一個擁有3.9萬名雇員和數(shù)千臺計算機設(shè)備的全球星IT服務(wù)公司肯定是數(shù)字亡命之徒希望攻擊的目標。但是，哪一種攻擊最可能使安全主管晚上睡不著覺呢?位于慕尼黑的西門子公司旗下的西門子商務(wù)服務(wù)公司的首席信息和安全官Dave Bixler列出了下列三種攻擊:

1.間諜軟件

2.帶有容易被破解的口令的筆記本電腦被盜竊或者丟失。這種口令使用任何在線工具都能夠在幾分鐘之內(nèi)被破解。

3.雇員把敏感文件拷貝到U盤中，然后把那個U盤弄丟了。

Bixler說，你參加任何會議都會發(fā)現(xiàn)人們把U盤丟得到處都是。我敢肯定人們丟在飛機上或者飯店房間中的U盤都存儲著數(shù)據(jù)。我非常擔心我的數(shù)據(jù)會去哪里，以及如何保證我的數(shù)據(jù)不去我不希望它去的地方。

并非Bixler一個人是如此。在今年2月份SearchSecurity.com網(wǎng)站對307位IT專業(yè)人員進行的有關(guān)他們?nèi)肭址烙媱澋恼{(diào)查中，大多數(shù)受訪者表示他們最擔心的是內(nèi)部使用計算機設(shè)備習慣不好的人會使敏感的數(shù)據(jù)處于風險之中以及間諜軟件和其它惡意軟件。這些威脅是他們最希望自己的入侵防御工具能夠解決的問題。但是，他們對這個結(jié)果總是不滿意。

Bixler說，間諜軟件是一個非常嚴重的問題，因為殺毒軟件廠商基本上使我們失望。主要廠商正在加緊努力，但是對于我來說，他們已經(jīng)晚了兩年了。間諜軟件是另一種形式的病毒。我最希望能夠在每一個人的臺式電腦中都有另一種工具對付這種另類的病毒。

一、擔心的問題

在回答他們最希望自己的入侵檢測工具在哪些方面有所改善的問題時，35.6%的受訪者表示，他們要更好地檢測和防御內(nèi)部的威脅，如雇員濫用政策規(guī)定和向U盤下載專用的信息等。

32%以上的受訪者表示，他們要更好地防御間諜軟件、減少檢測錯誤率和能夠把嚴重的攻擊和網(wǎng)絡(luò)噪聲分開的能力。30%的受訪者要求有更好的方法檢測未知的/零日攻擊。25.8%的受訪者要求有更好的病毒和蠕蟲防御功能。25.2%的受訪者需要把安全漏洞和威脅關(guān)聯(lián)起來。

在回答促使他們更換不同的IDS/IPS廠商的原因是什么的問題時，45.4%的受訪者表示，不同廠商的產(chǎn)品必須能夠更好地檢測和防御攻擊。35%的受訪者表示，如果不同廠商的產(chǎn)品更容易安裝和管理，他們就改用那個廠商的產(chǎn)品。

如果另一家廠商的產(chǎn)品提供更廣泛的安全功能和性能，33%的受訪者會轉(zhuǎn)換到這家廠商的產(chǎn)品。32%的受訪者表示，如果另一家廠商的產(chǎn)品能夠更好地與企業(yè)基礎(chǔ)設(shè)施集成在一起，他們就愿意轉(zhuǎn)換到那個廠商的產(chǎn)品。25.2%的受訪者表示，如果另一家廠商的產(chǎn)品能夠比他們目前使用的工具提供更多的安全功能而且價格更便宜，他們就愿意轉(zhuǎn)換到那家廠商的產(chǎn)品。

在Bixler最擔心的全部內(nèi)部威脅中，移動設(shè)備并不總是排在前面的。這個情況有一天發(fā)生了變化。一位離職的雇員上交了一臺筆記本電腦，但是，沒有告訴IT工作人員這臺筆記本電腦的口令。

Bixler說，我到互聯(lián)網(wǎng)上尋找免費軟件破解這臺筆記本電腦的管理員口令。我只用了8分鐘的時間就用Google搜索到了一個恰當?shù)墓ぞ咂平饬诉@個口令。我還是一邊打電話一邊做的這個事情。而且我并不很擅長做這件事情。

