在任何好的军事行动中，专门知识都是识别、阻止以及成功防御安全攻击的关键因素。对IT专家来说，这就意味着随时了解黑客团体中流行什么技术。

　　对当今的为信息所驱动的团体来说，安全威胁正在不断地变化和进化这个事实非常令人沮丧。像蠕虫、木马以及Rootkit攻击这些入侵机制，不断地进化成更多发达的形式，并且根据攻击的数量和频率盛衰更迭。

　　Zero-day漏洞攻击以及rootkit攻击很难被发现，因此也就很难防御。它们被越来越多地嵌入到应用软件中——无论是在PC,MAC或者移动操作系统中。它们的目的就是窃取有价值的信息，而不是扰乱系统或者进行网络破坏行为。

　　“如今，据分析家们估计，大体上所有安全攻击中的75%都是针对应用程序的，”Verisign的产品市场总监Scott Magrath,告诉TechNewsWorld。“但是，企业安全的全部花销中只有10%花在应用程序安全上。我们希望在未来几年里这种情况能够得到显著地改善——部分会由诸如PCI（支付卡行业数据安全标注）这样关注更多应用程序安全的法规来促进。这要求用户将他们的投资从网络级安全扩展到应用程序级别。”

　　由于此类征兆，人们对第三方安全管理服务，还有系统安全风险分析及管理方案的需求也不断地增长。预先保护应用程序和数据资源的必要性同样促使人们对启发式机制的开发和应用——启发式是用来监测和防御入侵的实验式的、基于判断规则的机制——以及安全产品和服务中其他形式的人工智能。

　　战争游戏

　　鉴于攻击者，骗子以及其他网络罪犯与安全系统开发者的每日不断竞争，网络空间可比作计算机与网络的战争游戏——不同之处在于它是真实的。随着新的漏洞被发现和攻击，安全服务提供者以逐渐增强的方式不断更新它们的响应系统，类似于武器装备竞赛。

　　安全术语以及概念，或者思维方式，都经常是军事基调的。例如，ESET的技术教育总监Randy Abrams这样说道：“攻击者总能够在它们允许安全产品获取到样本之前，检验他们的代码对安全产品的作用效果。它们有令人惊讶的高效率。”

　　“因此，”他对TechNewsWorld说，“用户们有选择性地访问网站以及下载应用程序是非常重要的。”

　　“保持跟操作系统和应用软件的卖主发布的安全补丁同步是保持安全的至关重要的一步。一辆汽车含有数个要求安全操作的系统——最重要的还是取决于操作者。NOD32（ESET的安全方案旗舰产品）提供的一层保护，就像安全带提供的一样。汽车仍然得由用户驾驶，以及正确地使用刹车和加速器，不然他们还是会受伤。但这不能说明安全带不是重要的安全工具。”他评论说。

　　在任何好的军事行动中，专门知识都是识别，阻止以及成功防御安全攻击中的关键因素。对IT专家来说，这意味着随时了解黑客团体中流行什么技术。

　　“恶意软件研究者监控着这些威胁可能来源的数个区域。监控合法卖主所发布的安全信息也是解迷行动的一部分，”Abrams指出。“通过识别他们报告的漏洞，很有可能猜测出新威胁大概的样子。”
启发式：它是否看起来像是恶意软件……

　　如果潜在的威胁能够早点被发现，对它们的防御会变得更简单。这就是新型启发式机制诞生的原因。“在IT安全领域，启发式过去都是根据威胁如何动作来识别它，而不是明确地识别出已经发现了的威胁。如果规则设计得很得当，启发式机制将既能够识别出已知威胁，又能够识别出新品种的威胁，”Abrams解释道。

　　“通过提取潜在漏洞攻击的动作元素，提供对潜在威胁的启发式监测是完全可能的，”他补充说。“这有助于用户在开发者开发了消除漏洞的补丁后使漏洞停止被攻击。”

　　作为识别新威胁的基本手段，启发式机制已经成为了当今安全系统的核心元件。例如，Abrams指出启发式机制已经成功阻止了注入式的Zero-day攻击。

　　“启发式机制不仅可以识别可疑操作，它还能够判断好和坏，”他指出。

　　“当冲击波蠕虫病毒出现时，ESET的用户们早已由NOD32中的启发式机制妥善地保护好了。NOD32还检测出许多其它威胁——因而使用户避免蒙受数据，信息以及隐私的损失，”Abrams 说。

　　“好的防毒软件会使用不同的监测恶意软件的方法，”卡巴斯基实验室的高级技术顾问Shane Coursen告诉TechNewsWorld说。

　　“通常，最基本的方法是字符串扫描，它常被用来检索已知的恶意软件”他说，“启发式增强了字符串扫描方法的能力，使其能够监测到很可能是恶意软件的那部分。两种方法结合可以形成更强大的保护。”

