本周(0813至0819)安全方面值得关注的新闻集中在漏洞攻击、安全行业动态、安全产品和威胁趋势方面。
漏洞攻击:
Microsoft放出八月补丁,需注意浏览器相关漏洞,关注指数:高
新闻:周二,来自多家媒体的消息,Microsoft当天按时发布了八月的Windows及其他Microsoft软件的补丁程序,从MS07042至MS07050共9个。除了MS07049 Virtual PC代码执行漏洞能够影响客户端和服务器之外,其他8个漏洞均被划分为影响客户端的严重级别的漏洞。
分析:在针对客户端的漏洞中,用户需要注意MS07046 GDI和MS07050 VML这两个漏洞,其中MS07046是MS06001的发展版本,MS07050是MS07004的发展版本。由于这两个漏洞都属于通过IE以当前用户权限来执行代码的远程漏洞,攻击者常用这类远程漏洞制作恶意网页,通过Web将各种恶意软件种植到用户的系统中。根据通常的规律,在每次Microsoft补丁推出的2周内是黑客利用当前漏洞进行攻击的最频繁的阶段,因此,虽然目前网上尚未出现针对MS07046和MS07050的漏洞攻击程序,但因为这两个漏洞的实现细节早已公布在互联网上,估计攻击程序的出现也就是近段时间之内。
笔者建议:用户应保证自己的操作系统补丁和反病毒程序版本为最新,尤其是不能通过Windows Update和自动更新升级的用户,请手动 从Microsoft的网站上下载补丁程序更新系统。用户还应注意不要随意打开不受信任的网站,并随时注意自己的系统是否有反应缓慢、光标闪烁等异常情况。
安全行业动态:
Novell收购安全管理公司Senforce,关注指数:中
新闻:周一,Novell宣布收购安全管理公司Senforce,但Novell没有透露这个收购案的涉及金额,也没有透露将有多少Senforce员工加入Novell。Novell和Senforce的合作始于今年早些时候,当时Novell把Senforce的终端安全产品OEM为Zenworks终端安全套装。
分析:收购Senforce将对Novell未来的安全产品战略产生积极的影响,Novell除了可获得Senforce所擅长的身份管理、系统管理和安全管理技术,还有Senforce的整个技术团队。Novell在收购Senforce之后将继续开发Zenworks终端安全套装,不过业界有的厂商认为,Zenworks和别的终端安全套装相比,还缺少关键的反恶意软件组件。对于这点,笔者有不同看法,Novell同时也是一家操作系统厂商,它的SUSE Linux是商业Linux发行版中较为成功的,Novell现在收购Senforce,除了丰富自己的产品线外,更有可能的是要在Linux系统的安全管理方面拔得头筹。Linux的安全管理对较为缺乏经验的企业用户来说比较困难,现在SUSE Linux加上安全管理方案,显然对企业用户会有相当大的吸引力。
Sourcefire收购开源反病毒软件项目,关注指数:高
新闻:周五,安全厂商Sourcefire当天宣布,收购开源反病毒软件项目ClamAV,并计划将ClamAV用于其当前的UTM产品中。ClamAV是著名的开源软件,曾被集成到许多企业级的UTM、Web和E-mail安全网关中。
分析:免费、开源、快速加上较好的使用效果,作为开源软件里面少有的反病毒项目,ClamAV被许多安全厂商,尤其是规模较小的厂商选择为自己安全产品的组件,用在许多企业级的UTM、Web安全网关、E-mail安全网关里面。Sourcefire收购ClamAV之后,这一大块厂商的产品的反病毒功能的授权和服务将成为未知数,尽管目前Sourcefire承诺会对这些厂商提供特殊的ClamAV使用授权,但显然仍然会对这些厂商和他们的用户造成不小的影响。ClamAV收购后给UTM及安全网关厂商留下的反病毒技术空白,对国内的反病毒厂商来说,说不定是一次难得的机遇。
安全产品:
Symantec和Intel联合开发可以内置于微处理器的安全产品,关注指数:中
新闻:周三,Symantec的副总裁Rowan Trollope周二说,Symantec目前正在和Intel联合开发可以内置于微处理器的安全产品,这种技术基于Intel的虚拟化技术,将用在未来的安全设备中。
