互联网安全近况与微软安全策略

admin

摘要　因恶意软件的不断发展，互联网在为企业和计算机用户带来诸多好处的同时，也增加了安全方面的威胁。在介绍互联网安全现状的基础上，分析了自Windows XP SP2以来，互联网的安全性所发生的变化，阐述了微软安全策略的进展，以及微软应对网络安全挑战所作的努力。
一、可信赖计算需求
　　20世纪90年代以来Internet的迅速发展以及过去三十年中网络技术的重大进步为全世界的企业和计算机用户带来了许多好处。现在，通过位于不同端点的有线或无线连接，人们不仅可以拉近地域距离，在全球范围内近乎实时地启用在线通信和协作，还可以有效存储、搜索和检索海量数字化信息。网上银行、电子账单支付、拍卖、购物以及常见的电子邮件与即时消息也只是其中的几个应用示例而已。对用户而言，现在不仅可以利用PC，还可以通过个人数字助理（PDA）和移动电话设备来无缝处理这些交易。
　　在信息技术和全球连接不断进步的今天，我们发现，恶意软件也在不断发展。例如Nimda与Code Red病毒，它们可使Internet的访问速度大规模急剧下滑（据某些新闻报告称，在短短的9小时之内，即有超过25万个系统遭遇速度降级，最高降幅达40%），并可导致许多在线业务遭受拒绝服务攻击（DoS），使企业蒙受巨大的经济损失（经一些研究机构估计，这方面的损失超过30亿美元），这一切都清楚地说明，我们已进入了一个网络安全至关重要的新时代。在这个时代，身份可以被盗取和滥用；不安全的系统会成为网络犯罪者的帮凶；恶意黑客可以对企业造成前所未有的严重破坏，使企业的计算生产力直线下降，令用户的计算体验严重受挫，愉悦感大打折扣。这种恶意软件不仅利用计算机系统和软件的弱点，还利用人类在社交方面的弱点。随着时间的流逝，除了造成短期的经济损失和用户不便外，它们还不断打击企业和用户对技术的信心和信任。
　　为了应对网络安全的挑战，微软于2002年1月在公司范围内启动了一项可信赖计算（TwC）策略，以确保实现预期的（同时也是必需的）安全、可靠的计算体验。
　　微软可信赖计算的目标是交付人们对计算行业预期的信任和责任级别：“安全性”、“隐私性”、“可靠性”和负责任的“业务惯例”。
　　●安全性是指确保信息和系统的安全，使其免受攻击。
　　●隐私性是指在确保身份及个人企业信息安全的同时，仍可为用户提供如何使用其数据的控制。
　　●可靠性是指软件可以有所依赖，即可以按预期的方式正常工作。
　　●业务惯例用于履行微软在业务工作中维持最高标准的目标，同时兼顾了社会道德、法律和商业期望等因素。
　　要令可信赖计算取得成功，并非易事。需花费数载时间，这一技术方能赢得人们的信任。
二、微软安全战略的进展
　　在过去几年中，微软对Windows平台进行了极大的改进。
　　●自推出以来，Windows Server 2003 SP1已拥有超过470万次成功下载。这一独特的服务软件包为客户提供了极大的安全性能的增强及可靠性和性能的改进。
　　●已分发了超过2.6亿份Windows XP SP2的拷贝，Windows Update现正为超过1.12亿台XP/SP2计算机提供服务。
　　●Windows Defender反间谍软件已拥有2500多万个用户，由世界级的SpyNet社区网络提供支持，该网络可以更快地升级和响应新发现的间谍软件和潜在的有害软件。
　　●自2005年发布以来，恶意软件删除工具（MSRT）平均每月执行2亿次，累计执行总次数超过20亿次。
三、自Windows XP SP2以来，Internet安全性所发生的变化
　　在过去的两年中，微软通过MSRT、Windows Defender和Live.com上的Windows LiveTM OneCareTM观察了当前恶意软件的发展趋势。在2007年5月版的微软安全智能报告中，发现2006年下半年Trojan downloader和dropper呈上升趋势。Win32/Stration是一个特别活跃的新型系列，属于Trojan downloader和邮件群发的一种，于2006年9月首次爆发。同一期间，Trojan downloader的Win32/Zlob系列成为Windows LiveTM OneCareTM检测到的最多的恶意软件系列，位居MSRT清单的第7位。
　　MSRT在未安装服务软件包（SP）的Microsoft Windows XP计算机上发现恶意软件的概率比在Windows XP SP2上发现恶意软件的概率高出7.5倍。此外，计算机上Windows服务包的级别越高，MSRT发现恶意软件的概率就越低。换言之，与运行旧版Windows的计算机相比，运行Windows XP SP2的计算机更加安全，更能抵御恶意软件的攻击。
　　Windows Defender的检测能力在不断提高。就数量而言，检测到的最大的一类恶意软件是广告软件，在2006年上半年的3 800万次检测中，有1 670万次检测到广告软件，占总数的59.6%。在检测中排名前25位的恶意软件占据了恶意软件总量的56%。由此可以看出，为数不多的几种恶意软件是有害软件广为传播的罪魁祸首。
