McAfee 安全观点

专家观点：防护才是解决之道

病毒威胁的势头刚刚有所缓解，网络钓鱼诈骗和木马所带来的危险却在与日俱增。 McAfee 安全内容经理 Monty Ijzerman 是安全研究小组的骨干，负责识别和评估服务器威胁。 Ijzerman 致力于研究威胁的演变过程以及企业可以通过防护措施来有效抵御混合威胁的方式。

安全要点：网络和主机面临的攻击和漏洞（例如蠕虫、木马及病毒）的未来发展趋势如何？

Monty Ijzerman：病毒的发展势头有所减缓，而通过恶意软件实施的网络钓鱼诈骗和木马威胁却大有后来居上之势。 据反网络钓鱼诈骗组织统计，网络钓鱼诈骗网站从 2004 年 7 月到 12 月间增加了 24%，据报道，到 2004 年 12 月已经有 1,700 多家在营的网络钓鱼诈骗网站。

过去一年，能够利用多种漏洞实施攻击的混合威胁开始猖獗。 过去，恶意软件可能只能通过电子邮件发送，并在用户打开附件时发起攻击。 但现在，恶意软件可以通过多种漏洞进行攻击。 如果计算机上的漏洞 A 已被修补，则恶意软件可能会尝试利用漏洞 B 和 C 进行攻击。

举例来说，最初的攻击目标可能是企业电子邮件服务器，但一旦服务器受到攻击，其他相关设施也将在劫难逃。 攻击者在成功进入外围后，会先安装 bot（可远程控制的工具），然后开始对各种计算机展开攻击。 攻击者可能从电子邮件服务器进入桌面机，然后再返回到 Web 服务器。 这就需要企业的防护系统能够应对混合攻击。

安全要点：2005 年是否会出现另一种主要的零时间攻击？

Ijzerman：在过去的三、四年中，每年都会出现一种利用某个漏洞实施攻击的蠕虫病毒在全球肆虐。 今年我们仍不可能避免这一定律，全球范围内将至少出现一种新型攻击。

蠕虫病毒出现后，Microsoft 找到了潜在的漏洞，并发布了补丁程序。 但是，如果您不安装这些补丁，那蠕虫病毒将会非常容易传播。

安全要点：目前，情况是否有所好转？

Ijzerman：2004 年下半年，客户们已经能够很好地保护自己免受病毒侵扰。通过实现内部流程与 Microsoft 补丁发布日的同步，IT 企业在应用 Microsoft 补丁程序方面取得了长足进步。

不断演变的威胁

安全要点：安全威胁是否已今非昔比？ 目前最常见的攻击类型有哪些？

Ijzerman：主要有间谍软件、广告软件和网络钓鱼诈骗攻击。 要抵御网络钓鱼诈骗攻击，首先需要让用户意识到潜在恶意程序的危险性，同时要具备强大的工具来阻止这些威胁。 有些诈骗手段十分高超， 即使有安全防患意识的用户也有可能意外下载恶意软件，或被诈骗程序所蒙蔽。

攻击的类型也在日益改变。 目前，绝大多数的攻击集中在媒体文件（如
WAV 文件）或图像文件（如 GIF 文件）上。 近来出现一种情况，如果您下载 Windows Media Player 中的“曲目列表”，则可能会受到攻击。 不过您大可放心，因为 McAfee® VirusScan® 8.0i
可以保护您的桌面机免受隐藏于图像文件或媒体文件中的恶意软件的侵扰。

图像文件或媒体文件中的攻击会试图过量占用内存中的缓冲区。 如果缓冲区溢出，数据将写入内存中的其他位置，这时，如果攻击者采用适当的方法，就会让恶意代码运行。 McAfee Entercept® 不仅可以保护主机系统和服务器，使其在缓冲区溢出后不会执行恶意攻击程序，还可以发现这些攻击，即使是零时间攻击。

安全要点：谁是编写攻击程序或发起这类攻击的幕后黑手？ 蠕虫病毒编写者是否与广告软件和间谍软件的编写者同属一人？

Ijzerman：目前，只有 Sasser 和 Blaster 蠕虫病毒编写者落网， 大部分病毒的编写者仍然逍遥法外。 有组织的网络犯罪更是无据可查。 间谍软件和广告软件的编写者更多是出于经济方面的动机。

不论您是否需要，他们都会利用间谍软件和广告软件在您的桌面系统上安装软件。 这就是潜在的恶意软件。 有时，您的面前会突然蹦出一个弹出框，询问“是否要安装此软件？” 如果您无意间点击了“确定”，此软件就将安装到您的系统中。 这并不违法。

而另有一些间谍软件公司和广告软件公司会在您毫不知情的情况下安装这类软件。 它们巧妙地结合 Microsoft Internet Explorer 中的漏洞将软件转到您的计算机中。 如果未获得您的同意，则该软件为间谍软件。 弹出广告这类间谍软件是无害的，但如果它试图盗取信用卡号码，则就需要加以提防。

这种情况下安装 McAfee AntiSpyware 等反间谍软件来保护自己的系统就显得尤为重要。 McAfee AntiSpyware 能够检测并清除恶意盗取用户身份资料的应用程序，例如键盘操作记录程序、远程控制程序和浏览器劫持程序。 它还可以拦截令人厌烦的弹出窗口以及消耗系统资源的广告软件程序。

外围网络漏洞

安全要点：多层防护是否可以抵御这些攻击？ 随着企业网络外围的概念失去意义，我们应怎样在信息资产保护方面做出应对呢？

Ijzerman：十年前的企业网络外围现已不复存在。 人们在家中或在机场自助服务终端接入笔记本电脑，然后将电脑带回公司，这无形中已经破坏了整条防线。 从另一个角度讲，多层防护系统将逐渐取代单纯的防护墙和反病毒解决方案。

关键点在于通过拦截攻击来实施防护。 网络入侵防护系统（如 McAfee IntruShield®）或主机入侵防护系统（如 McAfee Entercept）可以帮助您实现这个梦想。 IntruShield 能够在网络中拦截恶意流量。 如果攻击进入网络并试图恶意操作服务器，或者攻击发生在本机，不用担心，Entercept 会将它们“斩尽杀绝”。

企业 IT 部门应实时扫描系统，及时发现漏洞。 而 IT 管理人员则应熟知网络及服务器和桌面机运行的应用程序， 并确保各系统均已安装了补丁程序。 如果这些问题都还没有解决，McAfee Foundstone 解决方案将是一个不错的选择。 使用 Foundstone，IT 管理人员可以有效地评估和保护宝贵的企业资产，同时集中有限资源保护重要资产。

企业应严格实施计算机使用策略。 确保员工安全无忧地浏览 Internet。 使用了 McAfee 产品之后，如果有人登录可疑的网站，公司策略将立即实施拦截。同时，任何人都不得在公司计算机上安装软件。

此外，企业还需要设立事件响应程序，以便在出现问题时可以采取安全高效的方式遏制并解决问题。

安全要点：企业可以采用何种解决方案来保护他们的网络和系统？

Ijzerman：最佳策略是采用多层防护，在攻击发生时对其进行拦截。 选择合适的安全提供商 — 能够提供全面的安全解决方案，从反病毒软件和反间谍软件到网络入侵防护系统和主机入侵防护系统。 在拥有多家供应商的产品的情况下，要确保防护效果是非常困难的。

相关资源

请参阅加密威胁演示。