2010年,以百度遭到域名劫持攻击为标志,所有中国的大型公司和网站都遭到了严重的安全威胁。其中,近乎百分之百的互联网公司均遭到了渗透测试、漏洞扫描、内网结构分析等安全事件,其中被黑客成功获取一定权限的公司,占总体比例的85%以上。
在传统企业领域,高达90%的企业内网(仅计算与互联网连通的企业网络)被成功侵入过至少一次。其中遇到恶意代码(病毒和木马等)侵入的比例占50%,黑客攻击和渗透占43%,钓鱼网站攻击和其它形式安全事件占7%。
图1 企业所受攻击类型
攻击中国企业的IP地址,有80%来自国外,但由于黑客发动对企业的攻击时,通常都会用自己控制的“肉鸡”(被黑客控制的服务器)来建立代理服务器,通过使用多个代理服务器来隐蔽自身的行踪。在对中国企业发动攻击的国外IP中,相信有很大一部分是由国内黑客控制的。
在所有受攻击的企业和单位中,国家机关、涉密单位、科研院校、金融单位等涉及国家机密和资金安全的,遭到黑客攻击的技术含量和攻击频率都远高于普通企业。有的涉密单位,甚至在一个月之内就遭到多个不同组织的攻击窥测,攻击次数高达近千次;有的承担军队研究任务的院校,其研究人员的个人电脑也成为攻击的对象,攻击者企图通过对U盘、移动硬盘、手机的攻击,将其作为跳板,进而攻击涉密网络,一旦成功则造成机密资料外泄。
国内企业的恶性竞争,已经延伸到了黑客领域。在瑞星专家抽样检查的100家企业中,有近20%感染了非常复杂的木马程序,这些木马会定时把企业资料传送给企业的竞争者,使其在新产品发布、市场规划、广告发布等领域失去先机。
缺乏自主知识产权的软硬件产品,成为威胁国内企业安全最根本的软肋。在瑞星服务过的高等级涉密企业中,有95%以上在关键业务、核心环节应用了国外软硬件产品,包括操作系统、数据库、中间件、自动控制设备等,这些设备有的只有国外派来的工程师才能管理,中方仅能进行日常维护;有的外方不给源代码和核心功能说明,导致出现了安全漏洞之后,害怕影响正常业务运行而听之任之等现象,这些都给国内企业带来了安全风险。
国内企业安全概况
根据相关资料,国内约有正式注册的企业4000万家,其中的3%为大中型企业,他们拥有较完备的信息化系统,通过网络处理自己的业务和流程。目前,金融、零售、互联网等产业的信息化程度较高,黑客攻击的目标也集中于这些范围。
随着中国经济的发展,许多国内厂商开始走向国际市场,其经营情况、商业情报对国外竞争对手来说,有着菲比寻常的意义。尤其在一些重要的领域,例如能源、有色金属、精密机械制造等行业,一旦出现商业机密外泄,很容易给企业带来毁灭性的损失,甚至威胁到国家利益。
尤其在最近几年,中国企业开始利用国家储备的外汇进行全球资源整合、购买矿山和能源,在国外建立食品生产基地等,在进行这些工作时,一旦被国外利益相关方掌握机密情报,则会付出巨大的经济代价。根据媒体报道,在国外公司与中国钢铁行业的铁矿石价格谈判中,由于机密资料外泄,给整个行业带来了巨大的经济损失。
除了企业之外,政府、军队、教育科研等机关单位,也成为黑客攻击的重要对象,尤其是一些涉密等级高、内网中含有机密信息的单位,更容易遭到来自网络的攻击。根据瑞星的估算,仅仅在2010年,针对这些涉密网络的攻击就高达10万次以上,其中90%的攻击IP地址来自国外,美国、日本、韩国是排行最前的三个攻击来源地。
图2 对涉密网络发动攻击的IP来源 #p#
对于媒体和普通网民来讲,可能对新浪、百度这样拥有巨大用户群的公众型互联网公司非常关注。但对于整个安全行业,这些公众型公司并不拥有对网民至关重要的核心数据,所以即使受到攻击,最多仅是在几个小时内,用户无法正常访问自己喜欢的网站。
由于国内企业的特殊情况,很多企业在遭到攻击后不愿意及时公开,而且不能及时弥补黑客攻击所利用的漏洞、弱点,这往往会造成同一个公司的内网被多次攻击,用户资料出现外泄等情况屡有发生。
