解析各大企业网络安全威胁[网络技术]

1、安全隐患:IPv6存在的攻击漏洞

　　在从IPV4向IPV6过渡的历程中,企业面对着很多信息安全调整,安全专家表示.让情形更糟糕的是,一些攻击者已经开始利用IPV6地址空间来偷偷向IPV4网络发动攻击.

　　Sophos公司的技术战略主管James Lyne表示,众所周知,企业间从IPV4向IPV6过渡历程非常迟钝,而很多网络罪犯就钻了这个空子,很多攻击者在IPV6底子设备漫步垃圾邮件并且操纵了错误配置的防火墙的缺陷.

　　很多现代防火墙在默许配置下都是让IPV6流量自行通过的,Lyne表示.那些对IPV6流量不感爱好的企业就会设立明确的法则来严峻禁止IPV6数据包,IT管理人员需求“知道若何与IPV6对话”,这样他们便可以编写呼应的法则来处理该协议.

　　“从行业的角度来看,目前贩卖IPV6的方法是错误的,”Lyne表示,他指出关于该协议的内置功效若何帮忙提高隐私性方面的问题很少有人探究.相反的,对IPV6难以布置的广泛见解让企业很简单遭到潜在攻击.

　　从普通法则来看,IPV4和IPV6网络是并行运行的.具有传统IPV4地址的计算机不能拜候在IPV6地址空间运行的服务器和网站.随着IPV4地址“渐渐衰落”,业内都鼓舞企业转换到IPV6大概无法获得新IP地址.负责向亚太区域分配IP地址的亚太网络信息中央近日公布全部新的地址申请将被分配IPV6地址.

　　一位安全研究人员近日发现攻击者大概通过IPV6网站策动中间人攻击.InfoSec研究所安全研究人员Alec Waters表示,攻击者可以覆盖到目标IPV4网络上的“寄生”IPV6网络来拦阻互联网流量,他的概念证明攻击只考虑了windows 7系统,但是一样也大概发生在Vista、Windows 2008 Server和其他默许情形下开启了IPV6的操作系统上.

　　为成功策动攻击,攻击者需求获得对目标网络的物理拜候,并且时间足以衔接到IPV6路由器.在企业网络的环境中,攻击者将需求衔接IPV6路由器到现有的IP4枢纽,但是关于公众无线热门,就非常简单了,只需求用IPV6路由器就可以策动攻击.

　　攻击者的IPV6路由器将会利用假的路由器广告来为网络中启用了IPV6的机械自动成立新的IPV6地址.

　　路由器广告的作用就像是IPV6地址的DHCP(动态主机配置协议),它供应了一个地址池供主机来挑选,按照SANS研究所首席研究官Johannes Ullrich表示.在用户大概IT管理人员不知情的情形下,他们的机械已经变成IPV6猎物.

　　固然系统已经有一个企业分配的IPV4地址,但是因为操作系统处理IPV6的方法,系统会被打乱到IPV6网络.现代操作系统将IPV6默许为首选衔接(假如系统同时被分配了IPV6和IPV4地址的话).

　　由于IPV6系统无法与企业真正的IPV4路由器举行衔接,系统必须通过恶意路由器举行路由,Waters表示,攻击者然后可以利用一个通道来将IPV6地址转换到IPV4地址,比方NAT-PT,这是一个实行性IPV4到IPV6转换机制,但是因为存在很多问题,该机制并没有得到遍及支持.

　　“但并不意味着它没有作用,”Waters表示.

　　通过NAT-PT,具有IPV6地址的机械便可以通过恶意路由器拜候IPV4网络,使攻击者对他们的互联网活动有了全面理解.,

　　这种攻击的严重程度还存在争议,InfoSec研究所安全筹划经理Jack Koziol表示.按照常见漏洞清单,“IPV6符合RFC 3484(IPV6协议),以及试图肯定RA的合理性目标仍位于主机操作系统举荐行为的范围外仍旧存在争议.”

　　不需求利用IPV6大概没有完成过渡的企业应当关闭全部系统上的IPV6,大概,企业应当“像IPV4一样对攻击举行监控和抵挡”.

