| 出版日期:2005-03-28 总期号:1398 本年期号:21 |
|
 |
多层防护抵御 蠕虫肆虐
文 冉科 蠕虫病毒带来的网络危害后果非常严重, 如何更好地保护网络免受攻击,多层防护措施是必不可少的, 信息管理、及时更新、定期查毒以及完善的防范体系都是有效措施。 蠕虫病毒之所以成为网络的灾难,主要来自于它的超强传播性。蠕虫病毒以网络为传播媒介,网络上的电子邮件、共享文件夹、各种恶意网站以及存在各种漏洞的服务器,都是蠕虫病毒发作的有效传播途径。它的危害是能在瞬间迅速蔓延到整个局域网,导致网络传输缓慢,甚至瘫痪、崩溃,而且蠕虫病毒的突然发作性和超强攻击性,常常让人手足无措。蠕虫以网络为目标进行感染,其防范措施涉及多个层面,除了及时快速地为终端系统打上最新的补丁程序外,杀病毒软件的版本更新、个人防火墙的正确设置、入侵检测系统的及时侦听,以及重要的认证管理都是终端安全的根本保证,也只有采用多层防护体系,才能抵御蠕虫病毒的危害。 关联信息资产与安全管理 蠕虫病毒的感染大都是通过系统漏洞和个人操作缺陷,来对网络或计算机进行攻击的。在蠕虫防护中,定义信息资产,以信息资产为对象的形式是蠕虫防护的最佳方案。这是因为,在企业信息安全管理中引入资产保护,可以使抽象复杂的信息管理明朗化。我们知道,企业的一切信息系统都依赖IT基础设施,并且一切信息系统在网络上最能直观地反映整个网络的逻辑结构和数据流。因此,在蠕虫防护中引入信息资产,通常具有架构清晰,设备数量少而简单,结构相对稳定的特点,便于管理。同时很容易把管理和信息资产关联起来。 当然,通过这种以信息资产为对象的安全管理,集中对企业的所有终端资产信息自动获取进行全面资产管理,使管理员轻松掌握随时变化的终端资产状态。同时通过集中的资产管理数据库,使得企业终端管理数据始终保持一致,特别是大型企业,几千台终端设备要及时快速地打上新的补丁程序,这在没有以信息资产为对象的管理中几乎是不可能的。因此,以信息资产为对象,可以大大降低管理员的工作量,使得蠕虫防护变得更为简单有效。 实时补丁管理更新 针对这种需求,安氏推出了Terminal Guard,它实现了以集中管理为基础的终端保护系统,其主要功能包含了一个以资产管理为核心的管理系统,目的是为用户打造一个可信终端计算环境,使得蠕虫防护变得完善。 Terminal Guard以信息资产为对象,它收集整个网络系统所具有的资产信息,这些信息包含了用户的IP地址、MAC地址、CPU、内存等各种硬件信息、各种软件信息(安装的软件产品、补丁)。同时,不断跟踪终端的变化,用户可以通过业务系统和组织结构两种视图对所管理的终端进行查询和管理,保证管理员随时得到最新的信息。 很多人都知道,在蠕虫防护中,系统之所以感染蠕虫,绝大多数都是由于网络系统缺乏及时的补丁管理。补丁管理是蠕虫防护中的重要内容之一,补丁管理只是面对安全威胁保障这一目的的手段而已,所以,Terminal Guard抓住企业网络上的业务流这个关键,从补丁管理的角度出发,分析漏洞及其威胁是通过那些关键因素起作用,这种安全管理,实际是以用户终端信息资产为目标来实现的。Terminal Gurad为用户提供了功能强大的补丁管理中心,软件及补丁管理子系统分别由补丁获取、软件及补丁库、软件及补丁的维护管理和软件及补丁发布四个模块组成。其中,补丁获取模块负责从外部补丁站点获取最新的补丁更新;软件及补丁库模块负责保存所有软件及补丁的信息;软件及补丁的管理维护模块负责软件的添加和配置,补丁的验证和维护,软件及补丁发布的策略等;软件及补丁的发布模块负责根据客户端的请求,返回相应的补丁信息。因此,通过Terminal Gurad补丁管理中心,使得用户终端及时下载并为系统打上补丁,以便让系统每时每刻处于最安全状态。所以强大的补丁管理功能从根本上杜绝了终端系统由于没有及时打上补丁程序而感染蠕虫病毒。 