本周(1126至1202)安全方面值得关注的新闻集中在漏洞攻击、恶意软件和威胁趋势方面。
漏洞攻击:IBM警告Lotus Notes存在远程代码执行漏洞;客户端及应用漏洞在SANS 2007年威胁表占据前列;关注指数:高
新闻1:周四,IBM当天发布安全公告称,它的企业电子邮件软件 Lotus Notes中存在一个远程代码执行漏洞,攻击者将可能通过利用这个漏洞,向用户的机器中植入恶意软件。这个漏洞存在于 Lotus Notes所使用的一个第三方厂商组件中,该组件用于处理 Lotus 工作表文件。目前已经确认这个远程代码执行漏洞影响 Lotus Notes 6.0/7.0/8.0版本,IBM已向用户提供如何禁用存在漏洞的组件的说明,但尚未提供补丁程序。
新闻1:周四,IBM当天发布安全公告称,它的企业电子邮件软件 Lotus Notes中存在一个远程代码执行漏洞,攻击者将可能通过利用这个漏洞,向用户的机器中植入恶意软件。这个漏洞存在于 Lotus Notes所使用的一个第三方厂商组件中,该组件用于处理 Lotus 工作表文件。目前已经确认这个远程代码执行漏洞影响 Lotus Notes 6.0/7.0/8.0版本,IBM已向用户提供如何禁用存在漏洞的组件的说明,但尚未提供补丁程序。
笔者观点:
Lotus Notes是企业使用较多的一个电子邮件解决方案,由于周四IBM公告所涉及的漏洞影响面很广,同时该漏洞又是最危险的远程代码执行漏洞,因此企业用户不可掉以轻心。建议,部署有
Lotus Notes的企业的管理员除了要及时按照IBM所提供的禁用说明关闭存在漏洞的组件之外,还应密切监视企业内部网络中近一段时间的恶意软件活动,以防止和及早发现攻击者利用这个漏洞发起的攻击。笔者认为,从最近一段时间的漏洞公布和攻击情况来看,漏洞挖掘和攻击活动的目标,正在从原来使用最广泛的主要厂商产品,如MS Windows和Office等,转移到用户数量稍少一些的但企业用户为主的软件产品上;第三方组件的漏洞挖掘仍然是一个热点,但也将会在今年大力挖掘主流厂商产品的第三方组件漏洞的基础上,对非主流厂商产品所使用的第三方插件的漏洞挖掘也会成为一个比较热的方向。这个趋势所带来的结果有可能是在2008年针对企业中广泛使用的非主流厂商产品的攻击将迅速增加,安全业界和用户要对此做好准备。
新闻2:周二,SANS当天发布的《2007年度20大危险列表》中,客户端威胁和应用程序威胁排在前列。由于目前IT技术应用的愈加广泛,越来越多没有经过安全教育的用户和没有安全意识的安全人员正在使攻击者的成功变得容易。
笔者观点:针对客户端和应用程序的攻击这几年一直呈逐年上升的趋势,客户端方面,最近几年的出现的间谍软件、0Day漏洞攻击等大多针对客户端发起;跨站脚本,代码注入,缓冲区溢出等针对应用程序的漏洞也逐年增多。目前针对客户端的安全产品不少,但仍有许多企业内网中存在大量的不安全客户端,成为企业安全的潜在威胁。另外,应用程序和软件安全尽管在这两年有了一定的发展,一些安全厂商也推出了自己的代码安全产品,但和现实的需求仍相差较大。笔者认为,客户端和应用程序威胁在2008年仍将是影响最大的威胁,针对这两种威胁的安全市场也将会有较大的发展,国内的安全厂商可以适当关注应用程序安全方面。
恶意软件:Google搜索结果中仍存在大量包含恶意软件的网页。关注指数:高
新闻:周四,反恶意软件厂商Sunbelt的CEO当天在其blog上称,当前Google的搜索结果中仍存在大量包含恶意软件的网页,如果搜索用户的系统及软件没有打上最新的补丁,将很有可能会因为查看这些搜索出来的恶意页面而感染恶意软件。同时他还指出,这些恶意网页除了会在用户系统安装一般的能偷取用户账户密码的恶意软件外,还有可能安装用于点击欺诈的恶意软件。
笔者观点:目前Google已经使用了Safesearch技术来过滤搜索结果中的恶意网页,但Sunbelt CEO在Blog上的文章,显示Google的过滤技术仍相当不成熟。其他搜索引擎也同样会有这样的负面效应,不少搜索引擎有可能要比Google目前遇到的问题更为严重。同时,Google等的搜索引擎对本身没有恶意页面,但有可能捆绑有恶意软件的下载网站也没有进行自动过滤,而用户常常直接通过搜索引擎搜索然后下载自己需要的软件,这样搜索引擎便变成导致用户感染恶意软件的帮凶。笔者认为,企业应对自己内网的用户进行安全教育,防止通过搜索引擎感染恶意软件,个人用户也要注意搜索引擎的安全使用。另外,保持自己的系统和软件版本为最新,安装各种安全产品并保持最新,才是最有效的保护搜索安全的方法。
威胁趋势:数据丢失的损失明显增加; 关注指数:中
新闻:周三,根据咨询公司Penemon Institute最近发布的一个调查报告表明,企业发生数据丢失事故所造成的损失,从2006年的每个涉及客户182美元,上升到2007年的197美元,并且这个损失中还不包括公众形象的修复和客户后续支持对企业所造成的损失。
新闻:周三,根据咨询公司Penemon Institute最近发布的一个调查报告表明,企业发生数据丢失事故所造成的损失,从2006年的每个涉及客户182美元,上升到2007年的197美元,并且这个损失中还不包括公众形象的修复和客户后续支持对企业所造成的损失。
笔者观点:数据是一个企业业务能够正常运行的关键元素,其中又以专利信息、客户资料,财务数据等为最重要的,但目前许多企业都不重视这些数据的保护,也没有建立对这些数据全生命周期的保护方案和体系。另外,由于害怕影响形象等原因,许多企业即使发生了数据丢失的事故,也不向公众公开事故。尽管当前我们从媒体上了解到的数据丢失事故都是国外大企业所发生的,但随着国内利用计算机和网络的有组织犯罪的迅速增加,国内企业所面临的数据丢失风险正随之迅速上升,前一段时间曾在新闻上公开的30万证券帐号的详细资料被公开便是一个例子。笔者认为,在2008年,国内企业对数据全生命周期安全和数据泄露防护方案会进一步增加,安全业界可对此加以适当关注。
本文转自J0ker51CTO博客,原文链接:http://blog.51cto.com/J0ker/53436,如需转载请自行联系原作者
