谈到Windows平台下的恶意软件防护,方法听起来总是很简单:在电脑上装一个杀毒软件,然后就丢在一边不管了。每个人都是这么做的,对吗?好吧,事实上,它远不止这么简单,尤其是当涉及到保护运行在Windows服务器上的重要存储时。
研究表明,这些服务器是黑客犯罪的主要目标。根据Verizon发布的2012年数据破坏调查报告,恶意软件被列为影响服务器保密,数据防盗,完整性,真实性,可用性和功能性的最大威胁。Verizon还发现,包括服务器在内,有94%的数据受到了不同程度的威胁,这其中大部分的破坏其实都是可以避免的。
没有惊喜
微软2012年度安全报告也显示,Windows Server 2008 SP1系统的平均感染率和Windows 7 SP1基本相当。为了展示这个问题的严重性,Trustwave在它的2013全球安全报告中记录,对于Windows Server来说,从发现一个恶意软件那天开始,到正式发布补丁,微软平均需要话费375天的时间。你可以忍受让你的服务器如此长时间的暴露在这个风险之下吗?
受到Mandiant APT1报告中类似内容的启发,我在多个项目执行过程中,发现了成百上千的Windows服务器受到了恶意软件的攻击。底线是:Windows服务器被当作目标时,那些传统的防病毒软件根本没有办法帮助系统避开攻击。
当Windows受到恶意软件攻击的时候,服务器面临的问题仍然是尤其严重而特殊的一类:
1. 哪怕是在BYOD(携带个人的设备办公)的世界,服务器仍然存储这最重要的信息。它存储各种非结构化的文件和结构化的数据库,服务器仍然是“埋藏宝藏”的地方,也是罪犯最想入侵的地方。
2. 很多服务器通常是没有防御的。尽管我们为很多服务器安装了一些工具如Microsoft Security Compliance Manger,但是默认的服务器安装根本毫无价值可言。内部IT员工,甚至IT审计者常常忽视安全标准。越来越多的,第三方公司(比如服务器托管商、云服务提供商和独立软件供应商)仅部署那些对攻击毫无防护力的Windows服务器。
3. 没有打补丁的服务器是最容易受感染的,很容易被恶意软件及类似的滥用所影响。脆弱的堡垒总是最容易被攻破。另外,这些服务器还常常安装过时的软件,供应商早就停止了支持,不给他们提供补丁安装。
基于Windows的服务器最好不要装一堆第三方的软件。你不会喜欢在服务器上看到和客户端一样的Adobe Reader、Flash、ITunes这些软件,缺少第三方补丁是攻击问题的一大罪魁祸首。
如果你真想从最新的黑客攻击技术下保护好自己,你就必须更改从前的方法,包括卸载传统的杀毒软件,以下是一些可供参考的选择:
1. 你可以采用诸如Webroot和Panda这些供应商提供的基于云计算的防恶意软件技术。好处是,这类控制方式可以更加及时的对新型威胁进行防御,而只需要维护一个更小的足迹,这对服务器来说至关重要。有些甚至宣称能100%防护第一天产生的新型攻击。这个承诺可能有些夸张,但是比那些传统技术只能防御一小部分或者完全没有首日攻击防御能力的要强的多。
2. 采用诸如Sourcefire和Palo Alto网路公司提供的下一代基于互联网提供商安全标签的高级恶意软件防护技术,然后配合专业的应用程序,例如Damballa和FireEye这些公司提供的解决方案,是非常有益的一种方式。这些方案虽然价格比较高,但绝对物有所值,特别是对那些需要运营大型负责网络的大型集团而言。
3. 还有一种叫做应用白名单的技术,例如Bit9和Lumension安全这些公司就提供了基于这种技术的解决方案;通常它也能很有效的控制服务器端的安全。
我已经看到所有这些技术都在发挥作用,并且效果确实不错。但是每个网络和服务器的情况都不尽相同。我建议具体情况具体分析,还是要评估之后再决定到底那种技术对你的IT环境是最合适的。有厂商已经在围绕基于大数据技术展开的尝试。在许多案例中,当发现问题时,入侵者已经在网络之中了。这个时候作出适当的反应比完全不反应可能更合适一些。
在针对Windows入侵者时,最重要的是要制定一份行动计划。没有任何系统是完全没有漏洞的--事故总会发生。预防总是很理想化的,但是准备好相应的应对措施,总比打没有准备的战要好。