根据公安部发布的消息,2010年前11个月,全国共破获黑客案件180起,抓获网络黑客460余名,国内安全形势十分严峻。据媒体报道,大概在同时间段内,江苏警方破获比较重要的黑客案件27起,抓获“黑客”犯罪嫌疑人106人。
图3 受攻击企业地区分布
企业遭攻击的七种常见类型
互联网的发展和普及,为企业的工作带来极大便利,同时,也为黑客入侵和病毒传播提供了契机。因此,需要对企业信息系统存在的安全缺陷、可能受到的黑客攻击、容易被黑客利用的不安全行为等进行深入了解和分析。
一般来说,黑客攻击企业的主要方法有DDOS攻击、病毒植入、域名劫持等七大类。
1.阻断用户访问
这种攻击通常发生在大型网站和热门网站。2010年初,百度遇到的就是典型的“阻断用户访问”型攻击,黑客替换了百度的域名解析记录,使用户无法访问搜索服务器。此次攻击持续时间长达几个小时,造成的损失无法估量。
能造成“阻断用户访问”效果的攻击手段,除了“域名劫持”之外,更普遍的手段是DDOS攻击(Distributed Denial of Service,分布式拒绝服务攻击)。黑客控制位于全球的成千上万台机器,同时向攻击目标发起连接请求,这些请求在瞬间超过了服务器能够处理的极限,导致其它用户无法访问这些网站。
DDOS攻击技术含量比较低,即使技术不高的人只要花钱购买肉鸡,从网上下载工具就可以进行,因此在所有针对企业的攻击中,此类攻击占据了很大的比例。而且这一类攻击普通网民可以感受到,很容易被媒体报道,通常会引起业界的关注。
最新案例:2011年3月,韩国40个主要网站遭到分布式拒绝服务(DDOS)攻击,涉及总统府青瓦台、外交通商部、国家情报院等,以及著名搜索引擎NAVER等企业。
(韩国警察厅官员介绍黑客攻击政府网站的情况)
2.在网站植入病毒和木马
攻击企业网站,并在服务器上植入恶意代码,是另一种应用广泛的黑客攻击形式。根据瑞星“云安全”系统提供的结果,2010年,国内有250120个网站被植入了病毒或者木马(以域名计算)。教育科研网站、网游相关网站和政府网站,是最容易被攻击植入木马的三个领域,分别占总体数量的27%、17%和13%。
图4 被植入木马病毒的网站类型 #p#
3.将域名劫持到恶意网站
“域名劫持”也是企业用户经常遇到的一种攻击方式,通常表现为“网民输入一个网站的网址,打开的却是另一个网站”。这种现象可以分为以下多种情况:
①黑客通过病毒修改了用户客户端电脑的HOST列表,使一个正确的域名对应了错误的IP地址。
②用户所在的局域网,比如小区宽带、校园网、公司局域网等被ARP病毒感染,病毒劫持了局域网内的HTTP请求。
③网站所在的服务器机房遇到了ARP攻击。
④黑客通过技术手段,篡改了域名注册商管理的服务器。
前三种情况仅影响部分用户,第四种情况影响的是所有网民,所以危害最大。
4.内部账号和密码外泄
由于网络管理员通常管理多个密码,有的管理员会把密码记在纸上,贴在办公室里;或者使用自己的生日、电话号码等常见数字;或者有的管理员会使用密码管理工具,保存在自己的个人PC上,这些行为都很容易被黑客攻击并窃取,取得密码后会进行下一步的操作。
5.内网关键信息外泄
黑客在对一个企业进行攻击前,通常会对其进行长时间的观察和探测,例如:企业内网使用了哪些软硬件产品、版本型号、各自存在的漏洞;人员布置方面的信息,如多久对服务器进行一次例行检查、具体的安全管理规范是怎样的。
有的黑客甚至会关注“一旦发生安全事故,网络管理员的的责任追究”等具体细节。因为有的企业规定了严苛的安全管理制度,管理员一旦发现安全事故,会倾向于掩盖,而不是追查,这样就给黑客的进一步入侵带来方便。
瑞星建议,为了保证企业内部的关键信息安全,应该制定切合实际的安全制度,并保证认真执行,这样才能最大限度保证关键信息不会外泄。
6.商业机密外泄
随着市场竞争的激烈,有的企业会雇佣黑客获取竞争对手的情报,从而在市场竞争中占据先机。2010年3月,澳大利亚三大铁矿石生产商的公司网站遭到来源不明的网络黑客的攻击。媒体报道猜测,这些攻击可能与铁矿石价格大幅上涨有关。
