一個擁有3.9萬名雇員和數(shù)千臺計算機設備的全球星IT服務公司肯定是數(shù)字亡命之徒希望攻擊的目標。但是，哪一種攻擊最可能使安全主管晚上睡不著覺呢?位于慕尼黑的西門子公司旗下的西門子商務服務公司的首席信息和安全官Dave Bixler列出了下列三種攻擊:

1.間諜軟件

2.帶有容易被破解的口令的筆記本電腦被盜竊或者丟失。這種口令使用任何在線工具都能夠在幾分鐘之內被破解。

3.雇員把敏感文件拷貝到U盤中，然后把那個U盤弄丟了。

Bixler說，你參加任何會議都會發(fā)現(xiàn)人們把U盤丟得到處都是。我敢肯定人們丟在飛機上或者飯店房間中的U盤都存儲著數(shù)據(jù)。我非常擔心我的數(shù)據(jù)會去哪里，以及如何保證我的數(shù)據(jù)不去我不希望它去的地方。

并非Bixler一個人是如此。在今年2月份SearchSecurity.com網站對307位IT專業(yè)人員進行的有關他們入侵防御計劃的調查中，大多數(shù)受訪者表示他們最擔心的是內部使用計算機設備習慣不好的人會使敏感的數(shù)據(jù)處于風險之中以及間諜軟件和其它惡意軟件。這些威脅是他們最希望自己的入侵防御工具能夠解決的問題。但是，他們對這個結果總是不滿意。

Bixler說，間諜軟件是一個非常嚴重的問題，因為殺毒軟件廠商基本上使我們失望。主要廠商正在加緊努力，但是對于我來說，他們已經晚了兩年了。間諜軟件是另一種形式的病毒。我最希望能夠在每一個人的臺式電腦中都有另一種工具對付這種另類的病毒。

一、擔心的問題

在回答他們最希望自己的入侵檢測工具在哪些方面有所改善的問題時，35.6%的受訪者表示，他們要更好地檢測和防御內部的威脅，如雇員濫用政策規(guī)定和向U盤下載專用的信息等。

32%以上的受訪者表示，他們要更好地防御間諜軟件、減少檢測錯誤率和能夠把嚴重的攻擊和網絡噪聲分開的能力。30%的受訪者要求有更好的方法檢測未知的/零日攻擊。25.8%的受訪者要求有更好的病毒和蠕蟲防御功能。25.2%的受訪者需要把安全漏洞和威脅關聯(lián)起來。

在回答促使他們更換不同的IDS/IPS廠商的原因是什么的問題時，45.4%的受訪者表示，不同廠商的產品必須能夠更好地檢測和防御攻擊。35%的受訪者表示，如果不同廠商的產品更容易安裝和管理，他們就改用那個廠商的產品。

如果另一家廠商的產品提供更廣泛的安全功能和性能，33%的受訪者會轉換到這家廠商的產品。32%的受訪者表示，如果另一家廠商的產品能夠更好地與企業(yè)基礎設施集成在一起，他們就愿意轉換到那個廠商的產品。25.2%的受訪者表示，如果另一家廠商的產品能夠比他們目前使用的工具提供更多的安全功能而且價格更便宜，他們就愿意轉換到那家廠商的產品。

在Bixler最擔心的全部內部威脅中，移動設備并不總是排在前面的。這個情況有一天發(fā)生了變化。一位離職的雇員上交了一臺筆記本電腦，但是，沒有告訴IT工作人員這臺筆記本電腦的口令。

Bixler說，我到互聯(lián)網上尋找免費軟件破解這臺筆記本電腦的管理員口令。我只用了8分鐘的時間就用Google搜索到了一個恰當?shù)墓ぞ咂平饬诉@個口令。我還是一邊打電話一邊做的這個事情。而且我并不很擅長做這件事情。

二、用戶教育是一個大弱點

Jeremy Martin能夠理解為什么IT專業(yè)人員對內部威脅那么擔心。他是科羅拉多州科羅拉多斯普林斯的一個入侵測試員。他在工作時間設法突破大型商業(yè)企業(yè)和美國國防部等政府部門的網絡。

在發(fā)現(xiàn)全部安全漏洞之前，他首先進行基本的掃描，然后找到進入網絡的方法。他在業(yè)余時間還嘗試了社會工程學，發(fā)出釣魚攻擊的電子郵件，看看是否有人會打開這種電子郵件。他的目的是向客戶展示他們在安全方面最大的弱點在哪里以及入侵者是如何進來的。

Martin說，遺憾的是大多數(shù)機構的最大的弱點是用戶的教育問題。人們在打開這類電子郵件。人們寫下他們的口令或者反復使用同樣的口令。

至于間諜軟件，Martin說，大多數(shù)嚴重的間諜軟件爆發(fā)時間都可以追溯到用戶使用計算機設備的不良習慣。

間諜軟件是這樣一個問題:人們打開不應該打開的電子郵件或者訪問不應該訪問的網站，間諜軟件就趁這個機會下載到用戶的計算機中了。

三、忠告的話

當用戶問他如何封閉安全漏洞時，Martin提供了這樣的忠告:全體雇員必須學習他們機構的安全政策并且一直遵守這些政策。

他說，你需要確認通過培訓讓每一個人都了解安全政策。人們必須知道使用網絡、電子郵件等IT技術的正確的做法和錯誤的做法。這些使用政策對于高級官員和高級雇員的要求必須是相同的。

當然，這些安全政策必須要正確地制定。Martin說，我一直關注的一件事情就是政策中缺乏定義。這樣人們可以隨意解釋這個政策，而且每個人的解釋都不一樣。

北溫哥華市的IT管理員Craig Hunter的部門管理由350人使用的許多工作站。他也認為對用戶進行教育是非常重要的。但是，他說，普通雇員永遠不會成為信息安全專家。

他的觀點是，你要做的最好的事情就是把安全嵌入到系統(tǒng)中。這樣，用戶就看不見了。讓用戶更容易做正確的事情，而不是做錯誤的事情。

最后，Craig Hunter的IT部門取消了用戶申請過程，因為這個過程已經不需要了。這個部門使用了位于圣地亞哥的Websense公司提供的內容過濾器來封鎖可能向內部網絡下載包括間諜軟件在內的惡意軟件的網站。下載惡意軟件以前曾經是困擾這個部門的一個問題。他的部門還使用IronPort系統(tǒng)公司的Brightmail設備減少垃圾郵件和病毒。

四、最佳的防御總是多層次的防御

從大的方面看，Bixler、Martin和Hunter這三個人一致認為用戶的熟悉只是更大的分層次的防御的一部分。如果一個入侵者突破了網絡的這一端，這個網絡其它部分部署的設備或者程序會阻止這個入侵者。

Martin說，擁有監(jiān)視功能的軟件也是很重要的。不僅要在網絡上安裝這種軟件，而且也要在個人電腦上安裝這種軟件。

他補充說，一句明智的話就是在網絡上使用一家殺毒軟件廠商的軟件，在臺式電腦中使用另一家殺毒軟件廠商的軟件。Martin說，一家廠商更新簽名的速度和范圍可能比另一家廠商更快更廣。因此，使用兩家廠商的產品覆蓋面會更廣。

關于Intruder Alert

入侵防御程序經常宣稱它們能夠防御目前不斷發(fā)展的威脅。根據(jù)對一些IT專業(yè)人員進行的獨家調查，SearchSecurity.com網站的特別系列新聞“Intruder Alert”(入侵者報警器)考察了現(xiàn)實世界中的入侵防御計劃，以及哪一個廠商對于戰(zhàn)壕中人們最有價值。