持续了几十年,尽管花费相当于经商的税收,却看不到尽头斗争的恶意软件拖累。
[也:恶意软件的未来]
SANS Technology Institute的主管约翰•佩斯卡托雷(John Pescatore)估计,如今平均IT预算中约有5%用于安全方面。2013年10月,由惠普企业安全公司赞助的波耐蒙研究所的一项研究显示,网络犯罪(包括内部恶意攻击和设备盗窃)平均每年给美国企业造成1160万美元的损失。这一成本比去年每家公司的平均890万美元增加了23%。
当被问及为何恶意软件是一场没有尽头的战争时,专家们通常会用军事或生态来比喻。持军事观点的人说,有缺陷的防御导致了僵局。有生态意识的人不会把这看作是一场胜负分明的战争——他们看到的是捕食者和猎物之间的永恒循环,目标不是胜利,而是平衡。
内华达州亨德森市飞地法医研究所的研究主任戴维•贺尔泽(David Hoelzer)喜欢用军事比喻。“我们基本上是在兜圈子,”他说。“只有在敌人击败我们的防线之后,我们才会进步。”大多数软件仍然漏洞百出,但供应商通常不会采取行动,直到一个漏洞被公开披露。程序员没有受过安全方面的培训,而‘写得好’意味着‘预算不足’。”
安全顾问Lenny Zeltser选择了生态比喻。“攻击者利用了防御者,防御者做出回应。这是周期的一部分。“如果攻击者太容易进入,他们就会花太多钱来攻击我们。如果我们100%地阻止攻击,我们可能在防守上花费太多。我们在一段时间内一直处于平衡状态,而且将永远如此。但自满是危险的,因为我们必须不断地投入精力来维持平衡。”
金融领域的发展为我们提供了一个例子,说明了为什么持续使用能量来维持平衡是很重要的。趋势科技(Trend Micro)的一份新报告指出,最近的攻击旨在窃取网上银行凭证飙升达到了2002年以来的最高水平。
然而,专家们一致认为已经取得了进展——即使只是朝着维持生态平衡或军事僵局的方向。
目前为止的胜利
在这一点上,“没有任何类型的恶意软件是没有防御我们目前所知的,”Roel Schouwenberg说,他是一个反恶意软件供应商卡巴斯基实验室的研究员。
安全顾问、海军研究生院教授威廉•休•默里(William Hugh Murray)补充道:“我们再也看不到三、四年前那种大规模传播的恶意软件了,(比如)2000年的ILOVEYOU病毒。”
对安全供应商McAfee、AVG和卡巴斯基实验室的分析师和高管的采访表明,以下是使这成为可能的四种主要武器:
“签名检测。这种方法使您能够发现恶意代码。
”行为监测。通过采用这种技术,您可以在计算机中发现恶意活动,或者确定可疑文件是否会对虚拟诱饵作出响应
”黑名单。这是一种阻止访问包含在不需要的实体列表中的站点和文件的机制。
”白名单。使用这种方法(本质上与黑名单相反),用户只能访问已知无害的实体列表中的站点和文件;拒绝访问不在列表中的网站和文件。
这四种武器都有自己的支持者和反对者,所有在本文中询问的反恶意软件供应商都表示,他们同时使用这四种武器的某种形式。
其他防御措施包括防火墙,它可以防止入侵,至少对Windows来说,它是操作系统的一部分,以及供应商定期发布补丁来解决漏洞。
网络攻击的频率
在对60家公司进行的为期四周的基准测试中,不同类型的攻击发生的频率。
病毒,蠕虫,木马病毒
恶意软件97%
僵尸网络73%
基于网络的攻击63%
拒绝服务50%
恶意代码48%
恶意的内部人员42%
钓鱼/社会工程42%
偷来的设备33%
资料来源:波耐蒙研究所/惠普企业安全“2013年网络犯罪成本”研究。
有时会有人提出这样一个问题:是否有更先进的武器是我们还没有了解到的。Zeltser说:“我听说反恶意软件供应商有更好的防御手段,他们选择不发布,因为还没有必要,而且他们不想泄露自己的秘密。”
卖主否认了这一点。反恶意软件供应商AVG Technologies的高管托尼•安斯科姆(Tony Anscombe)表示:“我们的秘密武器每天都在使用——这是一场日常战斗。”反恶意软件供应商赛门铁克(Symantec)的发言人凯文·黑利(Kevin Haley)表示,如果供应商有可以阻止所有病毒的软件,“等待使用它将是愚蠢的”。他指出,“这将是一种竞争优势”,有助于销售更多软件。
无论哪种方式,最终结果都是反恶意软件供应商现在可以在两个小时内对新的(或“零日”)攻击做出响应,尽管复杂的攻击可能需要后续跟进,Haley说。
与此同时,政府也在努力降低软件受感染的风险。例如,Tim Rains,主管微软他说,微软已经修改了开发人员使用的代码库,以消除错误和漏洞。
因此,他指出,在2006年,堆栈腐败是43%的时间被利用的漏洞,但现在只有7%的时间被使用。他还引用了研究2011年,分析师丹·卡明斯基(Dan Kaminsky)等人进行的一项调查显示,微软Office 2003有126个可利用的漏洞,而Office 2010只有7个。
多年来用户可下载的安全相关软件补丁也产生了可衡量的影响。Rains引用了微软在线恶意软件删除工具的统计数据,该数据显示,拥有最新保护的系统被感染的可能性降低了5.5倍。
截至2012年12月,未受保护系统的感染率为每1,000台机器12.2例,而受保护系统为每1,000台机器2例。全球平均感染人数为千分之六。
另一方面,感染仍然会发生。但即使是感染的性质似乎也达到了一种平衡状态。
今天的攻击分为两大类