　　2、钓鱼攻击成为主要安全威胁

　　成功操纵钓鱼邮件对安全企业(比方Oak Ridge和RSA等)造成的数据泄露攻击为我们敲响了警钟,一些专家嗤之以鼻的低技术含量攻击办法也大概造成严重威胁.

　　美国能源部研究实行室Oak Ridge近日公布在发目前其网络中存在数据盗取恶意软件程序后,已经关闭了全部互联网拜候和电子邮件服务.

　　按照该实行室表示,这次数据泄露事故源于一封被发送给570名员工的钓鱼攻击邮件.这封电子邮件假装成该实行室的人力资源部门的告诉,当一些员工点击嵌入在电子邮件中的链接后,恶意程序就被下载到他们的电脑中.

　　这个恶意程序操纵了微软IE软件中未修复的漏洞,并且目的是搜索和盗取该实行室的技术信息,该实行室的工程师们正在勤奋研制世界上最快的超级计算机.

　　Oak Ridge实行室的官方发言人描述这次攻击与安全供应商RSA蒙受的攻击非常近似.

　　RSA数据泄露事故招致了RSA公司的SecurID双因素认证技术信息的被窃.而在本月初Epsilon发生的数据泄露事故也被猜疑是有针对性的钓鱼攻击行为,这次事故是有史以来计划最多电子邮件地址的事故.

　　解析家表示,攻击者可以操纵低技术含量、假充电子邮件的办法来浸透入这些遭到杰出保护的企业表明了有针对性的钓鱼攻击日益成熟,并且存在这样的趋向,企业认为单靠教诲员工就可以够减缓这个问题.

　　“这并不让我感到惊奇,”安全公司Invincea公司创始人Anup Ghosh表示,“几近每个公开的和发表声明的高级持续性攻击都是通过钓鱼邮件开始的.”

　　事实上,目前这类邮件仿佛成为攻击者不法进入企业网络的首选办法,他表示.

　　“你需求做的就是设立一个电子邮件目标,你只需求通过几次电机就可以够在企业内部成立几个存在点,”Ghosh表示,“假如你企业有1000名员工,并且你教诲他们不能翻开不可托任的附件,还是会有那么几个人会翻开.这并非锻炼可以办理的问题.”

　　让问题更严重的就是钓鱼攻击越来越复杂,解析师指出.

　　越来越多的有组织的攻击团队开始利用尽心计划的电子邮件来针对高层管理人员以及企业内部他们想要攻击的员工.在很多情形下,钓鱼邮件都是本性化的、本地化的,并且计划得仿佛是来自可托任根源一样.

　　Ghosh表示,他上周就收到过近似的邮件.邮件发送到他的个人邮箱,看起来是一个好朋友发过来的邮件,包含一个可以翻开朋友的女儿生日派对比片的链接.邮件乃至还包含朋友女儿的名字.

　　邮件被标志为红色,但是Ghosh在点击链接后才发现红色标志.“随便看一眼就已经可以说服我去点击链接,”他表示.

　　Spire Security公司的解析师Pete Lindstrom表示,“近来很多攻击都是利用某种情势的钓鱼攻击,这个非常令人耽忧,我们老是很简单在一些安全底子环节掉链子.”

　　公司必须按期记录和监测网络能否存在这种钓鱼攻击造成的数据泄露,他表示.

　　在钓鱼攻击中,企业必须更注重呼应和遏制,而不但仅是预防,Securosis公司解析师Rich Mogull表示.

　　在这种攻击中,企业常常面对的是拥有丰富资源、耐烦和资金的对手.普通情形下,这样的对手都乐意不断尝试直到他们攻入系统网络.“几近不大概禁止这样的人.”

　　因此,IT安全人员应当注重最大限度地削减丧失,Mogull表示.举例来说,企业应当考虑将网络举行区域划分,并在关键设备以及数据间成立“空间隔断”,以确保入侵者更难进入网络.

　　一样重要的是,企业需求遍及地监控内部网络以确保数据没有泄露出去.

　　“有针对性的钓鱼攻击已经不都是低技术含量的攻击情势了,”Gartner公司解析师John Pescatore表示.