为了使终端能够完成实时补丁更新,安氏为Terminal Guard建立了一个专门的更新网站,Terminal Guard管理服务器只要通过Internet连接到更新网站上,就可以得到实时的更新服务。安氏ST-Force小组随时跟踪微软等公司的补丁情况,因为安氏是微软在亚洲第一家金牌安全合作伙伴,能够快速及时地得到微软最新的补丁和信息,从而可以保证用户在第一时间得到最新的补丁程序。对于存在封闭网络的客户,可以定期访问安氏的网站,下载补丁包,并手工部署和上传到服务器上。 定期查杀病毒 在蠕虫防护中,打上补丁程序只是蠕虫防护的关键内容之一。无论你多么小心,总会有出错的时候。无论保持多高的警惕,总会在不经意间出现错误操作,例如打开了陌生邮件或访问了恶意网站等。为了避免误操作带来不必要的损失,Terminal Gurad强制用户对终端系统进行正确设置,即使操作错了,也不会出现危险。同时,防止了遇到不熟悉或感觉好奇的邮件而随意打开时,将蠕虫病毒“带”回家的可能。为了将通过电子邮件传播的蠕虫全部“拒之门外”,反病毒软件对系统是否存在病毒进行及时查杀是非常有必要的。Terminal Gurad系统中,为用户提供了杀毒软件定期“服务”。蠕虫病毒现在种类繁多,攻击方式多样,破坏力也是越来越强,对待它们最直接有效的方法就是定期使用病毒软件进行查杀。对付蠕虫病毒比较有效的杀毒工具,对蠕虫病毒的防范也做得比较好。同时,Terminal Gurad也为用户提供了个人防火墙模块,可以对蠕虫病毒进行有效的预防和拦截。 个人防火墙与IDS预防 反病毒软件、补丁管理系统的确可以预防火势蔓延,即便这些办法无法阻止首次感染。而个人防火墙对终端系统的保护也是蠕虫病毒防护的方法之一,用个人防火墙保护网络终端和家庭电脑。可配置最佳的默认安全功能,以防内部与外部威胁。事实上,微软官方推荐的防范冲击波病毒的办法就是使用个人防火墙。所以千万不要以为系统中安装了杀毒软件,打上了漏洞补丁,安全威胁就远离你了。其实,防范病毒入侵最稳妥的方法就是安装并正确设置个人防火墙。安装了防火墙软件后,还需要对它进行定期更新,让防火墙更好地防范最新的病毒入侵或黑客攻击。 也许你并不知道自己的系统存在安全隐患,但连接到网络上,其他人就可能会利用专门工具,将你的漏洞或隐患全部扫描出来,以后这些隐患可能会为别人攻击你提供便利。为此,Terminal Guard可以提前将系统隐患查找出来,再做好安全防护措施,漏洞和隐患就不会被别人利用。这就是蠕虫防护中IDS的重要作用。查找系统隐患时,必须借助专业系统扫描工具进行提前预防。 完整更新防范体系 那么,怎样才能保证终端系统的补丁程序和防病毒软件、个人防火墙、入侵检测系统都能跟上病毒发展的脚步呢?这就要求我们的所有防范措施都是最新和最完整的。另外,万一用户无意或有意卸载或删除了某些关键程序该怎么办呢?这就提到Terminal Guard的完整性检查和自动修复功能和强制网关对终端用户进行安全强制认证。 在完整性检查和自动修复功能中,Terminal Guard通过对客户端本地文件的完整性检查来判断终端是否会出现安全隐患,以此来保证终端计算环境的安全。管理员可以通过Terminal Guard管理服务器,设定相关的策略,按照Windows本地安全策略规则,定期检查某个特定文件的更改日期、大小和HASH。 在完整性检查中,Terminal Guard可以根据用户需求自定义完整性检查,它允许指定检查某个程序的时间、大小、是否运行、HASH等信息以保证系统的安全。例如防病毒、个人防火墙等系统可有效保护用户,并可根据需要更新到最新版本,当某条规则规定的条件不满足时将自动执行完整性修复,手段包括执行本地某个程序或从指定URL下载并执行某个程序。 在专有补丁检测技术上,Terminal Guard建立一个专门的检查机制用于检测补丁安装情况,同时为每个补丁建立了一套特征。通过该特征,可以检查补丁是否安装,如检查Windows平台上的操作系统、IE、Office、SQL Server等主流软件补丁安装情况,保证安装需要的补丁。