　　好的启发式设计中的关键元件，Coursen继续说道，“当然就是那些充分考虑现有的恶意软件感染方法以及媒介的设计了。并且重要的是，假阳性一定要遵循绝对最小值。尽管通常是字符串扫描需要不断更新，但是更新也可以提供新的启发式机制规则。

　　“更新——保证防毒产品和病毒库是最新的——在所有情况下都是至关重要的，”他强调。

　　“真正协调的操作是设置可疑动作的阈值，”ESET的Abrams继续说。“没有什么操作是只有恶意软件才会用的，合法的程序有时也会使用一些操作。诀窍是结合足够的细节证据来找到不好的那些，而让好的程序继续发挥他们的功能。”

　　学习并且有目的性

　　随着恶意软件以及它们的潜在威胁的不断加剧，快速的、自发的响应对任何安全系统都至关重要。

　　“一些产品使用低智能方法阻止恶意软件，它要求用户理解‘一个程序正在写入主机文件’的含义，然后决定这是否是适当的操作，”Abrams指出。“一些情况下，它——如果用户选择不正确的话，合法应用程序将会被停用。这个方案越低智能化，它对网络以及那些不是计算机技术专家的用户来说越没有用处。”
ESET使用三种方法来满足这些要求：一般签名，被动启发式以及高级启发式。

　　一般通常用来有效地识别和阻止类型已知的威胁。它考察某些操作与已知威胁的相似程度。

　　“我喜欢使用类推”Abrams说。“你一定在街上看到过狗，你一看就知道它是一条狗，但你不知道它是什么品种。如果你的工作就是认出狗，那么品种就无关紧要，但是把猫当成狗你就会遭到惩罚，这就是问题所在。我们见过足够多的bagels,mytobs,zotobs等等，当一个新的出现时，我们可以说，虽然没见过这个样品，但是我们知道它是一个mytob.”

　　启发式机制，相对地，是用来防御未知威胁的。“启发式机制会在扫描或者访问文件的时候分析它们，然后会观察它会采取什么操作。如果文件写入注册表并修改系统文件，那么它有可能是重要的安全补丁——但如果它还发送电子邮件，并且使用IRC（互联网转播对话），那么它就更加可疑了。再加上我们可能找到的一些其他这段代码采取的操作，我们就可以宣布这个文件很大可能上不是好的了。”

　　高级启发式更进一步地使用启发式机制，它包括“在病毒扫描器中建立沙盒，然后使用模仿技术来‘运行’要检测的程序，”Abram解释说。“这个方法让我们能够看到该程序究竟会做些什么。模仿技术使加密的恶意软件自己解密，或者使压缩的恶意软件自己解压缩，因此能够将程序暴露在签名检测和其他启发式检测方法的监控之下。”

　　“信息安全委外管理服务的各公司（MSSPs）必须使客户们相信他们不会阻碍常规商业活动的顺利进行——并且作为公司之外的组织，一旦出现此类情况，MSSPs能够迅速意识到并做出反应。”Gartner的网络安全及隐私小组的Kelly Kavanagh说。

　　随着互联网威胁的变异，IT系统专家和安全服务提供者们也随之改变了他们的响应策略。

　　在这个系列的第一部分中，我们介绍了网络威胁的表象变迁。而第二部分我们将关注专家们用来防御最新一轮冲击的策略。

　　越来越多的组织在开发全面的安全策略，并且在他们信息操作的整个范围内，实现了多种多样的网上以及按需求定制的安全应用和服务。

　　对快速、高效并且无干扰的保护方案的需求使一些安全系统开发者成为信息安全委外管理提供者(MSSPs)。除了自动或者按需递交补丁和系统的更新程序外，MSSP们还扩展了他们提供的安全管理服务的范围。

　　另外，像Verisign和Checkpoint Software这样的公司已经随同策略管理服务启动了系统化的、对各组织的安全风险剖析。
进化中的恶意软件

　　根据卡巴斯基实验室的半年安全回顾称，2006年前半年信息系统安全威胁发生了显著变化。每月新出现的恶意程序比去年同期增长了8%。

　　“越来越多的黑客使用窃取个人信息和电子帐户信息的木马程序，”美国卡巴斯基实验室的高级技术顾问Shane Coursen说。

　　“互联网犯罪的历史仍然比较短，”他告诉TechNewsWorld，“因此对窃取个人信息以及机密信息的程序的使用才刚刚开始；事实上，我们确实发现了攻击者们改良的攻击手段，他们哄骗我们运行他们的应用程序，访问他们的恶意网站等等。”