在国内,此类带有商业目的的黑客攻击,近年来出现飞速上升的趋势。2006年,黑客葛某开始利用木马程序侵入冯某开的视频转换软件公司的电脑,期间冯某多次查杀了葛某研究出的木马程序,葛某想到自己花费大量精力研究出的程序竟被查杀,便想伺机报复。
2010年1月份,葛某向冯某发了一封携带其所做木马病毒的邮件,成功将木马远程控制程序植入冯某的电脑,并对冯某电脑中的系统信息进行篡改,造成经济损失达8万余元人民币。同时,葛某通过远程控制程序陆续从冯某电脑中窃取其公司的核心软件源代码,后多次匿名向冯某发送敲诈邮件索要200万美元,并威胁将冯某的核心技术公布给其同行业竞争者。11月,冯某报案,葛某被捕。
像这种窃取商业机密,敲诈钱财,或出售给竞争对手获利的行为,如果黑客“低调”处理的话,受害人很难及时发现。2010年底,瑞星应邀对100家企业内网进行安全检查,发现20%有过被入侵的痕迹,其中有的甚至在关键服务器被植入了木马程序,黑客可以对其进行远程操控。而这些中招的企业,此前尽管发现过一些蛛丝马迹,但并没有加以重视。
7.关键业务受影响
随着网络应用与内网数据库的对接,有些互联网公司的核心服务器会暴露于互联网外网,对于这些服务器的保护,应该是从事相应业务公司的重点。例如,有些学校的毕业证查询系统被黑客攻击,黑客可以修改毕业生记录,进而收取钱财。
案例一:
2010年6月,北方民族大学教务处网络管理人员发现,有人利用网络侵入该校教务管理系统所在的服务器,私自篡改学生成绩。经过与之前打印出来的学生成绩统计表对比,发现其中34名学生的成绩由先前的不及格被篡改为及格。该校教务处立即向银川市公安局网络安全保卫支队报案。
警方调查发现,犯罪嫌疑人通过实施跨国远程操作、发展下线代理来实施犯罪行为,追查难度很大,经过警方办案人员在全国多个省、市、自治区开展侦查、取证工作之后,7月24日,银川警方一举抓获李春江等全部犯罪团伙成员。
据了解,李春江在掌握破解高校教务系统漏洞的黑客技术后,先后向国内50多所高校上传木马程序,帮助近百名学生篡改近200门课程成绩,从中牟利10万余元。
案例二:
2011年农历大年初二,“潜伏”某游戏网站长达两年多,利用网络漏洞修改消费点数牟利400余万元的四川绵阳籍人宋延熙,在从国外回老家举行婚礼前一天,被江苏省南京市公安局玄武分局抓获归案。据了解,宋延熙现供职于新加坡某大学,此前曾在中科院担任研究员,具有博士学历背景。
据宋延熙供述,从2008年开始,他运用自己的计算机知识,侵入杭州某游戏网站后台,寻找到后台漏洞并修改“虚拟银行”数据,将产生的虚拟货币转至其朋友的支付宝中,进而向玩家出售,从中获利400余万元。#p#
涉密网络的安全威胁
在企业级用户当中,有一类用户对安全要求极其严苛,他们一旦出问题将会关系到国计民生,这就是国内的涉密单位。在用户分类中,瑞星把政府机关、军队、军工、与军事研究相关的科研院校、金融、基础公用设施单位等,列为涉密网络,为其提供最高等级的安全产品和安全服务。
目前,在京部委级别以上的单位中,有70多家使用瑞星的产品,其中包括国务院、中组部、中联部、国税总局、北京市政府等重量级单位。瑞星在关系到国计民生的重要行业中实现了全覆盖,例如金盾工程、金审工程、中国海关等。
根据中央国家机关政府采购中心发布的消息,2007年—2010年中央国家机关各部门及其下属各级行政事业单位通过协议供货采购的通用软件中,防病毒软件占通用软件采购总金额的5.10%,其中国产瑞星防病毒软件的采购量最大,占比57.41%。
(注:本章列举的涉密网络安全问题,均不涉及具体案例,仅为相关网络管理员参考之用)
1.涉密网络安全威胁概况
目前,几乎所有的重要单位都实现了机密资料的无纸化储存,对内网用户实行了严格的身份与权限控制,大大提高了办公效率。与此同时,其中储存的重要资料和信息也被黑客窥测,存在外泄和不当应用的风险。
