随着2007年年底的日益接近,安全公司已经开始回顾这一年的安全事件,并展望2008的安全趋势。McAfee计划在周五发布其对即将到来的安全风险趋势的预测,而赛门铁克则已经发布了其今年的回顾,并列举出2007年度的十大网络安全热点话题。
数据窃取、对于Windows Vista操作系统的安全担忧和今年创下新记录的垃圾邮件,名列赛门铁克的十大互联网安全热点问题的三甲。
按照这个来自赛门铁克的十大安全热点问题名单,对于那些Windows企业领域的IT人士来说,一直存在对Vsita的这样一个担心,截止到2007年11月13日,Vsita已经被修补了16次,它是否值得立即在企业中安装部署呢?
“我不认为Vista会和过去的其他操作系统一样得到迅速的大范围普及应用,”发布赛门铁克互联网安全威胁报告的全球智能网主管Dean Turner表示。“企业在从一个传统的系统或其他架构进行升级的时候是非常谨慎的,因为这需要紧张的测试和部署工作。”
同时,系统和安全管理员正在继续进行多方面的测试,以评价Vsita应该在它们公司的移植路线图中的位置,Turner将网络描述为“patient zero”。这意味着黑客们将会继续通过多种更富创造性的方式来发起客户端和服务器端的攻击。
以下是赛门铁克评出的年度十大安全趋势:
1、数据窃取。
上个月底,根据美国300多家银行对TJX公司提出的起诉文件显示,零售巨头TJX公司的数据泄露事件导致了9400多万用户帐户受影响。
图1、大量信用卡数据泄露
今年一月份据媒体批露,黑客利用安全漏洞访问TJX公司计算机,安装通讯嗅探软件并且把80多GB数据传送到一个在加州的网站。这起事件至少导致在13个国家发生了大量的信用卡和借记卡诈骗案件,仅Visa卡用户的损失就超过6800万美元。
另外,全球最大的招聘网站Monster.com也在8月份遭到了一种新型特洛伊木马病毒的攻击。黑客成功窃取了数十万用户包括家庭住址和电话号码在内的个人信息,并向受害者发出勒索邮件。
还有Salesforce.com因为员工遭到的钓鱼攻击而泄露帐号密码,使得黑客取得Salesforce的客户联系人名单。
Turner表示,这些事件让数据窃取成为2007年度安全专家最关注的安全问题。
、Vista成安全焦点。
图2、Vista成安全焦点
微软倾力打造的“史上最安全”的新一代操作系统Vista上市以来,其增强的安全功能和已经超过一打的安全补丁,都是技术媒体和技术专家关注和讨论的焦点,因此它得以上榜2007十大互联网顶级安全热点。
3、垃圾邮件。
图3、垃圾邮件创历史新高
任何时候,类似包含生发丸、股票致富技巧等信息的垃圾邮件永远也不会停止骚扰你的电子邮件信箱。而且,垃圾邮件发送者开始采取更复杂的方式来散播垃圾邮件,诸如发送伪装的PDF文件,在电子邮件主题中假装认识你,以及通过电子贺卡发送Storm蠕虫病毒等。垃圾邮件比例今年创下了历史新高。
图4、专业黑客工具现身网络
赛门铁克认为,黑客不仅仅变得越来越狡猾,而且更具有经济头脑,它开始向其他人销售黑客工具以获得金钱上的收入。这些工具包含今年非常流行的Mpack黑客工具,而且“钓鱼”工具同样已经在电脑领域非常普遍。
图5、钓鱼攻击
钓鱼攻击是spoofing(欺骗)攻击和伪装攻击的孪生兄弟,其名字得自于黑客通常使用看上去正常的程序作为诱饵来引诱用户上钩。赛门铁克的Turner表示,电脑罪犯已经不必再使用强行攻入的手段,布下陷阱,某些用户会自己送上门来。
6、利用值得信任的品牌。
图6、可信任品牌可被黑客可用
通过利用一个可以信赖的网站,例如,黑客会发送给用户一个诸如www.bofa.com@yourmoney.com的链接,来欺骗某些人认为他们在登录美国银行的主页,有的人然后可能在这个错误的页面上键入信息。尽管当今大多数浏览器都标有告警信息,但是“钓鱼者”还是可以利用常用网址的拼写错误来欺骗用户。
7、僵尸网络。
图7、僵尸网络
通过代理进行攻击行为正在日渐成为电脑犯罪者保持匿名的常用方法,而“僵尸网络”则是用来窃取受保护信息的恶意使者之一。
8、Web插件
图8、Web插件成攻击手段
据赛门铁克表示,源自微软的组件对象模型,用来管理多媒体应用程序的ActiveX控件构成了2007年插件漏洞的主体。这些控件通常是从网页上下载,以使程序更具有兼容性,但是它们也可以被作为攻击手段。
9、销售安全漏洞。
图9、安全漏洞也能拿来卖钱
瑞士一家名为WabiSabiLabi有限公司的机构开设了一个零日攻击安全漏洞市场,将向在线拍卖网站eBay一样出售这些安全漏洞。至少有一位分析师说,这个行动肯定会引起有关安全漏洞应该如何披露的新的争论。
10、虚拟机安全问题突出。
图10、虚拟机软件安全成黑客新目标