　　在检测中还发现，增长速度最快的一类恶意软件是对个人隐私和安全性造成最大影响的恶意软件。例如，从2006年上半年到下半年，检测到的远程控制和监视软件分别增长了277%和135%。
　　除此之外，社交工程威胁在范围和数量上也呈不断上升趋势。这些威胁的形式从利用用户无知的欺骗发展到高度复杂的恶意软件交付技术，而后者正是利用了通过Web 2.0技术所建立和维持的信任关系。
　　从这些发现中可以清楚地看到，现在的犯罪者更侧重于高层攻击，他们主要利用应用程序的安全操作不足和人类的社交弱点。操作系统级别的攻击仍处于较低的水平，且大部分的攻击目标都是已修补的漏洞。因此，及时部署安全更新仍是解决这些问题的重要措施。
　　除MSRT和相关防恶意软件工具的发现外，Microsoft Research还在2005年开发了在线攻击代码检测系统，即Strider HoneyMonkey，该系统可对犯罪者的漏洞攻击系统（包括攻击代码配置、颁发和更新）提供更进一步的监查。Strider HoneyMonkey系统包括一个Web爬网程序和一系列的Windows XP虚拟机，这些虚拟机的操作系统都打上了不同级别的修补程序和服务包更新，每个虚拟机作为一个密罐（Honeypot），用来吸引恶意网站的攻击。通过对16 000多个可疑URL进行初始扫描，并对从虚拟机攻击中所收集的数据进行分析，发现最新更新的那些计算机最不容易受到攻击，即便在恶意网站上冲浪也是如此。因此，更新是抵制在线攻击的最重要、最有效的措施。此外，恶意软件阵营中还有两类迥然不同的提供程序：内容提供程序和攻击提供程序。内容提供程序的特点是吸引Web用户访问其站点，然后将用户复位到攻击提供程序，扫描用户系统的漏洞，执行基于攻击脚本的特定攻击，以控制用户系统，使之成为“僵尸网络”的一部分。还有，内容提供程序和攻击提供程序总是狼狈为奸，常用最新推出的攻击代码更新其网站，其速度往往比用户部署安全更新的速度更快。
四、应对网络安全的挑战
　　Strider HoneyMonkey系统和各种不同Windows安全工具的发现显示，要解决不断升级的网络安全挑战，我们需要继续多方位地提升安全战略及战术。在组织内部，应以人员、系统和责任为中心，制定和实施综合安全策略，以满足企业针对安全风险的防护、执行和响应需求。
　　1.人员——发掘能力
　　在过去，针对人员的安全性增强主要是提高其安全风险意识，有针对性的安全培训只为专业的安全人员提供。但在帮助客户解决从Nimda到Sasser的安全问题，以及与法律机关合作，协助调查各类计算机犯罪事件的过程中，我们发现，许多的企业、IT专家和用户仍未做好准备，尚不具备有效处理当前安全挑战的能力。除了工具可用性因素以外，造成这一现象的主要原因还有安全流程的不充分以及安全知识和操作的不足。只有在人门能够满足基本的安全需求，并将安全操作融入其日常工作时，安全措施才最有效。
　　因此，微软在2003年10月启动了一项世界范围的安全动员计划，以帮助企业、IT专家和用户缩小这种差距。该计划旨在构建更多的安全指南、交付更多安全培训和方案、吸引安全合作伙伴社区，以及改进和增强主动安全通信，并为我们的工作人员、合作伙伴和客户做好准备，以更加可靠、有效的方式响应安全事件。
　　2.系统——风险缓解与措施执行
　　在系统级别，需要加快风险缓解工作。微软在Strider HoneyMonkey项目中发现，网络犯罪者习惯将系统（包括平台操作系统、数据库和商业应用程序）中存在的漏洞作为第一攻击目标。因此，更新IT系统安全的方法是在应对不断发展的安全挑战中取得成功的关键因素。
　　微软的基本原则是，先从降低不可接受的严重风险入手，为此微软实施了三位一体的缓解办法：评估、改进已感染恶意代码的软件的隔离性和弹性，以及在环境中开发和实施控制来管理风险。
　　作为这种方式的补充，微软还基于支持自动化和关键业务方案的新型安全技术进行投资并开发新功能，以提升企业价值，这在以前是绝对不可能的。这种方法允许以一种全新的方式连接客户、与合作伙伴相集成和提高员工能力。
　　3.响应——为下一事件做好准备
　　虽然微软能够解决企业IT环境中的已知风险，但俗话说“没有绝对的安全”，而风险管理的原则也是永远会有新的安全问题不断涌现。出现这些问题的可能原因是IT环境的复杂性、应用程序和系统软件中的bug，或单纯的人为错误或疏忽。我们无法预测和预见到所有这些问题。但是，从其他事故和突发事件（包括自然灾害）中得到的经验教会我们充足的准备工作会为此类事件带来不同的结果。通过持之以恒的准备、操作、演练和测试，我们将能够有效地响应下一安全事件。
　　了解这些要求之后，微软建立了一些可供企业用来改进其内部安全备战状态的资源。其中包括：微软安全响应中心（MSRC：Microsoft Security Response Center）、MSRC日志、MSRC安全建议和MSRC安全公告。除利用MSRC信息服务外，企业安全经理还应涉猎其他的可用安全信息来源，如来自地方计算机紧急事件响应中心（CERT）组织的信息，以获得企业运作方面的最新安全状况观察。