解读2007十大网络安全热点
来源:赛门铁克 更新时间:2007-11-19

随着2007年年底的日益接近,安全公司已经开始回顾这一年的安全事件,并展望2008的安全趋势。McAfee计划在周五发布其对即将到来的安全风险趋势的预测,而赛门铁克则已经发布了其今年的回顾,并列举出2007年度的十大网络安全热点话题。

数据窃取、对于Windows Vista操作系统的安全担忧和今年创下新记录的垃圾邮件,名列赛门铁克的十大互联网安全热点问题的三甲。

按照这个来自赛门铁克的十大安全热点问题名单,对于那些Windows企业领域的IT人士来说,一直存在对Vsita的这样一个担心,截止到2007年11月13日,Vsita已经被修补了16次,它是否值得立即在企业中安装部署呢?

“我不认为Vista会和过去的其他操作系统一样得到迅速的大范围普及应用,”发布赛门铁克互联网安全威胁报告的全球智能网主管Dean Turner表示。“企业在从一个传统的系统或其他架构进行升级的时候是非常谨慎的,因为这需要紧张的测试和部署工作。”

同时,系统和安全管理员正在继续进行多方面的测试,以评价Vsita应该在它们公司的移植路线图中的位置,Turner将网络描述为“patient zero”。这意味着黑客们将会继续通过多种更富创造性的方式来发起客户端和服务器端的攻击。

以下是赛门铁克评出的年度十大安全趋势:

1、数据窃取。

上个月底,根据美国300多家银行对TJX公司提出的起诉文件显示,零售巨头TJX公司的数据泄露事件导致了9400多万用户帐户受影响。

图1、大量信用卡数据泄露

今年一月份据媒体批露,黑客利用安全漏洞访问TJX公司计算机,安装通讯嗅探软件并且把80多GB数据传送到一个在加州的网站。这起事件至少导致在13个国家发生了大量的信用卡和借记卡诈骗案件,仅Visa卡用户的损失就超过6800万美元。

另外,全球最大的招聘网站Monster.com也在8月份遭到了一种新型特洛伊木马病毒的攻击。黑客成功窃取了数十万用户包括家庭住址和电话号码在内的个人信息,并向受害者发出勒索邮件。

还有Salesforce.com因为员工遭到的钓鱼攻击而泄露帐号密码,使得黑客取得Salesforce的客户联系人名单。

Turner表示,这些事件让数据窃取成为2007年度安全专家最关注的安全问题。
 
 、Vista成安全焦点。

图2、Vista成安全焦点

微软倾力打造的“史上最安全”的新一代操作系统Vista上市以来,其增强的安全功能和已经超过一打的安全补丁,都是技术媒体和技术专家关注和讨论的焦点,因此它得以上榜2007十大互联网顶级安全热点。

3、垃圾邮件。

图3、垃圾邮件创历史新高

图4、专业黑客工具现身网络

赛门铁克认为,黑客不仅仅变得越来越狡猾,而且更具有经济头脑,它开始向其他人销售黑客工具以获得金钱上的收入。这些工具包含今年非常流行的Mpack黑客工具,而且“钓鱼”工具同样已经在电脑领域非常普遍。

图5、钓鱼攻击

6、利用值得信任的品牌。

 

图6、可信任品牌可被黑客可用

通过利用一个可以信赖的网站,例如,黑客会发送给用户一个诸如www.bofa.com@yourmoney.com的链接,来欺骗某些人认为他们在登录美国银行的主页,有的人然后可能在这个错误的页面上键入信息。尽管当今大多数浏览器都标有告警信息,但是“钓鱼者”还是可以利用常用网址的拼写错误来欺骗用户。

图7、僵尸网络

通过代理进行攻击行为正在日渐成为电脑犯罪者保持匿名的常用方法,而“僵尸网络”则是用来窃取受保护信息的恶意使者之一。

8、Web插件

图8、Web插件成攻击手段

赛门铁克表示,源自微软的组件对象模型,用来管理多媒体应用程序的ActiveX控件构成了2007年插件漏洞的主体。这些控件通常是从网页上下载,以使程序更具有兼容性,但是它们也可以被作为攻击手段。

9、销售安全漏洞。

图9、安全漏洞也能拿来卖钱

10、虚拟机安全问题突出。

图10、虚拟机软件安全成黑客新目标