分析:随着数据处理的效率和速度要求的提高,对安全功能的实现要求也越来越高,在高压力环境下,用硬件代替软件来实现安全功能渐渐成为主流。目前硬件级的安全实现主要有两种类型,其中常见的是,安全设备仍然是一台定制的服务器或PC,使用精简过的通用操作系统(通常是Linux),安全功能由安装在操作系统上的软件实现,但软件效率较差;另外一种是使用专门设计的安全芯片,直接将安全功能用芯片来实现,但硬件成本较高。Symantec和Intel目前联合开发的技术克服了上述两种方案的缺点,它使用通用的CPU和平台架构来降低硬件成本,并使用专门开发的软件直接运行于CPU上,来提高软件执行效率。笔者认为,由于这种安全功能的实现方法性价比相当好,应该会被更多较大较有实力的安全厂商所接受,同样拥有虚拟化技术的AMD也会加入竞争,但对于较小的安全厂商来说,采用上述的第一种安全设备的实施方法仍是首选。
威胁趋势:
针对IPS的逆向工程将造成严重安全威胁,关注指数:中
新闻:周二,咨询机构Gartner说,Black Hat会议上公开的IPS逆向工程技术将有可能造成严重的安全威胁,攻击者可以通过对IPS进行逆向工程,挖掘出IPS处理入侵数据的技术细节,并寻求躲避IPS进行攻击的方法。
分析:企业中广泛使用IPS,对加强内网中的入侵防护起了积极的作用。从Black Hat会议的信息来看,IPS带来的风险在于对入侵行为数据库的保护不足上,Gartner的报告指出,攻击者可以通过对IPS的入侵行为数据库进行逆向分析,可以得出某种被IPS拦截的0Day漏洞的具体技术数据,从而重现这种漏洞,并用于攻击其他没有IPS保护的目标;另外入侵者还可以修改自己的攻击特征,从而达到躲避IPS的目的。笔者认为,虽然技术上可行,但攻击者通过IPS的数据库逆向工程来重现一个0Day漏洞,难度是很高的。比较有可能的是攻击者通过逆向工程获得躲避IPS的方法,不过已经部署有IPS的企业不需要对此太过担心,因为漏洞利用程序的溢出代码有严格的格式规定,一个字节的改变也有可能导致攻击失败,即使攻击者有很低的几率避过IPS的探测并成功攻击,企业用户还可以通过反病毒软件、防火墙等其他安全方案来进行防御,对企业用户来说,真正重要的是部署好层次化的深度防御(Layered、In-depth)的内部网络安全体系。
漏洞攻击:
Microsoft放出八月补丁,需注意浏览器相关漏洞,关注指数:高
新闻:周二,来自多家媒体的消息,Microsoft当天按时发布了八月的Windows及其他Microsoft软件的补丁程序,从MS07042至MS07050共9个。除了MS07049 Virtual PC代码执行漏洞能够影响客户端和服务器之外,其他8个漏洞均被划分为影响客户端的严重级别的漏洞。
分析:在针对客户端的漏洞中,用户需要注意MS07046 GDI和MS07050 VML这两个漏洞,其中MS07046是MS06001的发展版本,MS07050是MS07004的发展版本。由于这两个漏洞都属于通过IE以当前用户权限来执行代码的远程漏洞,攻击者常用这类远程漏洞制作恶意网页,通过Web将各种恶意软件种植到用户的系统中。根据通常的规律,在每次Microsoft补丁推出的2周内是黑客利用当前漏洞进行攻击的最频繁的阶段,因此,虽然目前网上尚未出现针对MS07046和MS07050的漏洞攻击程序,但因为这两个漏洞的实现细节早已公布在互联网上,估计攻击程序的出现也就是近段时间之内。
笔者建议:用户应保证自己的操作系统补丁和反病毒程序版本为最新,尤其是不能通过Windows Update和自动更新升级的用户,请手动 从Microsoft的网站上下载补丁程序更新系统。用户还应注意不要随意打开不受信任的网站,并随时注意自己的系统是否有反应缓慢、光标闪烁等异常情况。
安全行业动态:
Novell收购安全管理公司Senforce,关注指数:中
新闻:周一,Novell宣布收购安全管理公司Senforce,但Novell没有透露这个收购案的涉及金额,也没有透露将有多少Senforce员工加入Novell。Novell和Senforce的合作始于今年早些时候,当时Novell把Senforce的终端安全产品OEM为Zenworks终端安全套装。