　　并且,越来越多来自社交网络(比方LinkedIn和Facebook)的信息被用于钓鱼攻击,这使钓鱼攻击更难被检测,他表示,“在这些社交网络上,有很多个人信息和朋友的名单,从这些信息中并不难获得非常私人的电子邮件地址,”Pescastore表示.

　　此外,网络安全工作(分外是政府机构和研究实行室,如Oak Ridge)常常侧重于诸如URL禁止等问题,以避免内部员工拜候色情大概不法网站,而不是禁止可疑的入站邮件.

　　“这让他们更简单遭到攻击,假如用户点击了钓鱼邮件的话,这也是员工常常发生的事情,”他表示,“25年试图通过宣扬和教诲来晋升员工的安全意识的经考证明,这是无法根绝的.”

　　3、安全软件和服务并不安全?

　　在我们电脑呈现病毒,大概我们但愿电脑可以抵挡未知的安全风险时,我们常常想到的就是安全软件和服务.这些产品和服务仿佛让我们感受自己得到了保护.但是,近日国外的一项调查报告却揭露,实际上,我们的安全软件和服务也并非是“安全”的!你乐意承受这个残酷的事实么?

　　近日Veracode公布的最新报告显示,测试的大部份安全软件和安全服务安全评分都“难以置信”的低,也就是全部商业软件中超越65%的安全软件服务安全情况并不睬想.

　　Veracode公司最新公布的软件安全状况报告显示客户支持软件比安全产品以及服务更糟糕,此中82%的利用程序评分都非常低,而相对的,安全软件和安全服务软件则是72%.

　　Veracode扫描的全部商业软件中有66%的软件在第一次安全扫描中都得到了“无法令人承受”的低分,安全产品和服务软件的低分数是最令人震惊的.“这真的让我们很惊奇,”Veracode公司产品营销副总裁Sam King表示,该公司对超越4800个利用程序举行了扫描解析,“这也注释了近来在RSA、HBGary和Comodo发生的数据泄露事故的缘由,攻击者开始对准安全公司以及其他垂直行业,这里给我们的教导是:你无法想象的是,安全供应商大概都不安全.”

　　但是,商业软件供应商都可以较为疾速地修复他们的产品,超越90%的供应商在Veracode调查后的一个月内让他们的产品到达“可承受”的分数.并且安全供应商越发疾速,平均在三天内就让他们的利用程序到达可承受的安全状况,Veracode调查显示.

　　但是为什么安全供应商的软件在最初的扫描解析中安全情况如此之差呢?研究高级主管Chris Eng表示,问题在于安全供应商面对着与其他企业一样的挑衅:拥有安全经验的开辟人员并不多.“他们不一定具有安全专业知识,”他表示.在参与Veracode在线培训筹划的安全底子知识测验中,超越50%的利用程序开辟人员只拿到C大概更低的分数,而这个测试涵盖了常见威胁和其他安全基本概念.这个测验只是作为培训前的评价测试,超越30%的开辟人员拿到D大概不合格,Veracode调查显示.

　　“他们关于利用程序安全底子知识并非很理解,而这些知识可以帮忙你更好地理解我们报道的其他统计数据,”King表示.

　　挑选了Veracode公司的Java和.NET安全编码课程以及加密介绍课程的开辟人员中,有35%到48%的开辟人员得到C大概更低分数.“这些课程的合格率比利用程序安全底子知识的合格率要高一点点,所以这个消息很令人振奋:通过杰出的培训与教诲,他们可以有更好的表现,”King表示.

　　这次调查的其他发现:19个web利用程序中有超越8个利用程序存在OWASP前十大常见漏洞,跨站脚本攻击仍旧是利用程序中最多的漏洞.SQL注入攻击漏洞平均每季度较低了约2.4%.

　　金融服务行业和软件业是最主动处理安全漏洞的行业,他们订购了第三方软件扫描来查抄软件供应商的漏洞情形.报告中要求漏洞证明的企业中超越75%的企业是来自于金融行业和软件行业,而航空航天和国防行业也开始要求他们的软件供应商对他们的漏洞负责任.（编选:中国电子商务研究中央 根源:51CTO）