安全威胁的发展动向和应对措施

访谈：冠群金辰技术总监谈安全威胁

2005年12月7日下午，冠群金辰公司技术总监郑林先生做了题为“近期安全威胁的发展动向和技术应对措施”的报告。

一、威胁

据IDG的一份全球性企业安全调查报告显示，目前最为严重的威胁主要有木马、病毒、蠕虫及恶意代码、间谍软件、垃圾邮件、黑客攻击等。其中，与去年相比，间谍软件和垃圾邮件的威胁性有所提升，去年排在7、8位或更靠后的位置，今年分别窜升至2、3位。国内的情况，垃圾邮件、DDoS、Phishing和蠕虫是最严重的。

为什么会发生这种变化呢？让我们从根探起。随着时代的变迁，原来明显的破坏行为或引人注意的为获得“成就感”而发起的恶作剧或故意破坏，多数是病毒，少数是木马，如今已演变成以获取经济利益为目的，大部分是潜伏的恶意代码，力求不被注意到，主要体现为信息窃取和远程控制的攻击方式。这样隐蔽性更大，一般都是处于潜伏状态，而且是为了获取经济利益。

恶意代码的最终目的都是为了获取经济利益，但表现形式却各有其特色。其中，僵尸网络（Zombie network，botnet）由大量的被控制的机器组成，可以按时段出租，主要用于散布垃圾邮件和执行DDoS攻击。已经形成了一套地下资源，在中国大概有上百万台，包括个人ADSL用户。广告软件，即Adware，是按点击率来计价的。身份窃取，主要是网络钓鱼，主要是获取信用卡和银行信息。间谍行为主要体现为商业间谍和政府行为。

接下来郑先生着重以Mytob和Zotob为例介绍了僵尸网络。Mytob基于Mydoom源代码，通过电子邮件传播，也可以通过LSASS漏洞传播，具有bot的远程控制的功能，实际上就是Mydoom和tob（bot的逆序）组合。Zotob具有bot的功能，利用五天前公布的系统严重漏洞（Windows Plug and Play服务漏洞MS05-039）发起攻击，行动非常迅速。恶意bot的功能和特点主要有创建后门程序、创建代理程序、转发邮件、键盘记录、一般会加壳自保护等，传播途径主要是攻击手段和社会工程，用途包括DDoS攻击、垃圾邮件、扫描攻击并建立新的botnet。垃圾邮件的10～20%都是通过botnet发送的。

二、防范

因为主要的威胁途径有HTTP、E-mail、IM/P2P/IRC和Windows漏洞攻击，我们针对此，主要的防范措施有网关恶意代码和攻击的防范、确保邮件安全、终端的安全管理。要注意双向防范，对网络外部的网络连接和信息传递的防范，和对终端计算机的行为监控。对于邮件，要从垃圾邮件、病毒邮件、欺诈邮件及策略管理四个方面入手。对于终端的安全管理，首先是防病毒、防间谍软件及部署终端防火墙，还要实施补丁管理以及终端应用监管和审计。

三、冠群金辰产品及策略介绍

80年代的时候，就做出了Kill系列杀毒软件，一直发展到今天。冠群金辰在SARS爆发期间，想到传染病的传播规律是不是会和蠕虫的传播规律有相似之处，从这个点开始研究，开发出一套传染病控制理论模型。产品方面，Kill过滤网关（KSG）可用来预防外部威胁、内部网络安全隔离，还具备领先的蠕虫过滤技术。

最近发布的新品，KSG-M，是一款专业的邮件安全设备，具有强大的反垃圾邮件、反病毒邮件、防欺诈以及策略监管和依从性保障功能，适用于保护各种规模组织的电子邮件基础设施。能够有效地帮助用户降低电子邮件系统管理负担、有效保障邮件系统投资、降低电子邮件系统可能引入的风险。

(T111)