在安全测试公司和威瑞森子公司ICSA实验室的首席安全研究员罗杰·汤普森(Roger Thompson)对今天的观点看法不一常见的感染分为两类:APT(“高级持续威胁”)和AFT(“另一个可怕的木马”)。
他说,APT恶意软件的新例子大约每月出现一次,它们的目标是特定的目标,而且是由资源、能力和耐心令人印象深刻的组织产生的。最经典的例子是2010年Stuxnet病毒该组织的目标似乎是让伊朗核研究实验室中的离心机因转速过快而自我毁灭。
“每一个都是不同的,都很可怕,”汤普森指出。
至于aft,自我复制的恶意软件不再是感染媒介的选择,攻击者更倾向于从受感染的网站发起驱动攻击,攻击被骗访问的受害者。(然而,蠕虫和更老的恶意软件仍然潜伏在互联网上,并且不受保护的机器仍然可以在几分钟内被感染,消息来源同意。)
网络犯罪平均年化成本
这些成本以60家公司的攻击频率为基准进行加权。
拒绝服务——243,913美元
业内恶意人士——198769美元
基于网络的攻击——125,101美元
恶意代码- $102,216
网络钓鱼/社会工程- 21,094美元
被盗设备——20,070美元
僵尸网络- 2088美元
病毒,蠕虫,木马- 1324美元
恶意软件997美元
资料来源:波耐蒙研究所/惠普企业安全“2013年网络犯罪成本”研究。
专家们同意,新木马的获取似乎只受到研究人员下载示例的能力的限制;每天可以收集成千上万的数据。许多例子只是长期存在的恶意软件家族的成员,已经重新编译,一些恶意网站将重新编译他们的有效负载——创建一个独特的文件——为每个驱动攻击。这样的家庭大概不会超过一千个,因为接管一台机器而不让它崩溃的方法是有限的,汤普森指出。
最初的感染通常是一个用于下载其他组件的紧凑的引导捆绑机制。它可以向攻击者报告它感染了哪种类型的主机,然后攻击者可以决定如何使用受害者,Zeltser解释说。
如今,受感染的家庭系统通常会被攻击者劫持,供他们自己使用。Murray解释说,对于小型企业,目标是窃取银行证书,而对于大型企业,目标通常是工业间谍。
虽然反恶意软件供应商已经采取了多管齐下的策略,攻击者也一样——例如,编写恶意软件时,不会动,直到它发现它不在用来欺骗恶意软件暴露自己的那种虚拟机中。
与此同时,攻击者已经形成了他们自己的经济,形成了劳动分工。“有些人擅长制造恶意软件,有些人擅长感染系统,还有一些人擅长从感染中赚钱,比如通过发送垃圾邮件、发起分布式拒绝服务攻击或窃取数据,”Zeltser说。
“你可以购买完成账户接管所需的软件,然后雇佣骡子把钱兑换成现金,”默里补充道。
新的战场包括XP和Android
但是,尽管许多专家预计会看到攻击和防御的持续循环,他们也预测了未来更多的危险:Windows XP可能会因为支持情况而无法使用,而Android智能手机环境可能会成为下一个恶意软件的乐园。
对于微软来说,Windows Vista不再接受主流的支持,但是微软已经宣布,公司将继续为该操作系统发布安全更新,直到2017年4月中旬。
2001年发布的Windows XP至今仍在广泛使用,但微软将在2014年4月之后停止发布安全更新。届时,微软将继续发布Windows 7和Windows 8的安全更新,Rains预测,在每个更新发布后,恶意软件编者将对其进行反向工程,以识别其所定位的漏洞。
“然后他们将测试XP,看看是否存在漏洞,如果存在,他们将编写利用代码来利用它,”Rains说。由于XP永远不会有更新,恶意软件的作者将处于一个零天永远的场景。如果他们可以在这些系统上运行他们选择的远程代码,那么反病毒保护将很难有效。情况会越来越糟,最终你将无法信任XP的操作系统。”
Schouwenberg同意“人们不应该运行XP”。“当它被写出来的时候,恶意软件的问题和今天非常不同。它没有缓解战略,非常脆弱。”
与此同时,Android在智能手机上的表现也非常抢手——销量超过了其他手机苹果Gartner的数据显示,苹果(apple inc .)在今年第三季度推出了iOS手机巨大的目标饼干。
专家们认为,Android的发展和Windows市场的早期历史有许多相似之处,硬件供应商为自己的产品采用第三方操作系统,没有任何一方能够确保安全。在Android市场上,电信运营商的额外介入是一个复杂的因素。
平均每天解决60家公司的攻击基准
恶意的内部人员包括雇员、临时雇员、承包商,可能还有商业伙伴。
恶意内部人士- 65.5
恶意代码- 49.8
基于web的攻击——45.1
拒绝服务——19.9
网络钓鱼/社会工程- 14.3
被盗设备——10.2美元
恶意软件- 6.7
病毒,蠕虫,木马- 3
僵尸网络- 2
资料来源:波耐蒙研究所/惠普企业安全“2013年网络犯罪成本”研究。
“这与苹果的情况不同,后者可以向每一个用户推送安全更新iPhoneSchouwenberg说。“对于安卓系统,制造商必须实施补丁,然后在部署补丁之前通过运营商的认证。假设你的手机还在进行安全更新,那么你可能需要几个月才能进行安全更新。对于笔记本电脑来说,这是不可接受的。”
“Android所处的位置和Windows几年前一样;没有足够的保护,”为计算机安全专业人士提供认证的SANS Technology Institute研究主管约翰内斯•乌尔里希(Johannes Ullrich)补充道。
有希望吗?
回到生态隐喻,有时小行星的撞击会导致物种灭绝。而且,确实,来源可以指出在恶意软件生物圈的短暂历史中发生的灭绝事件。