了一定的成果，但EMC信息安全业务主管的发言，也从一定程度上代表了目前终端安全应用中遇到的问题：其一是许多企业以为部署了终端安全方案，就能高枕无忧，恶意软件和黑客不可能侵入到企业的内部网络，却没有对企业已部署的终端安全方案给以足够的维护和管理；其二是用户普遍认为部署了终端安全方案，就可以随便使用各种移动设备，甚至将自己私用的移动设备带入到工作场所中。因此，尽管这两年来企业遭受大规模恶意软件事件的新闻大幅度减少，但另外一个对企业影响更大的威胁――敏感数据泄漏事件，发生的频率大幅度提升。针对目前企业部署了终端安全方案但仍频频发生安全警报的困境。

笔者建议，企业应该在部署终端安全方案后，同步更新现有的企业安全策略，新增对各种来自终端的恶意软件或入侵活动的响应策略，制定用户设备控制策略，防止敏感数据通过用户的未授权设备泄漏，同时大力加强用户的安全意识和安全使用教育，这样才能更好的发挥终端安全产品的作用，减少企业内部网络发生的安全事件。

 

威胁趋势：网络钓鱼组织使用Google寻找可以攻击的站点；关注指数：高

新闻：周三，安全厂商MarkMonitor的研究人员称，绝大部分的网络钓鱼组织通过Google等搜索引擎来寻找存在漏洞的站点，并对所找到的站点进行网络钓鱼攻击。据不完全统计，有超过75%的现有网络钓鱼站点都使用了黑客地下交易的漏洞站点搜索关键词进行构建。

笔者观点：因为Google等搜索引擎使用的网页爬虫性能十分强劲，能够完整的记录网站的结构和页面，所以，搜索引擎就拥有作为信息发现及深度挖掘工具的潜力。使用搜索引擎对网站安全性进行审计，并查找是否存在安全上的弱点或漏洞并不是新闻，早在2005年，Mcafee的Foundstone部门就曾推出过一个名为SiteDigger的搜索工具，专门查找目标站点上是否存在一些已知的安全漏洞，有兴趣的朋友也可以找到相当多的相关文档。

笔者认为，MarkMonitor的研究人员所发现的黑客行为中，最重要的并不是网络钓鱼组织使用Google来寻找存在漏洞的站点，而是漏洞站点的搜索关键词也成为黑客地下交易的一种商品，这将直接导致相当多的不良结果，如一个存在漏洞的站点会多次被不同地区的黑客攻击；人气不高的较小站点也会成为黑客的目标；危害更大的是将有可能导致蠕虫或其他自动化的站点攻击工具的泛滥。笔者建议，网站管理员应该关注各大漏洞信息公布站点的消息，及时修补自己网站上存在的漏洞，即使自己的站点访问量不大也应该如此。而搜索引擎的提供商也应该对这种威胁提供防御措施，防止自己的免费服务变成黑客的帮凶。