当然Terminal Guard同样也允许用户创建自己的补丁和补丁检查特征。 在智能补丁安装上,Terminal Guard的客户端可以根据知识库的记录智能计算需要安装的补丁顺序,尽量减少重启的次数。如果用户在需要重启的时候停止补丁更新,则在下次重启后自动继续补丁的更新。系统能够根据服务器和工作站选择不同的重启方式,当然,打过补丁没有重启的计算机可以在服务器端看到。 网关强制访问控制 那么,怎样才能保证上面我们提到的任务都给予了很好的完成呢?这就是Terminal Gurad中的重要功能:强制认证网关。 在强制认证网关对终端用户进行安全强制认证功能中,Terminal Guard通过强制认证网关的策略强制访问控制模块,始终保持与策略管理中心和用户终端的秘密通信,要求符合条件的终端通过正确认证才给予放行,也就是说作为内网访问外部网络的安全强制手段,保证内部被保护信息资产的安全。它可以根据安全引擎代理提供的安全状态、被访问的地址和服务,及中心策略管理服务器提供的验证信息决定采取通过或阻止网络连接的动作。因此通过强制网关有效的访问控制功能,保证终端信息的合法性,从而从根本上杜绝终端的蠕虫感染。 (C2) 相关链接 谈“虫”色变 蠕虫病毒对信息资源的危害是计算机用户所公认的,如蠕虫病毒利用远程溢出漏洞或特定的微软组件存在的漏洞,对单位用户或局域网系统进行的主动攻击,或通过发送电子邮件或访问恶意网页等方式来破坏网络或个人电脑等等,这种例子已不胜枚举。更严重的是在蠕虫的感染和不断扩散中,感染系统所自动产生的攻击包在其他网络中蔓延、扩散,最终导致整个网络资源被消耗尽,它不但破坏了主机系统,还使得整个网络处于瘫痪。 当然提起蠕虫病毒,大家容易和普遍病毒混为一谈。其实蠕虫病毒与普通病毒有很大不同:在存在形式上,普通病毒通常要寄生于文件之中,而蠕虫却是一个独立的程序;在传染机制上,普通病毒随宿主程序运行,而蠕虫却是主动攻击;在传染目标上,普通病毒以本地文件为目标,而蠕虫却是以网络为目标进行感染。当然,到目前为止,人们对蠕虫病毒还没有形成一个统一的认识,但是,作为一种病毒,蠕虫却具有普通病毒的共性,同样具有极强的破坏性,发作的传播性,潜伏的隐蔽性等特征。 看清传奇木马大盗 如今国内传奇游戏玩家众多,网上虚拟装备交易火爆,一件好的装备或高级的账号卖出上千块人民币已不足为奇,于是大批针对传奇游戏的木马病毒涌现。其中危害较大的有网吧传奇杀手、传奇男孩、传奇黑面、传奇盗号木马、蜜蜂大盗。 1.网吧传奇杀手 (Trojan.PSW.LMir.qh)该木马破解了传奇游戏的加密解密算法,专门针对在网吧玩“传奇”游戏的用户。只要有人在网吧中一台电脑上运行此木马,整个网吧全体传奇玩家的账号密码、装备等信息就会被偷走,相当恐怖!因为该木马会截取局域网中的数据包,分析“传奇”游戏通信协议,从而截获网吧内所有玩家的信息。 2.传奇黑面 (Win32.Troj.Mir2HAK)传奇黑面会监视玩家的输入,自动记录你键入的传奇账号密码,并发送到病毒作者的邮箱中,给你带来经济损失。该木马发作时会将自己拷贝到Windows\system32目录下,名称与Windows系统程序及其DLL文件非常相似,稍不注意还以为是系统文件,具有很大的欺骗性。 3.传奇男孩 (Troj.MirBoy)传奇男孩是针对传奇游戏的木马病毒,专门偷取用户的传奇账户与密码,发送到黑客指定的邮箱中。该病毒侵入玩家电脑后,会将自身拷贝到系统目录,然后在注册表中修改键值,以便系统启动时自动加载;它还会终止系统中各类反病毒软件,例如天网防火墙、ZoneAlarm等。 4.传奇盗号木马 (Win32.Troj.Sincom.e)该木马运行后会窃取用户的传奇账号和密码,并把这些信息发送给木马种植者,导致被感染机器的玩家,在传奇游戏中的角色完全被他人控制。