分析:收购Senforce将对Novell未来的安全产品战略产生积极的影响,Novell除了可获得Senforce所擅长的身份管理、系统管理和安全管理技术,还有Senforce的整个技术团队。Novell在收购Senforce之后将继续开发Zenworks终端安全套装,不过业界有的厂商认为,Zenworks和别的终端安全套装相比,还缺少关键的反恶意软件组件。对于这点,笔者有不同看法,Novell同时也是一家操作系统厂商,它的SUSE Linux是商业Linux发行版中较为成功的,Novell现在收购Senforce,除了丰富自己的产品线外,更有可能的是要在Linux系统的安全管理方面拔得头筹。Linux的安全管理对较为缺乏经验的企业用户来说比较困难,现在SUSE Linux加上安全管理方案,显然对企业用户会有相当大的吸引力。
Sourcefire收购开源反病毒软件项目,关注指数:高
新闻:周五,安全厂商Sourcefire当天宣布,收购开源反病毒软件项目ClamAV,并计划将ClamAV用于其当前的UTM产品中。ClamAV是著名的开源软件,曾被集成到许多企业级的UTM、Web和E-mail安全网关中。
分析:免费、开源、快速加上较好的使用效果,作为开源软件里面少有的反病毒项目,ClamAV被许多安全厂商,尤其是规模较小的厂商选择为自己安全产品的组件,用在许多企业级的UTM、Web安全网关、E-mail安全网关里面。Sourcefire收购ClamAV之后,这一大块厂商的产品的反病毒功能的授权和服务将成为未知数,尽管目前Sourcefire承诺会对这些厂商提供特殊的ClamAV使用授权,但显然仍然会对这些厂商和他们的用户造成不小的影响。ClamAV收购后给UTM及安全网关厂商留下的反病毒技术空白,对国内的反病毒厂商来说,说不定是一次难得的机遇。
安全产品:
Symantec和Intel联合开发可以内置于微处理器的安全产品,关注指数:中
新闻:周三,Symantec的副总裁Rowan Trollope周二说,Symantec目前正在和Intel联合开发可以内置于微处理器的安全产品,这种技术基于Intel的虚拟化技术,将用在未来的安全设备中。
分析:随着数据处理的效率和速度要求的提高,对安全功能的实现要求也越来越高,在高压力环境下,用硬件代替软件来实现安全功能渐渐成为主流。目前硬件级的安全实现主要有两种类型,其中常见的是,安全设备仍然是一台定制的服务器或PC,使用精简过的通用操作系统(通常是Linux),安全功能由安装在操作系统上的软件实现,但软件效率较差;另外一种是使用专门设计的安全芯片,直接将安全功能用芯片来实现,但硬件成本较高。Symantec和Intel目前联合开发的技术克服了上述两种方案的缺点,它使用通用的CPU和平台架构来降低硬件成本,并使用专门开发的软件直接运行于CPU上,来提高软件执行效率。笔者认为,由于这种安全功能的实现方法性价比相当好,应该会被更多较大较有实力的安全厂商所接受,同样拥有虚拟化技术的AMD也会加入竞争,但对于较小的安全厂商来说,采用上述的第一种安全设备的实施方法仍是首选。
威胁趋势:
针对IPS的逆向工程将造成严重安全威胁,关注指数:中
新闻:周二,咨询机构Gartner说,Black Hat会议上公开的IPS逆向工程技术将有可能造成严重的安全威胁,攻击者可以通过对IPS进行逆向工程,挖掘出IPS处理入侵数据的技术细节,并寻求躲避IPS进行攻击的方法。
分析:企业中广泛使用IPS,对加强内网中的入侵防护起了积极的作用。从Black Hat会议的信息来看,IPS带来的风险在于对入侵行为数据库的保护不足上,Gartner的报告指出,攻击者可以通过对IPS的入侵行为数据库进行逆向分析,可以得出某种被IPS拦截的0Day漏洞的具体技术数据,从而重现这种漏洞,并用于攻击其他没有IPS保护的目标;另外入侵者还可以修改自己的攻击特征,从而达到躲避IPS的目的。笔者认为,虽然技术上可行,但攻击者通过IPS的数据库逆向工程来重现一个0Day漏洞,难度是很高的。比较有可能的是攻击者通过逆向工程获得躲避IPS的方法,不过已经部署有IPS的企业不需要对此太过担心,因为漏洞利用程序的溢出代码有严格的格式规定,一个字节的改变也有可能导致攻击失败,即使攻击者有很低的几率避过IPS的探测并成功攻击,企业用户还可以通过反病毒软件、防火墙等其他安全方案来进行防御,对企业用户来说,真正重要的是部署好层次化的深度防御(Layered、In-depth)的内部网络安全体系。
