2月第4周安全回顾 恶意软件很疯狂 网络钓鱼防御低

简介:
 
本周(080225至080302)的信息安全威胁级别为低,针对上周公开的冷却内存并盗取其中敏感内容的研究报告,作为反方的Microsoft回应自己的产品是安全,并在安全业界引发一场加密安全以及如何平衡安全和易用关系的讨论,笔者将对此事件保持关注,并为大家提供更深入的跟踪和分析。
媒体方面,本周值得关注的新闻集中在恶意软件、安全管理和威胁趋势方面。
 
恶意软件:恶意软件疯狂攻击Windows智能手机,关注指数:高
新闻:周五,来自ITnews的消息,反病毒厂商Mcafee Avert实验室的研究人员称,目前有一个命名为WINCE/Infojack的恶意软件正在疯狂攻击使用Windows操作系统的智能手机。该恶意软件主要通过被捆绑的下载软件进行传播,在其成功感染智能手机后,除了会自动安装文件并盗取用户的信息之外,还会将用户智能手机的安全级别调到最低,以供将来进行进一步的恶意软件攻击。
笔者观点:Windows Mobile及Smartphone技术的逐渐成熟,更多的生产厂商,都促使基于Windows操作系统的智能手机的普及。由于Windows智能手机功能强大,体积小,很多用户都把自己的智能手机当作一个额外信息终端而非单纯的手机来用,进行互联网浏览、证券买卖或处理信息等。但在这些用户的观念里却没有将智能手机当作一个计算机来看,安全意识也相当薄弱,大部分用户没有反病毒软件,要使用什么软件也直接从互联网上下载。笔者认为,随着Windows智能手机的进一步普及,用户安全意识薄弱和安全措施缺失的问题将会进一步显露出来,而黑客对智能手机的攻击也会更加猖獗,并直接威胁智能手机用户的个人信息和隐私,并将会有相当多的直接针对商业利益的攻击活动——如盗取用户的证券交易和银行账户、自动发付费短信或拨打长途电话等。在智能手机攻击手段方面,除了现在的使用捆绑恶意软件的攻击方式外,蠕虫、间谍软件等也将纷纷登场,甚至还会出现各种基于Web的攻击方式。因此,在未来的一段时间内,智能手机的安全情况不容乐观,这还将直接影响到智能手机在企业应用领域的使用。当然,智能手机威胁的提升对各安全厂商也是相当大的机会。
 
安全管理:调查显示多数消费者不使用网络钓鱼防御;关注指数:高
新闻:周三,来自Techweb的消息,安全厂商VeriSign当天发布一个调查报告称,多数使用在线交易的消费者没有使用过各厂商提供的网络钓鱼防御工具,如内置在Microsoft IE 7.0内的EV SSL技术,该技术能够检查用户当前所浏览的在线交易站点是否是可信站点,并通过在浏览器的地址栏显示绿色或红色来提示用户当前所浏览站点的安全程度。
笔者观点:EV SSL是加密厂商和浏览器厂商合作的一个开放的SSL应用标准,它构建在成熟的SSL技术之上,能够为用户的互联网访问提供简单直观的网站身份确认功能,目前包括Microsoft IE 7、Mozilla Firefox、Opera和KDE在内的多个主流的浏览器产品也已经对EV SSL提供支持。但从此次VeriSign的调查来看,大部分有在线交易行为的消费者都没有使用支持EVSSL的浏览器或者在意浏览器地址栏的颜色提示,根据VeriSign前不久发布的一个调查报告显示,目前互联网上已经有差不多5000个网站开始使用EV SSL,其中包括PayPal、EBay等大型在线销售商。笔者认为,EV SSL作为专门对网络钓鱼防御进行加强的SSL 增强版,所提供的简单直观的安全网站提示对消费者的在线消费安全意义重大,但相关的厂商和电子商务网站还应该在指导消费者识别EV SSL标识方面投入更多精力。另外,笔者也发现,国内的电子商务站点绝大部分都没有使用EV SSL技术,建议国内的电子商务站点对EV SSL进行一定关注,以和国外的最新安全技术保持同步。
 
威胁趋势:2月即时通讯攻击增加43%;关注指数:高
新闻:周四,来自Techweb的消息,即时通讯安全厂商Akonix当天发表报告称,今年2月一共跟踪到20起针对即时通讯的恶意软件攻击,与前一个月相比,有43%的增长。Akonix的研究人员还说,同期通过P2P网络进行传播的恶意软件种类为15种。
笔者观点:由于用户日常工作和生活中越来越多的使用即时通讯作为主要的联络方式,因此,有相当多的黑客就将攻击的目标瞄准了各种即时通讯工具,许多如木马、蠕虫等恶意软件也纷纷将即时通讯作为标准的传播感染方式。黑客还常常根据节日或者重大事件,通过即时通讯发生更容易引诱用户点击和打开的可执行文件或恶意网站,比如Storm蠕虫就利用2月14号情人节疯狂的发送夹带有恶意软件的电子贺卡,而最近两个月闹得沸沸扬扬的艳照门,也被国内的一些地下黑客组织当作在即时通讯或P2P网络上传播恶意软件的主要欺骗手段。笔者认为,按照Akonix的统计结果,在未来一段时间内,利用针对即时通讯进行攻击或利用即时通讯进行传播的恶意软件数量还将会以缓慢的速度进行增长。对于如何保证即时通讯安全,单纯的依靠使用防火墙或反病毒软件并不能很好的解决问题,而且这样对于新出现的即时通讯恶意软件也难以保证响应速度,而单纯的从管理上采取禁止使用即时通讯的方法也有可能影响企业业务的响应速度,结合技术和管理的方法,并通过各种培训教育手段来增强用户在使用即时通讯服务的安全意识,才能更好的保证用户的即时通讯使用安全。







