谁容易受到攻击?
鉴于Stuxnet如此受人关注,似乎许多系统都被该病毒感染。虽然10万个系统不算少,但是与被Renos恶意软件感染的百万个系统相比还是小数目。然而,受到感染的系统虽然比较少,但是容易受到利用多个零日漏洞的恶意软件攻击的系统数量却极其巨大(前提是零日攻击的目标为电脑中的多个软件)。
有趣的是,最应该关心多个零日攻击的企业通常是那些已经阻止了其他常见攻击的企业。如果传统攻击技术无效的话,攻击者更可能利用零日技术进行攻击。没有阻止过常见攻击的企业也会受到多个零日技术的攻击,但是他们可能已经被普通的恶意软件入侵过了。
为了确定你的企业是否容易受到此类攻击,请仔细评估现存的安全保护系统,并确定所有的这些保护是否会被最近的零日攻击绕过。企业必须自己进行这些具体的评估,因为它们取决于你系统上的各种保护措施。
注重安全的企业在评估系统和网络时需要了解利用多个零日漏洞的恶意软件,并且要把它们考虑进去。如果系统保护措施相互重叠严重,并且会以同样的方式失败,那么即使安装多层保护也可能无法提供重要的额外安全,反而会增加系统的攻击面,让管理更加困难。
企业对多个零日攻击的防御策略
为了防御多个零日攻击或者有针对性的攻击,企业不仅需要使用杀毒软件、更新补丁、采用基于主机的防火墙等标准措施,还应该考虑部署外围防火墙、基于网络的杀毒监测和阻断、以及入侵监测等,从而防御各种类型的攻击。虽然额外的多层安全在某层失败后可以提供协助保护,但是多层保护并不能真正提供足够的深层次防御。
比如,如果你的企业在台式机、服务器、电子邮件系统以及网络设备中使用相同的杀毒软件引擎,单靠这些杀毒软件监测提供的保护范围可能并不会比只在台式机中安装这种杀毒引擎提供的保护范围大多少。如果不是所有的台式机都安装了杀毒软件,或者不是所有机器中的杀毒引擎都进行了合适的操作,那么使用相同监测引擎的额外层才可能会提供额外的安全保护覆盖面。在服务器、电子邮件系统以及基于网络的杀毒设备中运行不同的或者额外的杀毒引擎,可以增加额外的零日保护或者恶意软件的监测覆盖面。
如果你的企业担心这类攻击,你可以采取额外的步骤(保护USB连接的安全)以防护或者限制攻击。如果不需要USB连接,请禁用它们,确保USB设备是在安全的配置中使用,确保USB设备的自动运行不能攻击系统。禁用USB设备之后,请锁定其他的物理安全设置,比如说系统BIOS。还有,只允许用有效的证书进行软件签名,并与应用程序白名单一起使用,从而防止恶意代码在系统中执行。微软的增强的减灾体验工具包 (EMET)可以为微软软件提供额外的恶意软件保护,防止软件被攻击者进行漏洞利用。只要有可能,企业还应该考虑不要把任务优先的系统连接到通用网络或者互联网上。
Stuxnet只是使用高级功能和利用多个零日漏洞的恶意软件之一。历史的经验告诉我们,恶意软件和攻击者只需做最少工作的就可以入侵系统,而随着防护水平的提高,攻击者的水平也会相应提高。Stuxnet以及将来可能利用多个零日漏洞的恶意软件,表明了企业需要仔细评估自己的安全保护措施,并且弄清这些保护是否能够阻断以及如何阻断这种攻击。利用多个零日漏洞的攻击将会更加常见,因为在恶意软件中可以绑定攻击的平台不断涌现,而且在恶意软件中包含新型攻击变得越来越简单了。
Stuxnet蠕虫病毒已经引起了媒体的广泛关注,因为这种病毒能够感染多种不同类型的系统。Symantec公司发布了一篇详细介绍Stuxnet的技术文章,并且指出,该病毒已经感染了近10万个系统。
Stuxnet类似于2009年12月的Operation Aurora(极光行动)攻击和Zeus僵尸病毒,因为它表现出了恶意软件的尖端技术。然而,Stuxnet更加复杂,主要是因为它能够同时利用多个零日漏洞。虽然通常很难预测未来的恶意软件,但是可以确定的是,Stuxnet不是最后一种同时利用多个零日漏洞的攻击。在本文中,我们将讨论Stuxnet的具体攻击方法,以及企业应该如何防御这种类似的漏洞利用程序。
当前Stuxnet的状态
Stuxnet是目前世界上最先进的恶意软件之一,因为它含有多种不同的恶意功能。它可以利用四种零日漏洞,其中包括Windows打印机后台处理中的一个远程漏洞,以及另外一个具有本地升级权限的漏洞。攻击一个零日漏洞比较普遍,而试图利用多个零日漏洞媒介可以让攻击者更加成功地入侵系统。虽然这是真的,但是对于每个零日漏洞来说可能都存在保护措施,或者系统并不会运行该软件容易受攻击的版本(比如,恶意软件试图攻击32位系统,但是最终攻击的却是64位Windows系统,或者目标系统使用的是另外一种PDF阅读器,而不是Adobe Reader),然而如果恶意软件包括多个零日漏洞攻击,只要其中一个攻击媒介没有受到充分的保护,就为攻击者提供了可乘之机。
攻击零日漏洞的恶意软件并不常见,普通的恶意软件一般针对的是比较老的、没打补丁的常见漏洞以及安全性差的系统,而能同时攻击多个零日漏洞的恶意软件则少之又少。
虽然利用多个零日漏洞可以增加攻击者成功的机会,但是攻击者所带来的破坏跟零日漏洞的数量没有关系。破坏的大小取决于攻击者利用漏洞所获得的访问权限,以及是否能够完全控制整个系统。如果恶意软件能够控制系统,不管它同时利用几个零日漏洞都没关系,因为它只利用一个漏洞入侵系统。一旦攻击者控制了系统,就可以截获数据,使用该系统去攻击其他系统,或者进行该系统可以完成的任何事情。
攻击多个零日漏洞的恶意软件利用了多个攻击媒介,这会增加它被监测到的机会,具体的取决于恶意软件的工作方式。如果多个失败的利用被记录下来,就会引起更多的关注,因为这可能是一个不寻常的事件。所以,攻击者需要进行权衡,因为他们越是使用多个零日攻击入侵系统,就越有可能被监测到。
【编辑推荐】