安全方面值得關注的訊息較多,雲端計算的安全問題仍是近期的熱點,上週Google Docs洩漏使用者敏感檔案的風波剛過,雲端計算服務對現有安全標準和法律法規在遵從性方面的缺失再次被安全行業所關注。惡意軟體的威脅在近段時間進一步提升,安全廠商已經捕獲到基於DHCP協議和專門針對ATM自動櫃員機的惡意軟體樣本。在本期回顧的最後,筆者仍為朋友們精心挑選了兩個值得一讀的推薦閱讀文章。
近期(090316至090322)安全要聞回顧
本週的資訊保安風險為低,軟體廠商Adobe在3月18日為旗下產品Adobe Acrobat和Reader的7、8、9版本分別推出了安全更新程式,主要修補此前發現的能夠導致使用者系統感染惡意軟體的遠端程式碼執行漏洞雲計,建議使用者儘快使用Adobe Updater自動升級,或從Adobe網站上下載並應用程式。
雲端計算安全:雲端計算方案的合規性遵從風險引人關注;關注指數:高
由於最近一段時間全球的經濟狀況持續惡化,雲端計算作為一種廉價高效的資訊儲存和處理方式,就成為許多關注於降低IT運維成本的企業的選擇。雲端計算方案的提供商也應時提供了多種靈活的解決方案供使用者企業選擇,如Google和Amazon都允許使用者企業在其雲端計算平臺伺服器上執行使用者自己的網際網路應用程式,而Salesforce等其他的服務提供商則向其使用者企業提供了多個特定用途的服務。
雲端計算市場份額快速擴張的同時,因為其不同於傳統應用系統的架構和安全形式,也使得安全業界和眾多使用者對雲端計算的安全性產生了顧慮。在上期回顧中筆者曾經和朋友們一起關注過Google Docs存在洩漏使用者檔案和隱私資訊的訊息,Google在收到受影響使用者的反饋之後,迅速通過移除使用者檔案共享許可權等操作來修補該漏洞,但這個事件還是給很多使用者留下了雲端計算不夠安全的壞印象。
本週在波士頓舉行的SOURCE安全會議上,安全專家向公眾揭示了雲端計算方案在安全上的又一個潛在風險——合規性遵從(Compliance)。儘管雲端計算服務商都向使用者承諾其服務的可靠性,保證7×24的線上率,但如何保證使用者存放在雲端計算平臺上的資料的安全,仍不在大多數雲端計算服務商的承諾範圍之內,使用者在絕大多數情況下,也無法通過資料加密等傳統手段獲得更好的資料安全性。
當然,使用者企業可以與雲端計算服務商簽署服務級別協議(SLA)和第三方的安全協議,通過書面的方式來進一步保證雲端計算的安全性,但調查顯示許多使用者企業仍對其儲存在雲端計算平臺上的資料安全心存顧慮。此外,對現有的行業安全標準及法律法規的遵從性,也是使用者在選擇雲端計算方案作為業務資料儲存和處理平臺時要考慮的一個潛在風險,它存在於兩個方面:首先,使用者不可能瞭解到所選擇的雲端計算方案具體的實現和運作形式,更不可能根據自己業務的需求對雲端計算進行功能和實現上的自定義;其次,當前使用的不少安全標準,具體規定和設定要求都不適用於雲端計算領域——如在網上支付領域廣泛使用的PCI DSS標準,就只規定了物理伺服器應該如何進行安全設定和操作。
筆者覺得,儘管使用雲端計算和企業的其他IT外包專案並無太大區別,但企業也應該意識到使用雲端計算方案並不等於將資料安全的責任也外包到雲端計算服務提供商的身上。在當前雲端計算的運營模式沒有發生利於使用者資料安全需求的變化,以及現有安全標準對雲端計算應用做出相應的修改之前,建議使用者還是不要將敏感和涉及商業機密的資訊儲存到雲端計算平臺上,免得將來遇到眾多不必要的風險。
惡意軟體:惡意軟體技術快速發展,基於DHCP和專門針對ATM的惡意軟體出現;關注指數:高
