狼来了!企业安全面临新挑战
企业观察
最近安全行业最大的新闻不是云安全的新进展、虚拟化的新成果,也不是各家杀毒软件2010版的高调亮相,而是“毒王”李俊的复出。两年前,这个一手“缔造”了熊猫烧香的“天才”程序员,曾引起了很多用户的恐慌。这一方面说明信息安全已经成为人们工作、生活的重要部分,另一方面也证实“毒王”的技术确实高人一等。如今,赴京求职的李俊被若干家安全厂商拒之门外,除了避嫌的考虑,更多是因为,当前的木马病毒结构与安全防护体系已经发生了翻天覆地的变化,网络安全的复杂性已非昔日可比,“毒王”的时代已经过去了。
“老朋友”带来新难题
相对于个人用户来说,企业用户对网络的依赖程度更高,对安全要求也更复杂。不过万变不离其宗,企业安全管理人员关心的核心问题始终只有一个:快速查出病毒并将它杀掉,在这个基础上,又衍生出对系统资源占用量的控制、查杀时间、资费及易用性设计等要求。所以,任何一款安全产品,其核心竞争力都在查杀能力上,只有查得出、杀得掉病毒,才能在这个行业立足。查杀病毒要求对木马病毒进行实时跟踪,用最快速度掌握第一手资料,“知己知彼”才能打赢一场场漂亮的攻防战。
将时间轴拉至2007年或者更早,是感染型病毒的天下。这类病毒通过U盘、下载等方式传播,感染系统中的可执行文件以达到破坏的目的,比如熊猫烧香,一旦系统被感染,电脑内的感染文件都会呈现熊猫头像。这种感染方式从DOS时代就已经出现,算比较“古老”的病毒形式,但由于其强大的破坏性和发散能力,被病毒制造者屡屡“创新”,如采用“加壳”、变种等方式来免杀,所以存活至今。多数企业用户由于早期安全防护意识较差,一旦遭遇感染型病毒袭击,往往损失惨重。
局势瞬息万变,当人们还在为病毒感到头疼的时候,2008年木马开始呈几何式增长。以网页挂马等形式出现的木马迅速挤占了各大安全软件黑名单的前几名,病毒悄悄“隐退”,成为“过去时”。2008年底多份专业安全报告都宣称,“传统病毒已经接近消亡,安全行业即将进入反木马时代”。这样的结论源于2008年底安全市场的境况:病毒带来的威胁占的比例已经不足5%,“安全预警”中前十名几乎找不到病毒的踪影,类似熊猫烧香这种大规模破坏性病毒再也没有出现。
风水轮流转,一年不到,安全厂商可能需要修改一下他们的安全报告了:根据卡巴斯基实验室的观测,2009年底感染型病毒有卷土重来之势,以USB、Rootkit为传染路径的病毒死灰复燃,并以更隐蔽的方式伪装传播,在部分企业网络中已经泛滥成灾,造成了不小的损失,企业网络安全正面临着“老朋友”的新挑战。
谁动了企业的信息资产
今天的企业管理者大都信奉这样一句话:“如果公司被大火一夜之间付之一炬,只要服务器上的信息还在,一年之内就可以实现重建。”这句话除了强调企业数据灾备的重要性之外,还传递着这样一条信息:对于任何一家现代化企业而言,信息资产已经成为生存之本,理应被放置到最重要的位置。随之而来的是企业结构的悄然改变:信息资产已经成为构建企业基石的“重资产”,而员工、办公设备等逐渐转型为“轻资产”。
对于企业用户而言,保护信息的重要性不言而喻。相应地,木马病毒自然也以窃取信息资产为首要目的,而木马和病毒又有着细微的区别,木马的目的性更明确:盗窃用户信息,从而获益。对于侵入企业网络的木马来说,它的首要任务自然是窃取核心数据,这直接威胁到企业的信息资产安全。在商业社会中,信息资产受到威胁,对于企业的影响甚至远大于病毒的破坏性,更要命的是,这一切都在暗中默默地进行,一些企业安全管理员甚至毫不知情。
2009年底,AV Comparative针对部分欧洲企业进行了一项抽样调查,调查企业每年遭遇的信息资产泄露次数:A.基本没有(2次以下);B.极少(3~5次);C.较多(10次以上)。结果,选择C项的比例占到了大半。如果在国内重复这项调查,选项应该改为:A.10次以上;B.不知道。在复杂的安全形势下,国内任何一家企业数据安全防护状况都不甚理想,目前国内对安全最重视、信息安保工作做得较好的企业是华为,其每年因数据泄露而造成损失的次数都绝对不会少于10次。
一些中小企业用户出于安全和成本考虑,采用了Linux或Unix系统,它们被认为比Windows要安全得多,Linux在一定意义上也成为信息资产的“保护伞”。但随着Linux的“尝鲜者”越来越多,病毒、木马开发者也瞄准了这块“肥肉”——先入为主的观念使得多数Linux、Unix用户并没有安装安全防护软件,一旦黑客、木马成功侵入,获得核心信息犹如探囊取物。时代变了,迷信Linux“百毒不侵”无疑是愚蠢的,针对企业特点,部署适合自己的安全网络才是稳妥之道。
除了惹人生厌的木马和病毒,信息资产安全最大的威胁实际上来自企业内部员工:由于员工疏忽或恶意泄露企业核心信息的比例甚至占到了90%以上。于是,安全软件多了另外一层职责:不让员工干坏事——通过实时监控实现对信息资产的严格控制,杜绝疏忽或恶意泄露行为的出现。