微软网络安全报告:企业面临的十大威胁与防护策略

本文基于微软安全情报报告,详细分析了企业环境中最常见的十大威胁类型,包括恶意网站、网络蠕虫和社会工程攻击,并提供了有效的缓解措施和最佳实践,帮助企业提升安全防护能力。

微软网络安全报告:企业面临的十大威胁

本文章翻译自 Microsoft Security 博客 “Microsoft Cybersecurity Report: Top 10 Most Wanted Enterprise Threats”(2013年11月26日发布)。

通过多年的海外出差,我们有机会与众多企业客户会面,讨论不断演变的威胁趋势。不仅我们提供信息,客户也分享了他们在自身环境中如何管理风险的经验。许多客户对企业环境中发现的主要威胁感兴趣。了解企业环境中最常见的威胁,有助于评估当前的安全态势,并优先安排安全投资。鉴于对此信息的高度关注,我们认为基于最新版微软安全情报报告(SIRv15)的新信息,详细分析企业客户面临的十大威胁会很有帮助。

最新报告显示,在2012年第三季度(3Q12)和2013年第二季度(2Q13)之间,全球企业环境中的系统平均约有11%遭遇了恶意软件。这一“遭遇率”基于运行微软实时安全软件的计算机检测并阻止恶意软件安装时的报告比例。这与实际感染恶意软件的系统数量不同,后者称为CCM(每千次清除的计算机数)。

图1(左):消费者和企业计算机的恶意软件遭遇率(3Q12~2Q13)。图2(右):微软企业安全产品检测到的前10大家族季度趋势(3Q12~2Q13),2Q13各家族遭遇计算机的比例。

从全球企业威胁前十的列表中,可以看出现代企业通常如何接触恶意软件。根据该列表,企业遭遇恶意软件主要通过以下三种方式:

  1. 恶意或受感染的网站
  2. 通过网络驱动器传播的蠕虫、自动运行功能滥用、弱密码等
  3. 用户被诱骗安装恶意软件的社会工程

恶意或受感染的网站

到2012年底,基于Web的攻击已超过传统网络蠕虫,成为企业面临的最常见威胁。最新安全情报报告显示,这一趋势在2013年上半年仍在继续。

图3:微软企业安全产品检测到的前10种家族季度趋势(2012年第三季度~2013年第二季度),各家族遭遇计算机的比例

实际上,在2Q13企业遭遇的前十种威胁中,有六种与恶意或受感染的网站相关。这些威胁包括JS/Seedabutor、HTML/IframeRef、Win32/Sirefef、JS/BlacoleRef、Java/CVE-2012-1723、Blacole等。企业计算机用户通常在使用内部系统浏览网页时,意外接触到这类恶意或受感染的网站。

以HTML/IframeRef为例,攻击者创建了自动系统来扫描网站,寻找易受攻击的Web服务器并感染它们。受感染的服务被用作重定向器,托管看似无害的小段代码。然而,这段代码是攻击链的一部分,当受害者访问该网站时,重定向器会从另一个恶意服务器提供恶意页面,从而感染受害者。关于这种攻击技术的更多信息,可以在之前的一系列文章中找到。

  • What You Should Know About Drive-By Download Attacks - Part 1(关于驱动下载攻击的注意事项 - 第一部分)
  • What You Should Know About Drive-By Download Attacks – Part 2(关于驱动下载攻击的注意事项 - 第二部分)

系统一旦被恶意软件感染,不仅会扰乱受感染的机器,还可能危害与之交互的其他系统。受感染的系统可能被用于在企业内外传播恶意软件,并窃取知识产权等信息。

网络驱动器、自动运行和弱密码

虽然企业面临的最常见威胁是基于Web的攻击,但蠕虫也不容忽视。在2013年第二季度企业面临的前十种威胁中,有三种与蠕虫相关,如Win32/Conficker、INF/Autorun、Win32/Dorkbot。蠕虫通常通过网络驱动器、自动运行功能滥用和弱密码滥用传播。

例如,Conficker蠕虫通常通过利用弱密码传播。该蠕虫使用常见或弱密码的内置列表,试图入侵其他计算机或窃取登录受感染系统的用户凭据。密码如“admin”、“admin123”、“administrator”、“default”、“test”、“12345”、“security”等都在Conficker的密码列表中。Conficker一旦入侵系统,可能会窃取IT管理员的凭据,从而在内部网络中传播。Conficker使用这种技术传播的机制如下:

  1. 系统被入侵
  2. 用户遇到问题并向管理员寻求支持
  3. 管理员使用网络管理密码登录受感染的机器以解决问题
  4. Conficker窃取管理员的凭据,并立即使用它们登录网络中的其他机器,入侵所有机器

社会工程

根据最新威胁信息,企业面临恶意软件的第三种最常见方式是通过社会工程,包括Win32/Obfuscator等。网络犯罪分子隐藏恶意软件,诱骗用户安装。这可能发生在多种情况下。

例如,攻击者使用受感染的系统发送包含恶意网站或恶意软件链接的错误邮件、好友请求、即时消息等。此外,攻击者经常将恶意软件捆绑到流行的软件、电影或音乐中,供用户在线下载,从而诱骗人们安装恶意软件。这种方法在微软安全情报报告第13版中有详细说明。

幸运的是,有一些有效的缓解措施和最佳实践可以帮助企业保护自己:

  • 保持所有软件最新:攻击者试图利用各种供应商所有类型软件中的漏洞。因此,保持环境中所有软件最新,并尽可能运行最新版本非常重要。这可以减少企业中此类威胁的传播。这一措施应有助于缓解2013年上半年企业环境中检测到的前十种威胁中的六种。

  • 要求使用安全开发生命周期开发的软件:在从受影响供应商获取、测试和部署软件更新之前,管理攻击者利用漏洞入侵环境的风险至关重要。软件供应商使用平台内置的安全缓解措施,如ASLR、DEP、SEHOP等,是应对这一问题的有效方法。这些缓解措施可以显著抑制攻击者对漏洞的利用。要求供应商提供使用这些缓解措施的软件。可以使用Binscope或EMET等工具检查环境中的软件是否采取了这些缓解措施。如果环境中部署的软件未采取这些缓解措施,EMET可能可以启用它们。这些缓解措施有助于风险管理,因为它们为测试和部署安全更新或软件新版本提供了时间。确认供应商是否使用安全开发生命周期的一个简单方法是询问其是否符合ISO 27034国际标准指南。

  • 限制网站访问:限制内部用户可以访问的网站。虽然可能在内部引起不满,但考虑到企业中发现的大多数威胁来自恶意网站,网站限制有充分的数据支持。此外,限制服务器对Web的访问一直是最佳实践。

  • 管理网站安全:许多企业没有意识到自己的网站可能托管此类攻击中使用的恶意内容。定期评估自己的Web内容,以防止影响客户和声誉的入侵事件。

  • 利用网络安全技术:网络访问保护(NAP)、入侵防御系统(IPS)、内容过滤器等技术自动提供机制,引导网络客户端合规(修复过程),然后动态提高网络访问级别,进一步增强保护。

当然,最新的微软安全情报报告还包含大量其他数据。该报告旨在提供规范性指导,帮助客户管理风险和保护资产。企业风险管理人员应立即从http://www.microsoft.com/ja-jp/security/resources/sir.aspx下载并了解最新威胁。

Trustworthy Computing(可信计算)部门
总监
Tim Rains(蒂姆·雷恩斯)

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次