***為了在企業的內部網路中擴散他們的惡意軟體,所用的手段可以說是無所不用其極,除了慣用的遠端漏洞***和弱口令掃描等傳統***方法外,***也打起了企業內部網路中各種常見服務的主意。根據網際網路安全組織SANS近段時間的監測結果,一個基於DHCP服務的新惡意軟體目前正在網際網路上快速擴散。該惡意軟體的工作原理與去年年底發現的Trojan.Flush.M***相類似,在感染企業內部網路中的一個系統之後,該惡意軟體會在受感染系統上安裝一個DHCP伺服器,其後進入企業內部網路的其他系統都可能被該惡意的DHCP伺服器所欺騙,所有網際網路訪問的域名解析都會轉向至***預先設定的惡意DNS伺服器。
雖然現在這類基於DHCP服務的惡意軟體並不多見,但因為它比前兩年流行的ARP欺騙型惡意軟體更為隱蔽,使用者也更能發現、定位和消除在自己內部網路中存在的該類風險。筆者建議,使用者可通過嗅探器、IDS等網路工具監視網路中DHCP伺服器的活動情況,同時觀察是否存在訪問不是已知DNS伺服器的情況存在,如果有就證明可能感染了上述型別的惡意軟體(當然也可能是有內網使用者私自設定使用第三方的DNS伺服器)。如果使用者使用了Windows域服務之類的內網管理方案,防護基於DHCP或DNS服務的惡意軟體就更為簡單,只需通過防火牆禁用除內網授權DNS伺服器外的所有外部DNS查詢請求即可。
自動櫃員機ATM是犯罪集團最常***的目標之一,使用附加的卡複製器、通過網路釣魚獲取使用者資訊並製造偽卡,甚至使用炸藥來爆破,***的手段可謂是種類繁多——反病毒廠商Sophos的新發現,又暴露了犯罪集團對ATM機***的一種新手段:惡意軟體。本週來自Sophos的研究人員稱,犯罪集團正利用能夠在ATM機上執行的新一代惡意軟體,偷取ATM使用者所輸入的各種資訊。
根據惡意軟體樣本分析的結果,這種***最早在今年初出現在俄羅斯,***破解了ATM廠商Diebold在一月份為其基於Windows的產品釋出的軟體更新補丁,並在其中插入了一個惡意軟體。在稍後的調查顯示,***必須通過物理接觸ATM機才能夠在ATM機上安裝上述惡意軟體,但在***本身是金融機構內部人員或得到內部人員的協助的情況下,並不難達到這一目的。
儘管Diebold在稍後的訊息釋出中稱,在ATM機上安裝惡意軟體的***者已被抓獲,並正在進行調查,但這種對ATM機的惡意軟體***趨勢仍值得我們關注,只需熟悉ATM機的內部軟體運作機理和銀行的業務流程,一個有程式設計經驗的***是能夠寫出可以在ATM機執行的惡意軟體,再加上有銀行內部人員的配合,一次針對ATM機的惡意軟體***就可以實施,而且這種威脅和傳統的ATM***手法比起來,無需新增額外的裝置,因此也更為隱蔽和難於消除。筆者覺得,ATM廠商和金融機構應該開始關注ATM機的軟體和網路安全問題,並將其提升到和物理安全同等重要的地位,而目前大多數的ATM系統仍沒有專門針對惡意軟體或對其軟體的惡意修改部署防禦措施,網路邊界安全措施也有所缺失,這一點也值得安全行業所關注。
推薦閱讀:
1) DIY安全測試實驗室;推薦指數:中
許多朋友有興趣於測試安全工具、分析惡意軟體和漏洞或學習安全技能,一些企業的IT部門也常常需要對一些安全工具進行適應性測試,因此,使用手頭上的資源DIY小安全測試實驗室是一個不錯的解決辦法。Darkreading.com文章《DIY安全測試實驗室》介紹了在這個過程中的主要注意事項,推薦有這方面興趣的朋友瞭解下。文章的地址如下:
2) E-Health可能面臨的14個安全風險;推薦指數:高
醫療過程的資訊化是未來發展的一個趨勢,儘管在國內還沒有大面積的推廣醫療資訊化技術和方案,但事先了解E-Health可能遇到的各種問題,可以作為醫療行業在實施資訊化過程中的重要參考。歐盟網路安全機構ENISA在前段時間推出了一個調查報告《E-Health可能面臨的14個安全風險》,推薦醫療和IT行業的朋友閱讀下。
報告的地址如下: