本周(080721至080727)信息安全威胁为低。
推荐阅读:
1)NIST研究人员的网络风险评估新方法;推荐指数:中
美国标准和技术学会的研究人员目前正在开发由攻击图表(Attack Graph)和美国国家漏洞数据库(NVD)相结合的网络风险评估新方法,以帮助企业的IT管理人员更为有效的防御敏感数据丢失的发生。现在的网络风险评估中仍主要以单点评估为主,攻击图表方法由于其效率较低和使用复杂而使用较少,NIST的研究是否能够给网络风险评估带来新的变革?笔者将持续关注该领域并为读者带来最新的报道。
2)银行网站使用Web 2.0技术所带来的风险;推荐指数:高
为了增强功能和用户体验,前几年开始国内外的众多银行都纷纷在自己的网站上使用Web 2.0技术。时过境迁,当Ajax等Web 2.0技术频繁爆出严重漏洞的时候,银行网站使用能够的Web 2.0技术是否仍无懈可击?推荐金融行业的读者阅读一下本文。
新闻回顾:
媒体方面,本周值得关注的新闻集中在漏洞攻击和网络访问控制领域。
漏洞攻击:DNS漏洞影响范围巨大;开放源代码产品中潜藏漏洞;关注指数:高
新闻1:7月24日,来自多家媒体的消息,安全厂商IOActive的Dan Kaminsky在一个Web视频节目中,向公众介绍了互联网域名系统(DNS)存在的严重漏洞,而该漏洞的利用程序,也在稍晚时候被著名的安全工具Metasploit所收录。该漏洞会使攻击者能够在较短的时间内成功猜出一个Web会话进行DNS查询的对话ID,如果成功利用该漏洞,攻击者可以修改目标系统DNS缓存内的内容,从而将目标系统的网络流量转向攻击者精心构造的主机上。另据报道,首例针对该DNS漏洞的攻击已于7月26日被发现。研究人员在7月初已经开始和各主要的DNS厂商进行交流,并协作推出修正该漏洞的补丁程序,这次DNS漏洞信息在完全修补前便被迫提前公开,也是因为针对该漏洞的补丁程序被第三方研究人员逆向工程并公开细节而造成。
分析:互联网DNS系统存在各种漏洞的讨论由来已久。由于DNS是上个世纪80年代初的产品,其最早用于APRNET,和许多早期信息产品相类似,最早的DNS主要考虑的是完成其功能,而并没有对安全有太多的关注。尽管随着信息技术的快速发展,DNS技术和方案也有了相当高程度的提升,但DNS协议本身所固有的缺陷,使得DNS的安全性一直不佳。目前黑客针对DNS的攻击,主要集中在对DNS服务软件本身漏洞的攻击上,或者对小范围的网络进行DNS缓存内容修改,较大规模的DNS攻击事件则未见有报道。但上周末发生的全球范围MSN服务无法登陆的事件,再结合技术人员提供的临时解决办法是手动修改MSN登录服务器DNS解析记录,和当时正好是Metasploit收录DNS漏洞利用工具的前后几天这两点来看,说不定就是这个DNS漏洞已经被攻击者应用于大规模攻击的例子。
笔者观点:对普通的个人用户来说,对这个漏洞基本是无能为力的。但对提供公众网络服务的ISP,或者自己架设有DNS服务器的企业和组织来说,则应尽快联系DNS服务器厂商,并升级自己现有的DNS服务器,以将该漏洞造成的威胁降低到最低程度。
新闻2:7月21号,来自Darkreading.com的消息,代码安全厂商Fortify在一个报告中称,11个流行的开放源代码产品的代码审核结果不容乐观,每个产品中都发现了多个威胁程度不等的安全漏洞。报告还指出,尽管开源产品能够有效的降低企业用于购置和部署软件的开支,但企业在使用之前,应该先深入了解部署开源产品有可能带来的各种安全风险。
笔者观点:根据Gartner稍早的一份调查报告,到2011年,将会有超过80%的企业会使用开源产品。开源产品进入企业应用领域的潮流不可逆转,但开源软件自身所固有的缺陷,显然会对其进入企业的速度和数量有较大的影响:作为技术人员实现自己想法的产品,开源软件的侧重点更多是在实现功能上,而非安全、易用等其他对用户同样重要的特点上,尽管近几年来开源社区逐渐重视开源软件的安全性,但在安全漏洞的预防、发现和响应上,仍远远不如用途相当的封闭源代码软件。同时,繁杂的软件版本、复杂麻烦的配置过程,也进一步的制约了企业安全使用开源软件。笔者认为,在开源软件大规模进入企业应用领域的大背景下,推广开源软件安全相关的产品和外包服务,不单将会对企业使用开源软件产生积极的影响,而且将会成为企业应用安全市场的新热点。
网络访问控制:Symantec 网络访问控制报告发布;关注指数:中
新闻3:来自informationweek.com的消息,安全厂商Symantec本周早些时候发布了2008年度的网络访问控制(NAC)报告,报告显示NAC市场的表现并不容乐观。其中,NAC市场上只有大概不到20家企业声称自己是纯粹的NAC厂商,2008年以来已经有3家厂商退出NAC市场,与此同时,有一些小的新厂商却进入这个市场。在NAC产品推出3年多之后,成功部署的数量仍较少,只占到受调查企业的20%不到,成功部署的用户也主要集中在有内部或外部法律法规要求的行业中。
笔者观点:从技术上说,NAC的观点是非常正确的,将不符合安全策略的节点堵在敏感的内部网络之外,从而保护内部网络里的系统及敏感数据安全。但从用户的实际反馈来看,现有的NAC产品大都不能在用户的实际环境中完善的工作,用户大型内网中种类繁杂的节点和网络设备,无疑会成为NAC厂商的噩梦,如果要让某个NAC产品运行企业,需要更换的软硬件以及新增的人员成本相当巨大,有些时候甚至比用户重新部署一套与互联网隔离的保密内网更贵。此外,NAC系统部署和维护也对企业用户的IT部门提出了很大的挑战,将企业安全策略和NAC系统的访问策略一一对应就是一件相当难完成的工作。笔者认为,尽管NAC市场现状不容乐观,但现在就断言NAC系统没有前途还为时尚早,NAC在适合的条件下,仍然是企业用户的内部网络多提供一层安全保障的良好选择。但现在的问题是,在NAC技术已经成为Microsoft Windows 2008和Vista SP1操作系统的标准组件,Cisco等网络设备厂商的NAC产品走兼容道路的趋势下,单纯的软件NAC厂商应如何应对?
本文转自J0ker51CTO博客,原文链接:http://blog.51cto.com/J0ker/89963,如需转载请自行联系原作者
