PDFCTO 圆桌会议:恶意软件防御概述
互联网使恶意软件能够发展成更广泛的分发模式,并正经历着个人威胁的巨大爆发。现在有自动化工具可以查找易受攻击的站点,攻击它们,并将它们变成分发站点。随着商业和日常生活业务迁移到线上,利用信息资产获取非法利益的攻击急剧增加。安全专业人员正在看到与合法世界中商业模式相当的,更加复杂和创新的盈利模式。
通常,一台机器的感染签名是独一无二的,并且与任何其他机器完全不同,这使得有效的防御更难以实现。一些研究表明,互联网上所有 PC 中有 12% 感染了恶意软件,而面向消费者的 PC 领域的感染率接近 25%。这种差异反映了 IT 专业人员为保护非消费者 PC 领域所做的成功安全努力,并表明存在降低总体感染风险的机制。虽然以下概述并非旨在取代 CTO 圆桌会议对恶意软件防御的深入讨论,但它应该帮助读者了解当今威胁的基本范围,并提供一个框架来应对这些威胁并最大限度地降低总体妥协风险。—Mache Creeger
存在许多类型的恶意软件和有效载荷,但其中两种类型尤其引起消费者和企业领域的关注。两者都捕获个人信息;有些本质上是机会主义的,不针对任何特定个人,旨在攻击任何碰巧被诱捕的人,而另一些则专注于特定的“高价值”目标。到目前为止,最终用户的常见安全问题主要是前者,这些类型的威胁通常试图通过从最终用户机器窃取信息或资源来赚钱。诸如打补丁、最新的安全套件和强密码之类的标准做法在很大程度上可以防止这些威胁。
与任何其他业务一样,攻击者试图从他们入侵的计算机中提取最高的可用价值。随着原始社会安全号码或信用卡号码供应量的增加,需求下降,这些资产在公开的犯罪市场上变得不那么有价值。将盗窃的资产从原始的、低价值状态提炼成高价值的、专业化的内容是一种日益增长的趋势,这需要大量的额外背景信息。特定个人的全套医疗信息就是一个高价值、专业化内容的例子。
虽然安全意识正逐渐成为背景问题,但矛盾的是,实际的威胁空间正在增加。一种常见的看法是,恶意软件不是问题,因为最终用户没有看到其影响的直接证据。恶意软件编写者已经了解到,如果他们最大限度地减少对计算平台的直接影响,以便攻击的影响对用户不可见,那么他们就可以在更长的时间内从受感染的机器中提取最大价值。
明显的安全风险
不再有效的感染规避措施
一套基本的安全卫生习惯
企业安全
中小型公司通常每月在安全方面花费的时间少于一个小时,并且不认为这是一个优先事项。员工少于 50 人的企业通常与一站式本地 IT 提供商合作;员工超过 250 人的企业有许多可行的安全服务替代方案;但员工人数在 50 到 250 人之间的企业从 IT 提供商处获得的安全选项非常有限。
小型企业拥有的网站越来越多地被入侵并用于攻击网站访问者,这不仅是桌面所有者的问题,也是网站所有者的问题。由于小型企业通常不知道网站安全意味着什么,因此解决这个问题是一个重大挑战。一些托管公司将安全扫描作为小型企业运行的网站的服务来提供,但这些产品面临重大挑战,并且很可能不够全面。
安全投资应受您所从事的业务以及发生漏洞的影响的支配。如果您处理有价值的用户信息,例如社会安全号码、银行信息、医疗记录、游戏信息——任何在公开犯罪市场上具有价值的东西——您应该立即解决这些安全问题。
在防止有价值的企业资产丢失方面,重要的是要记住,您正在防御一个高度适应性和动态的对手。这使得风险评估非常困难。当一个漏洞被堵住时,攻击者可以转移到新的领域。您正在尝试用固定的预算堵住尽可能多的漏洞,并且无法真正保证您遗漏的东西不是会造成重大损害的关键项目。