从实际经验来看,黑客和病毒手段已经成为获取情报、制造混乱的最佳工具。2010年9月,“超级工厂(Stuxnet)”病毒在全球引起轩然大波。这是全球第一个能真正破坏工业自动化系统的病毒,有美国媒体报道说,该病毒是由美国情报部门协助以色列制造的,在伊朗散播后造成极其严重的后果,遭病毒攻击的核电站有数千台离心机运行异常,使得伊朗核计划遭到挫败。
图5 国内个人用户感染“超级工厂(Stuxnet)”病毒的趋势图(关于企业的数据涉及机密不能公布)
同时,在对一些重要企业的安全检查中,瑞星也曾经发现过存在类似安全问题,比如在自动化控制系统中存在有意留下的漏洞,内网中存在编写精巧的“特种木马”等,由于中方对很多软硬件设备不掌握自主知识产权,无法查看底层代码,导致遭攻击的风险在逐渐增加。
在针对涉密网络的攻击中,有大约10%比例的攻击从编程风格、操作精细程度、利用的漏洞质量等多方面观察,个人黑客无法做到如此水平,很可能是国外有组织有目的的情报收集和破坏活动。
2.涉密网络比较常见的攻击手法
与普通企业网络不同,涉密网络通常与互联网进行了物理隔绝,因此,针对涉密网络的攻击也有着自身的独特特点:
1.利用U盘等设备进行跳板攻击
以“超级工厂”病毒为例,它采用的就是跳板攻击的方法,病毒会感染个人电脑上使用的U盘,当带毒U盘被拿到内网中使用的时候,病毒随之进入内网。有美国媒体猜测说,该病毒是美国特工投放到在伊朗核电站工作的俄国专家电脑里的,从技术角度讲,这种猜测有一定道理。
2.利用未公开的0day漏洞
所有水平比较高的黑客攻击,几乎都利用了不为人所知的系统、应用软件和数据库漏洞,业内把这些漏洞称为“0day漏洞”。利用的未知漏洞越多,感染攻击能力越强,越难被阻止。以“超级工厂”病毒为例,其利用的7个漏洞中,只有1个是微软曾经公布并发布补丁的,其余的都属于“0day漏洞”。
值得一提的是,目前在互联网上存在着“0day漏洞”的灰色交易,有人专门挖掘各种漏洞,将其进行出售而获利。有的黑客组织就从地下市场购买这些漏洞,将其用于自己编写的木马中
3.针对特定对象编写,普通杀毒软件很难查杀
本质上讲,杀毒软件仅是用来应对感染规模大、数量多的普通型病毒攻击,如果单独针对特殊的用户编写,严格控制感染人数,普通杀毒软件的效力就会大大下降。
2005年6月,以色列爆发了历史上最大的商业间谍案,涉案人包括以色列国家安全总局的前特工。他们编写木马植入受害人公司,窃取商业机密、市场计划等,他们的雇主包括一些最著名的公司。
在此案中,涉案人通过编写特殊的木马程序,仅植入少数的几家公司。由于这些木马运行并没有任何异常,而且有的木马在完成任务后会自行销毁,抹掉自己存在的痕迹,导致丢失商业秘密的受害者在竞争中处于劣势。
由于这些木马在植入前都会通过主流杀毒软件的扫描测试,普通杀毒软件无法扫描出异常;而且在当时,多数杀毒软件通常不具有“主动防御”功能,导致杀毒公司无法获取样本,无法将其加入病毒库,从而无法将其查杀。#p#
企业应采取的防护措施
对于企业信息安全的保护,应当从企业自身建设和安全产品两方面共同着力。一方面,信息安全不再是分散的、技术上的简单概念,还应该与企业管理、基础建设、应急处理等宏观设计统一起来;另一方面,安全厂商需要进一步思考在如何将自身各项产品线进行长期规划、有机结合,从而针对不同行业、不同规模、不同安全级别的企事业及政府单位,量身定制完整的安全解决方案。
1.企业安全防护措施建议
除了使用质量良好的软硬件系统之外,有些共通的防护措施和思路,值得所有企业参考和借鉴:
1.安全风险评估
企业应对自己的信息资产作安全风险评估,了解自身所面临的安全威胁,主要来自外部,还是来自企业内部?对企业威胁最大的攻击方式,是窃取资料,是用户无法访问自己的网站,还是用户容易访问到被仿冒的网站?