本文转自J0ker51CTO博客,原文链接:http://blog.51cto.com/J0ker/64087,如需转载请自行联系原作者

相关文章
|
15天前
|
云安全 人工智能 安全
|
21天前
|
存储 安全 网络安全
云计算与网络安全:探索云服务的安全挑战与策略
在数字化的浪潮下,云计算成为企业转型的重要推手。然而,随着云服务的普及,网络安全问题也日益凸显。本文将深入探讨云计算环境下的安全挑战,并提出相应的防护策略,旨在为企业构建安全的云环境提供指导。
|
28天前
|
安全 搜索推荐 网络安全
HTTPS协议是**一种通过计算机网络进行安全通信的传输协议
HTTPS协议是**一种通过计算机网络进行安全通信的传输协议
55 11
|
23天前
|
SQL 安全 算法
网络安全之盾:漏洞防御与加密技术解析
在数字时代的浪潮中,网络安全和信息安全成为维护个人隐私和企业资产的重要防线。本文将深入探讨网络安全的薄弱环节—漏洞,并分析如何通过加密技术来加固这道防线。文章还将分享提升安全意识的重要性,以预防潜在的网络威胁,确保数据的安全与隐私。
44 2
|
29天前
|
存储 安全 网络安全
云计算与网络安全:技术融合与安全挑战
随着云计算技术的飞速发展,其在各行各业的应用日益广泛。然而,随之而来的网络安全问题也日益凸显,成为制约云计算发展的重要因素。本文将从云服务、网络安全、信息安全等方面探讨云计算与网络安全的关系,分析云计算环境下的网络安全挑战,并提出相应的解决方案。
|
25天前
|
安全 算法 网络安全
网络安全的盾牌与剑:漏洞防御与加密技术深度解析
在数字信息的海洋中,网络安全是航行者不可或缺的指南针。本文将深入探讨网络安全的两大支柱——漏洞防御和加密技术,揭示它们如何共同构筑起信息时代的安全屏障。从最新的网络攻击手段到防御策略,再到加密技术的奥秘,我们将一起揭开网络安全的神秘面纱,理解其背后的科学原理,并掌握保护个人和企业数据的关键技能。
28 3
|
27天前
|
SQL 安全 算法
网络安全漏洞与防御策略:深入加密技术和安全意识的培养
在数字化时代,网络安全的重要性日益凸显。本文将深入探讨网络安全的多个维度,包括常见的网络漏洞类型、加密技术的应用以及如何培养强大的网络安全意识。通过分析这些关键要素,读者将获得保护个人和组织数据免受威胁所需的知识。
|
29天前
|
SQL 安全 算法
网络安全的隐形盾牌:漏洞防御与加密技术
在数字化时代,网络安全成为保护个人隐私和公司资产不可或缺的一部分。本文将探讨网络安全中的常见漏洞、加密技术的重要性以及提升安全意识的必要性。通过分析不同类型的网络攻击案例,我们将了解如何识别和应对这些威胁。同时,文章还将介绍基础的加密技术概念,并通过代码示例展示如何在实际中应用这些技术来保护数据。最后,讨论为何提高个人和组织的安全意识是防范网络威胁的关键。
|
27天前
|
SQL 安全 网络安全
网络安全的盾牌与利剑:漏洞防御与加密技术的深度剖析
在数字化时代的浪潮中,网络信息安全成为维护个人隐私和组织资产的关键防线。本文将深入探讨网络安全的核心议题,包括常见的安全漏洞、先进的加密技术以及提升整体网络安全意识的重要性。通过分析最新的攻击手段和防御策略,旨在为读者提供一个关于如何构建更安全网络环境的实战指南。
|
29天前
|
SQL 安全 算法
数字时代的守护者:网络安全与信息安全的现代策略
在数字化浪潮中,网络安全与信息安全如同航船上不可或缺的罗盘和舵。本文将探讨网络安全漏洞的成因、加密技术的重要性以及安全意识的培养,旨在为读者提供一套完整的网络自我保护指南。从基础概念到实用策略,我们将一起航行在安全的海洋上,确保每一位船员都能抵达信息保护的彼岸。