安全策略有很多碎片化和专业化的部分,不适合采用单一的综合方法。对于家庭用户,您应该实施大多数客户端安全套件已经拥有的功能:防病毒、防火墙和入侵防御。对于更严格的企业安全,确定您愿意承担的风险级别以及您愿意花费多少时间和金钱来最大限度地降低风险确实很难做到。您需要进行风险/回报安全分析,以确定哪些漏洞真正值得堵住。
安全与其他更可预测的计算领域非常不同。在科技界,人们倾向于寻找解决问题的明确方法。然而,安全和恶意软件更像流感,每年都会出现另一种毒株,无论您做什么,您都永远无法实施完全全面的解决方案来彻底解决问题。
云计算和安全
基于商品的云将提供一个廉价且可用的平台,并具有基本级别的安全性。为了获得更高的安全性,您可以选择更专业的公共供应商,或者自行构建私有云。
在购买公共云供应商时,请查看 SAS 70 认证。如果您的行业指定了某些类型的安全性,您需要在特定公共云环境中运行应用程序之前提出更具体的问题。
攻击场景
新兴的兴趣领域
为了更大的互联网社区的利益,论点是:哪些经济和监管政策将激励用户使其决策与对社区其余部分的成本影响更加一致?这与围绕公共卫生的论点相同。
喜欢还是讨厌?请告诉我们
© 2010 1542-7730/10/0200 $10.00
最初发表于 Queue 第 8 卷,第 2 期—
在 数字图书馆 中评论本文
更多相关文章
Paul Vixie - 走向静态或回家
当前和历史上计算机与网络安全中的大多数问题都归结为一个简单的观察:让其他人控制我们的设备对我们不利。在另一个时候,我将解释“其他人”和“不利”的含义。就本文而言,我将完全专注于我对控制的含义。我们失去对设备控制的一种方式是外部分布式拒绝服务 (DDoS) 攻击,这种攻击用不需要的流量填充网络,从而没有空间容纳真实的(“需要的”)流量。其他形式的 DDoS 类似:例如,Low Orbit Ion Cannon (LOIC) 的攻击可能不会完全填满网络,但它可以使 Web 服务器忙于响应无用的攻击请求,以至于服务器无法响应任何有用的客户请求。
Axel Arnbak, Hadi Asghari, Michel Van Eeten, Nico Van Eijk - HTTPS 市场中的安全崩溃
HTTPS(超文本传输协议安全)已发展成为安全 Web 浏览的事实标准。通过基于证书的身份验证协议,Web 服务和 Internet 用户首先使用 TLS/SSL 证书相互验证(“握手”),端到端加密 Web 通信,并在浏览器中显示挂锁以指示通信是安全的。近年来,HTTPS 已成为保护在线社交、政治和经济活动的重要技术。
Sharon Goldberg - 为什么保护互联网路由需要这么长时间?
BGP(边界网关协议)是将互联网粘合在一起的粘合剂,使不同组织运营的大型网络之间能够进行数据通信。BGP 通过设置组织之间(例如,从波士顿大学的网络,通过更大的 ISP(互联网服务提供商),如 Level3、巴基斯坦电信和中国电信,然后到住宅网络,如 Comcast 或企业网络,如美国银行)的流量路由,使互联网通信全球化。
Ben Laurie - 证书透明度
2011 年 8 月 28 日,一个为 google.com 错误颁发的通配符 HTTPS 证书被用于对伊朗的多个用户进行中间人攻击。该证书由一家名为 DigiNotar 的荷兰 CA(证书颁发机构)颁发,DigiNotar 是 VASCO Data Security International 的子公司。后来的分析表明,DigiNotar 早在一个多月前(至少从 7 月 19 日起)就意识到了其系统中的漏洞。它还表明,至少颁发了 531 个欺诈性证书。由于 DigiNotar 没有所有错误颁发的证书的记录,因此最终计数可能永远不会知道。
© 保留所有权利。