更新:安全行业面临无法阻止的攻击

RSA会议 上周在旧金山, 安全 vendors pitched their next generation of 安全 products, promising to protect customers from 安全 threats in the cloud and on mobile devices. But what went largely unsaid was that the industry has failed to protect paying customers from some of today'最有害的威胁。

展会上的重大新闻与Mariposa僵尸网络的删除有关-Mariposa僵尸网络已经感染了 财富100强企业中的一半。所谓的高级持续威胁(APT)攻击,例如被破坏的攻击 谷歌 12月初的系统是另一个热门话题。

但是,Mariposa和Google的攻击都说明了同一件事。尽管有数十亿美元的安全性支出,但是仍然难以保证企业网络的安全。

这是因为要使这些高级攻击起作用,坏蛋只需找到一个 脆弱性 为了将他们的恶意软件潜入目标网络。一旦站稳脚跟,他们就可以闯入其他计算机,窃取数据,然后将其移至海外。好人必须是完美的-至少在发现入侵方面非常快-才能阻止APT威胁。

Isec Partners的合伙人Alex Stamos说,传统的安全产品对抵御APT攻击的帮助不大,这是调查APT攻击的公司之一。他说:“我们与之合作的所有受害者都已完美安装了防病毒软件。” “他们都拥有入侵检测系统,还有一些具有Web代理扫描内容。”

问题在于,坏人也可以购买这项技术,然后测试并重新测试其攻击,直到攻击通过为止。 Stamos说:“任何人都可以下载并尝试对付每个单独的防病毒引擎,以防止其恶意软件,”

强调这一点,防病毒测试公司NSS Labs对Google事件中使用的已知Internet Explorer 6攻击进行了改进, 针对七种流行的防病毒产品进行了测试。 NSS还针对相同的防病毒产品测试了原始攻击代码。漏洞发布后两周进行的测试发现,只有McAfee的防病毒产品才阻止了该攻击的新变种。

据NSS称,一家公司AVG甚至没有停止最初的攻击。 Eset,卡巴斯基,赛门铁克,Sophos,AVG和趋势科技都未能阻止Aurora攻击的变种。

但是AVG回应说,其产品检测到了Aurora攻击。一位发言人说,结果是由于NSS的测试方法存在缺陷。但是,该公司对其产品未能检测到Aurora变体的说法没有异议。

AVG发言人周四表示,这是因为它无法验证NSS测试。她说:“我们不知道他们创造了什么变体,因为它们不会向我们显示任何数据。”

NSS总裁里克·莫伊(Rick Moy)说,防病毒公司“肯定可以做得更好”。 “他们应该实施更多基于漏洞的检测。对恶意软件有效负载的关注太多了。”

行业研究公司451 Group的分析师保罗·罗伯茨(Paul Roberts)更加坚决地说:“企业对他们从端点反恶意软件套件所获得的保护水平非常不满意,”他说。防病毒公司正在基于对各种因素(例如文件的行为,文件的年龄,来源以及使用范围的广泛程度)的分析来尝试阻止程序,但这些功能通常会被关闭,因为它们最终会阻止合法程序,罗伯茨说。

现在,许多安全专家都认为,补丁程序,最新的防病毒软件以及入侵检测系统不足以保护公司免受当今最严峻的网络威胁。

Isec的Stamos说:“安全行业将不得不考虑出售实际上可在这种环境下工作的解决方案。” “在过去的16年中,人们基本上没有购买任何东西可以帮助他们阻止一个人坐在一台以Windows shellcode为目标的计算机上,并以数月的时间闯入该计算机。” Shellcode是最初的有效载荷程序,一旦黑客入侵系统,黑客便会使用它们来安装其他程序。

但是,密歇根州大急流城的Priority Health信息安全经理Paul Melson表示,这条信息还没有在企业界的任何地方都能听到。 “许多公司要么将他们的安全团队变成了合规团队,要么仍在战斗,就像六,七年前一样。”

防病毒供应商认为,他们的产品仍然可以达到目的,实际上,企业界没有人将其关闭。

McAfee安全研究主管Dave Marcus说,防病毒可以阻止McAfee每天跟踪的所有攻击中的“绝大多数”。防病毒供应商正在开发新系统-白名单产品和基于云的安全产品,例如McAfee的Artemis-以跟上快速变化的威胁。但最终,企业还必须开发应对新威胁和入侵的方法。他说:“当有坚定的攻击者可以描述受害者时,他们就有很高的成功率。”

APT等高级攻击使Jason Stead最害怕。 Stead是Phoenix的Choice Hotels信息安全经理。在过去的几年中,由于黑客入侵了许多不同酒店的销售点系统,他的行业受到了有针对性的攻击。他们通常通过发现一个漏洞并逐个回放重放攻击来获得成功。在酒店业务中,特许经营者的一次数据泄露可能会严重损害公司的品牌。

这意味着公司品牌的完整性可以取决于根本没有资源来阻止坚定的攻击者的人们。斯坦德说:“传统上,您的加盟店是一家夫妻店。” “他们没有保护自己的技术经验。”

技术供应商希望出售完整的产品,但实际上不可能在安全的环境中买单。这需要更大的承诺。 Stead说:“这完全与用户的意识和程序有关。”这意味着要教给员工有关危险的在线行为的知识;并建立一支可以充分利用其现有安全工具的安全团队。

根据Priority Health的Melson的说法,问题不仅仅限于安全公司。他说:“如果要使安全行业负责任,则还必须至少对操作系统和客户端软件供应商负责。” “您拥有的平台仍使某人可以制作不属于设计并且最终用户不了解的软件。”

梅尔森说:“我认为,归根结底,从极光事件中得到的教训是,必须有事件响应者。” “如果您不准备对事件响应和事件遏制做准备,如果您不使用实际人员在您的环境中进行安全性分析,那么高级持续威胁将马上解决。”

版权© 2010 IDG通讯,Inc.

  
在亚马逊上购买技术产品