安全产业面临着无法阻止的攻击

测试发现大多数AV仍然不能阻止极光漏洞

IDG新闻服务 |

上周在旧金山举行的RSA大会上,安全厂商推销了他们的下一代安全产品,承诺保护客户免受云计算和移动设备的安全威胁。但是,很多人都没有说到的是,这个行业未能保护付费客户免受当今一些最有害的威胁。

这次展会上的重大新闻与maiposa僵尸网络的被摧毁有关——这是一个由被黑客攻击的电脑组成的庞大网络,已经受到感染一半的财富100强公司.所谓的高级持续威胁(APT)攻击是另一个热门话题,比如12月初袭击谷歌系统的那次攻击。

然而,Mariposa和谷歌攻击都说明了同样的事情。尽管在安全方面投入了数十亿美元,但要保证企业网络的安全仍然非常困难。

这是因为,为了让这些高级攻击发挥作用,坏人只需要找到一个漏洞,就可以将他们的恶意软件潜入目标网络。一旦他们找到了立足点,他们就能侵入其他电脑,窃取数据,然后转移到海外。好人必须做到尽善尽美——或者至少能很快发现入侵——以阻止APT的威胁。

调查APT攻击的公司之一Isec Partners的合伙人亚历克斯·斯塔莫斯(Alex Stamos)说,传统的安全产品对防范APT攻击没有多大帮助。“我们合作过的所有受害者都安装了完美的防病毒软件,”他说。“它们都有入侵检测系统,有几个有网络代理扫描内容。”

问题是,坏人也可以购买这种技术,并反复测试他们的攻击,直到他们逃脱。Stamos说:“在恶意软件发布之前,任何人都可以下载并尝试每一个防病毒引擎。”

为了强调这一点,反病毒测试公司NSS实验室在已知的ie 6攻击上创建了一个变体,谷歌事件中使用的测试了七种流行的杀毒产品.NSS还针对相同的防病毒产品测试了原始攻击代码。在漏洞被公开两周后进行的测试发现,只有McAfee的杀毒产品能阻止这种新的变种攻击。

据NSS称,AVG公司甚至没有阻止最初的攻击。Eset、卡巴斯基、赛门铁克、Sophos、AVG和趋势科技都未能阻止“极光”漏洞的变种。

但AVG回应说,它的产品检测到了极光攻击。一位发言人表示,这一结果是由于NSS的测试方法存在缺陷。然而,该公司对其产品未能检测到“极光”变种的说法没有异议。

防病毒公司“肯定会做得更好,”NSS主席里克·莫伊说。“他们应该实施更多基于漏洞的检测。对恶意软件有效载荷的关注有点太多了。”

行业研究公司451集团(451 Group)的分析师保罗·罗伯茨(Paul Roberts)说得更强烈:“企业对他们从终端反软件套件获得的保护水平非常不满。”虽然反病毒公司正在试验基于不同因素的分析来阻止程序的方法,例如文件的行为,它的年龄,来源和它的使用范围,这些功能经常被关闭,因为它们最终阻止了合法程序,罗伯茨说。

许多安全专家现在认为,补丁、最新的杀毒软件和入侵检测系统不足以保护公司免受当今最严重的网络威胁。

Isec的Stamos表示:“安全行业将不得不考虑销售能够真正适应这种环境的解决方案。”“在过去16年里,人们购买的任何东西都无法帮助他们阻止一个使用Windows外壳代码的人坐在电脑前,花几个月时间侵入那台电脑。”Shellcode是黑客入侵系统后用来安装后续程序的初始有效载荷程序。

但是,密歇根大急流城“优先健康”公司的信息安全经理保罗·梅尔森说,并不是所有的公司都接受了这一信息。“许多公司要么将其安全团队转变为合规团队,要么仍在打六、七年前的老仗。”

反病毒厂商声称,他们的产品仍然是有目的的,事实上,企业界没有人会把它们关掉。

McAfee的安全研究主管Dave Marcus说,杀毒软件可以阻止McAfee每天跟踪的“绝大多数”攻击。杀毒软件供应商正在开发新的系统——白名单产品和基于云的安全产品,如McAfee的Artemis——以跟上快速变化的威胁。但最终,企业还必须开发应对新威胁和入侵的方法。他说:“当你有了一个坚定的攻击者,他可以剖析他们的受害者,他们成功的几率很高。”

高级攻击,比如APT,最能吓到Jason Stead。斯蒂德是位于凤凰城的精品酒店信息安全经理。在过去的几年里,由于黑客侵入了许多不同酒店的销售点系统,他的行业受到了针对性的攻击。他们往往通过发现一个漏洞,对一家又一家的酒店进行攻击而成功。在酒店行业,特许经营商的一次数据泄露可能会对公司的品牌造成严重损害。

这意味着,公司品牌的完整性可以依赖于那些根本没有资源来阻止坚决的攻击者的人。“你的特许经营商是传统的夫妻店,”斯特德说。“他们没有技术经验来保护自己。”

技术供应商想要销售一个完整的产品,但是真的不可能通过花钱进入一个安全的环境。这需要更大的承诺。“这完全是关于用户意识和程序,”Stead说。这意味着要教导员工关于危险的网络行为;建立一个安全团队,最大限度地利用现有的安全工具。

根据优先健康组织的Melson的说法,这个问题已经超出了安全公司的范围。“如果你要让安全行业负责,你也必须让操作系统和客户端软件供应商至少承担同样的责任,”他说。“有些平台仍然可以让用户制作出不属于设计、不为最终用户所知的软件。”

“我认为,最终你从奥罗拉事件中得到的教训是,你必须有应急人员,”Melson说。“如果你没有为事件响应和事件控制做好准备,如果你没有使用实际人员在你的环境中进行安全分析,先进的持续威胁就会直接通过。”

加入网络世界社区有个足球雷竞技app脸谱网LinkedIn对自己最关心的话题发表评论。
相关:

版权所有©2010 IDG ComRaybet2munications, Inc.

SD-WAN买家指南:向供应商(和您自己)提出的关键问题