二、用戶教育是一個大弱點

Jeremy Martin能夠理解為什么IT專業(yè)人員對內(nèi)部威脅那么擔心。他是科羅拉多州科羅拉多斯普林斯的一個入侵測試員。他在工作時間設(shè)法突破大型商業(yè)企業(yè)和美國國防部等政府部門的網(wǎng)絡(luò)。

在發(fā)現(xiàn)全部安全漏洞之前，他首先進行基本的掃描，然后找到進入網(wǎng)絡(luò)的方法。他在業(yè)余時間還嘗試了社會工程學(xué)，發(fā)出釣魚攻擊的電子郵件，看看是否有人會打開這種電子郵件。他的目的是向客戶展示他們在安全方面最大的弱點在哪里以及入侵者是如何進來的。

Martin說，遺憾的是大多數(shù)機構(gòu)的最大的弱點是用戶的教育問題。人們在打開這類電子郵件。人們寫下他們的口令或者反復(fù)使用同樣的口令。

至于間諜軟件，Martin說，大多數(shù)嚴重的間諜軟件爆發(fā)時間都可以追溯到用戶使用計算機設(shè)備的不良習慣。

間諜軟件是這樣一個問題:人們打開不應(yīng)該打開的電子郵件或者訪問不應(yīng)該訪問的網(wǎng)站，間諜軟件就趁這個機會下載到用戶的計算機中了。

三、忠告的話

當用戶問他如何封閉安全漏洞時，Martin提供了這樣的忠告:全體雇員必須學(xué)習他們機構(gòu)的安全政策并且一直遵守這些政策。

他說，你需要確認通過培訓(xùn)讓每一個人都了解安全政策。人們必須知道使用網(wǎng)絡(luò)、電子郵件等IT技術(shù)的正確的做法和錯誤的做法。這些使用政策對于高級官員和高級雇員的要求必須是相同的。

當然，這些安全政策必須要正確地制定。Martin說，我一直關(guān)注的一件事情就是政策中缺乏定義。這樣人們可以隨意解釋這個政策，而且每個人的解釋都不一樣。

北溫哥華市的IT管理員Craig Hunter的部門管理由350人使用的許多工作站。他也認為對用戶進行教育是非常重要的。但是，他說，普通雇員永遠不會成為信息安全專家。

他的觀點是，你要做的最好的事情就是把安全嵌入到系統(tǒng)中。這樣，用戶就看不見了。讓用戶更容易做正確的事情，而不是做錯誤的事情。

最后，Craig Hunter的IT部門取消了用戶申請過程，因為這個過程已經(jīng)不需要了。這個部門使用了位于圣地亞哥的Websense公司提供的內(nèi)容過濾器來封鎖可能向內(nèi)部網(wǎng)絡(luò)下載包括間諜軟件在內(nèi)的惡意軟件的網(wǎng)站。下載惡意軟件以前曾經(jīng)是困擾這個部門的一個問題。他的部門還使用IronPort系統(tǒng)公司的Brightmail設(shè)備減少垃圾郵件和病毒。

四、最佳的防御總是多層次的防御

從大的方面看，Bixler、Martin和Hunter這三個人一致認為用戶的熟悉只是更大的分層次的防御的一部分。如果一個入侵者突破了網(wǎng)絡(luò)的這一端，這個網(wǎng)絡(luò)其它部分部署的設(shè)備或者程序會阻止這個入侵者。

Martin說，擁有監(jiān)視功能的軟件也是很重要的。不僅要在網(wǎng)絡(luò)上安裝這種軟件，而且也要在個人電腦上安裝這種軟件。

他補充說，一句明智的話就是在網(wǎng)絡(luò)上使用一家殺毒軟件廠商的軟件，在臺式電腦中使用另一家殺毒軟件廠商的軟件。Martin說，一家廠商更新簽名的速度和范圍可能比另一家廠商更快更廣。因此，使用兩家廠商的產(chǎn)品覆蓋面會更廣。

關(guān)于Intruder Alert

入侵防御程序經(jīng)常宣稱它們能夠防御目前不斷發(fā)展的威脅。根據(jù)對一些IT專業(yè)人員進行的獨家調(diào)查，SearchSecurity.com網(wǎng)站的特別系列新聞“Intruder Alert”(入侵者報警器)考察了現(xiàn)實世界中的入侵防御計劃，以及哪一個廠商對于戰(zhàn)壕中人們最有價值。