本周(080310至080316)信息安全威胁等级为低。访问控制这样的安全措施反而成为黑客进入系统的渠道似乎有些不可思议,但这种情况在未来并非不可能,前Microsoft安全小组成员DanGriffin的新工具能够挖掘WindowsVista中智能卡驱动的漏洞,进而用于缓冲区溢出或拒绝服务攻击,这就使得企业期望能加强访问安全的双因素访问控制方案反而有可能成为黑客攻击的目标和进入系统的渠道。
媒体方面,本周值得关注的新闻集中在漏洞攻击、反恶意软件、威胁趋势方面
漏洞攻击:Microsoft发布三月例行补丁升级包,修补12个Office漏洞;关注指数:高
新闻:周三,来自多家媒体的消息,Microsoft在当天准时发布了三月的例行补丁升级包,包括4个针对MicrosoftOffice的补丁升级程序,共修补12个Office各版本中存在的漏洞,共修补了7个Office2000中的Excel存在的漏洞、1个Outlook中存在的URI漏洞、2个影响Office2007的漏洞以及2个影响OfficeWebComponent的漏洞。值得关注的是,在三月的补丁升级中并未包括WindowsXP和WindowsVista相关的补丁升级程序。
笔者观点:尽管本周是Microsoft每月发布例行补丁升级包的日期,但安全业界并没有相应的调高安全威胁等级,这与Microsoft的三月例行补丁升级包内的补丁升级程序全部是针对Office系统,而且绝大部分补丁程序针对较老的Office2000有较大的关系。Microsoft3月的补丁升级包全部由Office相关的补丁组成,用户最直观的感受可能是MicrosoftOffice系统越来越安全,正在使用Office2000的用户需要尽快迁移到更高版本——但事实上,这反映了针对Office攻击逐渐成为黑客越来越常用的手段,因此,Microsoft也将更多的精力用于响应Office攻击事件并推出Office的补丁。
笔者认为,针对Office的攻击对企业用户影响最大。由于企业用户普遍使用Office作为其主要的文档处理方案,但却往往疏于对Office的版本进行及时的更新,这就给黑客利用各种已公开的Office漏洞对企业的信息设施进行渗透开了方便之门。建议企业用户及时通过MicrosoftUpdate或OfficeUpdate站点对自己目前使用的Office进行升级,并使用最新的反病毒软件来对进入企业的Office文件进行检查也对防御针对Office的攻击有一定效果。
反恶意软件:评测发现流行反病毒软件的反Rootkit能力仍较弱;关注指数:高
新闻:周三,独立的反病毒软件评估组织AV-test.org当天发表最新的评测报告称,众多流行的反病毒软件检测和清除Rootkit类恶意软件的能力仍较弱。AV-test.org的测试对象共包括来自Microsoft、CA、Sophos、Symantec等知名安全厂商的30款反病毒软件。
笔者观点:对Rootkit类恶意软件的检测和清除能力不佳是反病毒软件都普遍面临的问题,这是由于Rootkit类恶意软件能够篡改系统调用隐藏自身并拥有比大部分的反病毒软件进程更高的权限所决定的。尽管目前市面上有相当一部分的反病毒厂商声称自己的产品能够可靠检测并清除所有的恶意软件,但事实上它们对Rootkit类的恶意软件效果并不好,这也能从一个事实中得到侧面的反映:大部分提供外包安全服务的安全厂商,其技术人员在进行反病毒服务时,大多采用如Gmer、IceSword等第三方的检测工具来清除遇到的Rootkit类恶意软件,而不是使用某个反病毒厂商的产品。
笔者认为,反病毒软件对Rootkit类恶意软件的检测和清除能力不佳是事实,但这也不应该成为安全评测机构或用户指责反病毒厂商的证据或市场炒作手段,毕竟这个结果是由多方面原因造成的。但同时反病毒厂商也不应该松懈,在继续加强现有反病毒产品技术水平的同时,适时的根据威胁及技术的发展推出适用于清理Rootkit类恶意软件的专杀工具,并提供相应的教程或说明。最后,对用户来说,提高自己在使用电脑和网络时候的安全意识、学习和恶意软件防御相关的知识,并正确的使用安全软件,才能尽可能防御Rootkit类恶意软件对自己系统的侵袭。
威胁趋势:黑客盯上企业的FTP服务;关注指数:高
新闻:周二,当前越来越多的针对企业对外的FTP服务攻击事件显示,黑客正在转换他们的攻击目标。除了之前各家媒体报道过的黑客地下社区出售多个大公司的FTP用户账户的新闻之外,多个反病毒厂商也检测到一些企业的FTP服务器被用来散布恶意软件。
笔者观点:出现于70年代末期的FTP服务是企业最为常用的文件共享手段,企业常常在互联网网或内部网络中架设FTP服务器,用于和外界的合作伙伴、客户等发布或共享文件,也能用于在企业的各分支机构间交换文件,FTP服务也广泛用于Web服务器的维护上。FTP服务器的部署使用十分简便,但同时FTP服务也存在着没有通讯加密,容易被破解等缺点。尽管近十年来出现了很多更方便更安全的文件发布和共享方案,但出于成本或维护的考虑,绝大部分的企业仍将FTP作为一种主要的文件发布共享手段。黑客最近发起的针对的企业FTP服务器的攻击活动,显示FTP服务的弱安全性正导致企业越来越多的损失——从最显而易见的FTP服务器上的敏感文件丢失,到被黑客利用企业的FTP服务器进行恶意软件的传播导致的企业声誉受损。
笔者认为,企业应重视现有FTP服务器的安全,对现有FTP服务器上的账户进行审计,并设定严格的访问控制策略,防止黑客或其他非法用户使用FTP服务器并造成企业的损失。另外,对于习惯使用FTP服务来进行文件交换的企业,如果涉及敏感信息的话,应尽快使用其他更为安全的文件交换服务代替现有的FTP服务,一时没有条件进行更新的企业也应该对所有通过FTP服务交换的敏感信息进行高强度的加密处理。
本文转自J0ker51CTO博客,原文链接:http://blog.51cto.com/J0ker/66154,如需转载请自行联系原作者