另外,它还会关闭常见的杀毒软件,防止自己被杀毒软件清除掉。 5.蜜蜂大盗 (Win32.Troj.MiFeng70)该木马偷窃传奇游戏的密码,并将密码发到指定的信箱。此外,它还能盗窃以下软件的密码:QQ、奇迹、千年、红月、倚天等。 (c12) 也许黑客已经控制你的电脑 一位德国的安全问题专家表示,全球至少有100万台计算机在黑客的控制下,bot和botnet要比我们想象的更加严重(被安装了恶意程序的个人电脑被称为“bot(bot机器)”,由bot机器构成的网络称为“botnet”)。 只用三台计算机充当蜜罐(Honeypot),故意留下漏洞让黑客来攻击,这样黑客的行踪和bot就会被研究人员捕获,德国亚琛大学(Aachen University)安全分析家在三个月的研究中就发现了上百种botnet,且它们控制了数万台计算机和系统。Honeypot研究人员认为,这些不过是保守数字,估计至少有100万台计算机处于黑客控制之下。 IDefense公司的一位从事恶意代码研究的主管Ken Dunham说,这些数字并不足为奇,黑客攻击的势头很难控制。在他们最近六个月的研究中发现botnet计算机由几百个急速膨胀到6000个,不难预测botnet已感染了50000台计算机,从而能轻易控制100万台。由IDefense公司跟踪到的最大数目botnet是在2003年,它曾经控制了120,000台计算机。 由黑客控制的大量计算机主要用来获利、拒绝服务攻击(DoS)、制造垃圾、用蠕虫病毒攻击别的计算机(通常情况下botnet同时散播二个bot)、制造虚假网页套取客户个人信息、安装间谍软件。 Honeypot研究人员发现,大量的botnet将伪装成Windows系统中普通的服务,如RPC和NetBIOS域名服务等。 事实上,大量的botnet利用Windows弱点来进行缓冲区溢出攻击。缓冲区溢出攻击码对黑客非常有用,从而造成了botnet的泛滥。德国研究人员发现,botnet造成的危害非常严重,由1000台感染了botnet的计算机具有融合超过100兆每秒带宽的能力,高于互联网上大多数系统,从而造成垃圾阻塞和拒绝服务。 (王卫东) 语音也遇到垃圾 你以前可能经常听说到“垃圾邮件”这个词汇,但是现在又有一种新的“垃圾”产生了,这就是“垃圾语音”--SPIT (SPam over Internet Telephony)。SPIT意指通过互联网电话传输的垃圾语音消息。随着VoIP技术的飞速发展,企业内部部署VoIP的成功案例越来越多,电信级别的宽带电话也方兴未艾。这就为“垃圾语音”的繁殖和生长提供了肥沃的土壤。 如果你平时正在为每天收到几十封垃圾邮件而郁闷,那当你每天都接听到几十个垃圾语音电话时,一定会是怒火中烧了,工作效率肯定大打折扣。如果不加限制和制止,“垃圾语音”将严重影响企业VoIP的持续高效地运行。 “垃圾语音”制造者可以通过简单的一次点击鼠标,就可以向VoIP语音邮件信箱发送数以千计的垃圾语音消息。虽然目前这还不是一个大问题,但随着VoIP在未来数年的增长,肯定会出现利用VoIP发送垃圾消息的犯罪分子。 提供企业VoIP管理监控产品的Qovia公司,近来已经申请了一项技术专利,允许用户能够通过VoIP系统广播语音邮件,可以预见,这样的垃圾语音邮件将在世界上广泛流行。所以,该公司同时认为,自己同时已经成为开发对抗SPIT技术的公司了,因为就是它开发出了让SPIT广播成为可能而恰好需要的技术。 既然已经有一个公司开始为一项技术申请专利(并同时开始准备开发对抗该种技术的技术),那么其他公司开发出一种机制来为垃圾语音的传播提供另一条通道,就已经成为不可避免的事情了。 虽然SPIT也许仍然还不是一个明确的、已来临的危险,但是,事实上,这些最新开发的技术也许将使SPIT的广播成为可能,同时现实也迫使人们去开发合适的反抗技术来保证VOIP技术不被误用。 (飞雪) |
||||||||||||||||||||||
