需要注意的10种安全威胁

虚拟服务器,公共网站和移动设备成为越来越受欢迎的目标

从虚拟服务器利用到受感染的网站和移动Web浏览器,我们都在寻找10种安全威胁的清单。

商业网络可以通过多种方式被破坏,并且一直在发展。

从技术开发到社会工程攻击,它们都可以损害公司数据,声誉和有效开展业务的能力。

这里有10种此类威胁,以及有关如何应对这些威胁的一些建议。 (更多 安全 救命, 观看幻灯片 20个有用的IT安全网站。)

1.虚拟主机安全虚拟化 可以帮助更有效地利用硬件,但同时也会带来新的安全问题。特别是,它允许不同的虚拟主机驻留在同一台物理计算机中,这些虚拟主机之间的流量难以监视和筛选。

如果虚拟主机复制到其他物理机上来满足对其提供的服务的日益增长的需求,那么问题就更加复杂了。 Forrester Research的分析师Rob Whiteley说,访问这些计算机的规则必须伴随它们,而且这很复杂。

Whiteley说:“大规模部署虚拟化将成为管理虚拟机的负担。”访问控制在虚拟环境中仍然很重要,但是缺少用于复制它的工具。

NSA的10种安全最佳实践图表

这会在诸如支付卡行业(PCI) 标准 用于处理敏感的客户数据。 PCI标准指定不允许哪种类型的计算机相互通信。

有三种方法可以解决该问题。首先,可以将所有流量从包含虚拟机的物理硬件中路由出去,进行扫描,然后传递回硬件中,以到达另一个虚拟机。 Whiteley说:“这是对I / O系统的巨大负担。”

其次,企业可以部署现有的 软件 防火墙 例如在每个虚拟机上安装Check Point”,但是部署,许可和管理它们很困难,因为它们是为真实世界防火墙而不是虚拟世界防火墙而设计的。“这是运营中的噩梦,” Whiteley说。

第三,企业可以转向专用产品 专为虚拟环境设计 他说,例如Altor Networks,Reflex Security和Stonesoft的产品。

寻找的特征:产品是否能很好地扩展;许可证结构是否负担得起;策略是否遵循虚拟机的新映像。

解决该问题的另一种方法是让网络人员参与服务器虚拟化项目。这样可以确保在为虚拟机添加物理服务器时可以考虑的传统安全措施。2.保护虚拟机监视器(管理程序)

如果在单个硬件平台上跟踪多个虚拟机的软件遭到破坏,那么所有虚拟机都将受到威胁。怀特利说:“没有已知的威胁,因此也没有已知的补救措施,但是,有人入侵管理程序只是时间问题。”

网络需要使用防火墙和入侵防护系统(IPS)来保护硬件,以尽可能使已知威胁远离系统管理程序。至于针对虚拟机管理程序的特定威胁,它是 不确定什么产品会起作用。

通常,请寻求附带的嵌入式管理程序 服务器 硬件,因为它们通常占用的空间较小,因此更难以破坏。所涉及的代码越少,找到漏洞的位置就越少。

3.僵尸网络僵尸网络 数以百万计的机器被选为指挥和控制中心的招标者,它们有可能通过协同攻击来摧毁网络。 Bot软件正变得越来越复杂,它的形式已经改变,使其在僵尸系统上难以被检测到,并且有可能将从属机器转变为命令服务器。 Gartner的分析师Greg Young说,但是企业可以通过与ISP达成协议来应对威胁。它们更有机会识别出指示僵尸网络正在使用的流量模式,并在它们影响客户网络之前对其进行阻止。网络入侵防御系统

用户还应采取措施保护自己免受僵尸网络在组织内可能产生的DoS攻击。 Young说,将IPS用于网络和单个计算机可以帮助减轻僵尸计算机的影响,这些僵尸计算机会像僵尸僵尸一样产生大量流量。 (比较

他说:“没有灵丹妙药。”但他指出,像Damballa这样的初创企业只专注于机器人检测和缓解。4.有针对性的攻击Young说,由于这是一个广泛的类别,因此最难防御。这些攻击是针对个人企业或公司员工的定制设计,旨在获得宝贵的资源。

他们可能结合多种技术,例如网络钓鱼,利用应用程序或Web漏洞以及使用机器人。

他说:“一个共同的要素是,他们操纵您自己采取行动(例如,点击虚假的URL)以便起作用。”

这些攻击最经常是为了经济利益而发起的,范围包括窃取个人数据以进行转售,损害知识产权或通过证明有能力摧毁企业网络而持有企业以勒索赎金。在后一种情况下,企业可能会决定支付赎金,因为它比网络故障便宜。

企业可以采取的步骤是一系列最佳实践,例如人力资源筛选以防御心怀不满的员工,与运营商签订服务保护合同以抵御DoS攻击以及对员工进行社会工程学方面的教育,这可能使他们破坏网络。 