2.针对急迫的问题迅速拟定执行解决方案
进行了风险评估之后,应该在短时间内针对急迫的问题迅速拟定执行解决方案,由公司整体组织和进行。由于有些安全风险无法在内部自行消除,所以需要求助于外部力量。比如:有的公司名字和品牌在搜索引擎上搜索,排在前列的都是仿冒的钓鱼网站,这时候就需要公司的市场部门去与相关公司沟通,针对用户发布安全警示等等。
3.根据不同行业特性规划安全风险对策
安全风险对策应根据不同行业的特性来规划,例如:网游企业面临的危险,主要是DDOS攻击和用户资料失窃;搜索引擎行业面临搜索质量因为病毒操纵恶化,有的广告主会发布带毒网页等等。这些都需要建立严格的审核机制和应对流程。
4.建立严格的权限管理体系和资料审核机制
很多企业的安全风险因素来自内部,离职员工的恶意入侵,低权限员工试图获取超越权限的资料等等,这些都需要内部建立严格的权限管理体系和资料审核机制,单纯依靠安全软硬件无法彻底消除类似风险。
目前,包括瑞星在内的安全厂商都会提供专业的安全风险评估、协助制定安全流程和规则等服务,如用户遇到自己无法解决的安全问题时,可向专业厂商求助。
2.针对涉密网络的系列安全解决方案
针对涉密性网络,瑞星产品做出了很多改进,在保证产品方便使用的同时,也加强了对病毒和黑客攻击的防御能力。
1.针对U盘等移动设备的防护
瑞星杀毒软件网络版有强大的U盘防御功能,可以利用智能主动防御技术,阻止病毒在U盘、移动硬盘等移动介质上建立恶意文件,从而阻断黑客利用U盘进行的跳板式攻击。
2.共享瑞星“云安全”成果
瑞星拥有亚洲最大的云安全数据中心,每年可以处理10亿量级的新增病毒样本。通过遍及全国的“云安全”探针,可以捕获在国内互联网上活跃的恶性病毒、木马等恶意代码。瑞星企业用户通过共享“云安全”系统带来的成果,可以在最短时间内拥有狙击恶意病毒的能力。
3.独有智能主动防御功能
由于很多恶意代码、病毒和木马是专门针对某个企业编写,利用病毒库特征码查杀的方式很难阻止和清除。无论是2005年的以色列商业木马间谍案,还是2010年的“超级工厂”病毒事件,都验证了这一点。
瑞星采用了独有的智能主动防御技术,它把病毒和木马常见的行为特征建立数据库,通过机器自动辨别这些行为特征,从而拥有了主动拦截和查杀恶性病毒的能力。实验室试验表明,利用微软0day漏洞的病毒,在瑞星加入针对性的行为特征后,无论怎么变形,被查杀的概率也高达99%以上。即使像“超级工厂”那样的病毒,也无法逃过瑞星主动防御的拦截和查杀。
4.强大的“反挂马”能力
现在很多木马都会通过挂马网站传播,针对这类病毒,瑞星专门开发了“反挂马”功能,并应用到产品之中。该功能通过智能辨别挂马网站进行攻击的行为特征,可以主动拦截挂马网站对用户电脑的攻击。由于很多黑客是先渗入在敏感单位工作的员工个人电脑,进而通过个人电脑跳转来攻击敏感网络。瑞星“反挂马”功能会在员工个人电脑上建立第一道防线,阻止黑客的攻击。
5.中国人自己的杀毒软件,具备完整知识产权
目前,瑞星是国内技术水平最高、产品线最长,可提供全套安全解决方案的专业安全厂商,瑞星最重要的优势之一,就是旗下所有产品都拥有完全自主的知识产权,并且可以与微软、思科、IBM等主流厂商的软硬件系统完美兼容。
在实际操作中,很多企业所在的领域,只有国外厂商提供应用软硬件系统,这些产品的知识产权并不会向中方开放,存在安全问题、漏洞的风险很大。而瑞星产品中的入侵检测、智能主动防御等,可以在一定程度上提高这些厂商应对安全风险的能力。
总结
瑞星专家指出,2010年,百度被黑和“超级工厂”病毒的出现,已经预示着企业安全进入到了一个全新的阶段,以前传统的企业安全防护体系面临严峻挑战。未知代码、钓鱼式仿冒攻击和社会工程攻击等,已经成为威胁企业安全的重要因素。
同时,新型终端在企业网络中的应用也在加剧这个趋势。2010年,iPad、智能手机等移动终端在企业网络中得到广泛应用,这些设备存储量小,通常会采用“云计算”的方式来处理企业相关事务。而且在这些设备上,通常会有3G连接和WiFi连接两种方式,如果在隔绝互联网的企业内网中使用,就可能成为黑客攻击的跳板。
因此,在可以预见的时间段内,安全厂商必须付出更多的努力,才能遏制企业安全防护脆弱的尴尬局面。