　　使用含有rootkit技术的恶意软件就是需要注意的一个方面，Coursen继续说。“Rootkits功能很强大，它使人们能够隐藏他们的恶意操作及程序。此类软件正在逐渐增多；但是黑客们开发此类病毒需要很长时间并花费很大精力。不同于病毒和木马，rootkits并不简单，也不是有点基本的脚本技术的人就能使用的。通常情况下，我们发现的都是带有一两个类似rootkits的基本特性的木马程序。”

　　最近几个月最危险的威胁趋势就是控制数据做抵押品。“恶意软件使用者使用一种程序修改受害者机器上的数据并且给用户发送勒索信。这些程序彼此十分相像，不是削弱受害机器的功能，就是阻止用户访问数据，”卡巴斯基实验室安全公告中公布道。

　　后门木马

　　今年前半年里，特洛伊木马在大多数情况下都是网络勒索者的最佳选择。每月新的恶意程序的数量——包括改良版——比去年同期的平均值增长了8%。

　　根据卡巴斯基的安全回顾，木马占了恶意程序中的很大比例。比起2005年的前六个月，卡巴斯基的数据显示病毒和蠕虫的数量呈现了轻微的下降（1.1%），木马是今年前半年恶意软件中新改良版本显著增长（9%）的唯一一个。“数量增多的木马程序很大程度上决定了恶意软件整体的增长，”作者称。

　　“各类木马程序中，最普通的就是后门（30%），木马-下载器（26%），Trojan-PSW(12%)以及木马-间谍（13%）。这些木马与其他的有何区别呢？答案很简单：他们的目的都是钱。这些木马是窃取个人信息和建立僵尸网络的关键元素。这就是为什么它们在恶意攻击者中最受欢迎：那些攻击者越来越多地成为由利益驱动的攻击者，”他们解释道。

　　使用恶意软件——通常是木马——来勒索是近来出现的威胁，他们补充说。“最危险的一个趋势就是有一类事件的增多，此类事件中恶意软件使用者用程序修改受害机器上的数据然后勒索用户。这些程序彼此十分相像，不是削弱受害机器的功能，就是阻止用户访问数据”

　　今年前半年，被用于勒索的木马的数量从2个增加到6个。在它们发展的巅峰时刻，木马攻击主要局限于俄罗斯和CIS（独联体）。但是7月底，这些软件的作者和使用者明显分歧了——类似的勒索案件在德国，英国以及很多其他国家相继出现。
进化中的MSSPs

　　近来，由于信息安全威胁的性质以及他们的日益进化，威胁防御措施几乎嵌入到了信息部门的所有操作环节。MSSPs的发展壮大也是直接结果之一。

　　“MSSPs开始提供覆盖管理周期中更多安全漏洞的服务，比如内部和外部的漏洞扫描；足够的威胁知识来识别出现的攻击；提高将数据资产与漏洞，威胁以及攻击联系在一起的意识；以及防御攻击的能力，”Gartner(NYSE:IT)互联网安全及隐私小组的Kelly Kavanagh告诉TechNewsWorld。

　　但是，他指出，满足增长中的团体IDS（入侵监测系统）以及IPS（入侵防护系统）的需求是一个挑战。

　　“保证更快地阻止那些攻击——包括有目的的攻击或者那些不是基于已知漏洞的攻击——这样的技术能力是一个卖点。但是，MSSPs必须使客户们相信他们不会阻碍常规商业活动的顺利进行——并且作为公司之外的组织，一旦出现此类情况，MSSPs能够迅速意识到并做出反应。这需要MSSPs与他们的客户紧密联系，清楚地了解客户的信息操作，网络操作以及商业功能以便精确调整他们的服务来满足每位客户的要求。”

　　Kavanagh指出，最近的一些MSSPs之间的并购，比如IBM（NYSE:IBM）购买了互联网安全系统（Nasdaq:ISSX），就是市场成熟的标志之一。他说，MSSPs市场的增长，是由越来越多地对外委托基本安全操作的公司行为所驱动的——随之而来的将是对防火墙管理以及IDS监控的关注，还有对外委托IPS的兴趣的增长。

　　遵循政府和行业标准和法规，比如Sarbanes-Oxley以及信用卡PCI标准等等，这要求MSS能够提供文档进程，并且在整个漏洞管理周期中提供实时报告。

　　另外，人们越来越多地倾向于把更频繁的漏洞扫描作为更大的监控成就中的预定服务——而不是一次性的专业服务。订购模式被看作是那种自己公司维护各种工具以及专门技术的模式的可行的替代形式。

　　=============================================

　　原文链接：http://www.crn.com/sections/security/security.jhtml?articleId=193303479
        作者：Andrew K. Burger
        来源：TechNewsWorld