Inteleguardians的安全顾问Ed Skoudis说,攻击者已经开发出了多人游戏中的漏洞利用程序,当恶意玩家的图像越过屏幕时,这些漏洞就可以接管玩家的计算机。这可以采取类似机器人的控制目标的形式他说。

5.通过游戏和虚拟现实网站的攻击

该漏洞利用还可以用于虚拟现实市场(例如“第二人生”)中,参与者可以进行交易。斯科蒂斯说:“这种攻击手段非常有成果。” 6.浏览器威胁易受攻击的公共网站可以植入恶意代码,这些恶意代码又会攻击或 接管控制权 连接到站点的机器数量。 Skoudis说,这有可能破坏与这些计算机关联的网络。

除了窃取浏览器历史记录和扫描计算机上的其他系统之外,这些攻击还显示出支持基于Java的TCP堆栈,这些堆栈可以在受感染计算机的浏览器中设置VPN端点。 Skoudis说,到这样一个端点的VPN隧道将使攻击者能够访问公司防火墙后面的计算机,并可以在该计算机上连接到防火墙内部的其他系统。

他说,类似地,这种渗透的浏览器可能会感染系统,然后由网络管理员通过浏览器对其进行检查,从而破坏了管理机器和整个网络。

最好的防御措施是使病毒软件保持最新状态,采用入侵防护设备并向用户宣传该问题。 (比较 防毒 产品。)7.手机浏览器漏洞发现某些漏洞 移动 可以利用手机将设备的控制权交给攻击者。8.丢失的移动设备公司环境中手持设备和智能手机的激增意味着将有更多数据 丢失或被盗 以及拥有它的物理机器。

Tipping Point首席安全分析师Rohit Dhamankar说,当用户连接到其浏览器访问的网站中的恶意内容时,这些内容可以控制机器,从而对远程攻击者的命令做出响应。

应对措施包括对设备上的数据进行加密,以及安装可以远程锁定或擦除硬盘驱动器的软件,以防止小偷访问数据。9.不安全的Web应用程序应用领域 451 Group的分析师Nick Selby表示,其编码使他们容易受到自定义攻击,不仅对应用程序及其可以访问的内容构成威胁,也对网络构成威胁。

Selby说,在开发应用程序时会考虑安全编码,但是许多传统公司应用程序都是为封闭网络设计的。这些包括诸如制造和公用网络中使用的控制软件之类的基本应用程序,以及为各个企业设计的高度定制的应用程序。

Selby说:“在开发阶段,我们需要安全的编码。”这种情况即将到来,但现在还没有。

他建议企业尽可能使用开放平台,因为它们通常会受到更多审查。他说:“更多地关注代码可以更快地修复协议。”

应用程序的质量保证程序和生产测试是确保它们不会被黑客入侵的关键。他说:“需要对这些协议进行模糊处理,”他指的是使用随机输入数据对应用程序进行拖拉以查找破坏应用程序的方法。 Selby说,IBM,WhiteHat Security,SPI Dynamics和其他公司出售工具,以使应用程序通过绞拧器,然后才暴露给可能遭受黑客攻击的真实流量。

Enterprise Management Associates的分析师Michael Montecillo表示,Web应用程序防火墙,自动源代码分析和应用程序漏洞手动测试也可以提供帮助。

10.生锈

Young说,奇怪的是,如果这些威胁不再对公司网络最危险,那么过于谨慎地防御威胁可能会成为一种责任。他说:“您可能会花钱来升级[入侵检测系统],但这可能对您的组织没有最大的价值。”

他称这种现象为“锈蚀”现象,因为工具的实用性可能会随着时间的流逝而逐渐消失,而企业却无法意识到这一点,他们可能会盲目升级而不会权衡该工具是否为网络提供了最具成本效益的保护。

Young说,更新的,更具潜在破坏性的威胁可能需要使用新工具,并且由于企业始终在预算范围内开展工作,因此他们必须定期检查其整个安全体系结构,以确保其有效性不会随着时间的流逝而受到侵蚀。

咨询公司Bat Blue的创始人,安全分析师Babeck Pashdar说,这可能会挑战公认的安全思想,例如防火墙的价值。他说:“防火墙只是噪声管理。” “防火墙只能说出源,IP地址,目的地是什么以及[流量]使用的管道。它无法查看该管道以判断其状况是否良好。 -打算。”

Young表示,最好的补救措施是定期对安全性架构进行自下而上的审查,以了解最新的威胁模式并在最有效的防御措施上花钱。他说:“平衡问题最令人兴奋,但最有效。” “您的IT安全预算不能超过IT预算。”

了解有关此主题的更多信息

网络安全历史上最糟糕的时刻10

2008/3/11

四家虚拟化安全公司值得关注

03/17/08

补丁发布两年后,另一个IE FTP漏洞

08/03/12

远程管理移动设备

2007/12/05

加入以下网络世界社区 脸书领英 对最重要的话题发表评论。

版权© 2008 IDG通讯,Inc.