McAfee 安全觀點

專家見解：預防更勝於治療

由病毒產生的威脅有遞減的趨勢，但網路釣魚與木馬程式的危機則日益增加。 McAfee 的安全內容經理 Monty Ijzerman 是安全研究團隊的成員之一，負責辨識與評估伺服器的威脅。 Ijzerman 將他的才能貢獻在威脅進化，以及企業如何有效透過防禦來避免混合式攻擊的領域。

安全焦點：哪些是最普遍的網路、主機攻擊與漏洞攻擊，蠕蟲、木馬程式或病毒？

Monty Ijzerman：病毒已經不再盛行，但網路釣魚與木馬程式的普遍性則日益增加。 根據 Anti-Phishing Working Group 的說法，從 2004 年七月到十二月，網路釣魚網站成長了 24%，在 2004 年十二月的時候，並告發且繼續從事詐騙行為的網路釣魚網站已經超過 1,700 個。

在過去一年當中，使用一種以上詐騙技巧的混合式威脅有日益增加的趨勢。 在過去，惡意軟體可能透過電子郵件傳送，並在使用者開啟附加檔案時啟動。 現在，惡意軟體會利用一個以上的弱點。 如果您的機器有能力對抗弱點 A，則惡意軟體會嘗試弱點 B 與 C。

例如，初始的目標可能是企業的電子郵件伺服器，一旦破解之後，攻擊就會持續下去。 攻擊者會先找出抵達周邊的出路，一旦到了那裡，會繼續安裝傀儡程式 Bot (可遠端遙控的工具)，並開始攻擊不同類型的機器。 所以，攻擊者可能會先從電子郵件伺服器下手，然後是桌上型電腦，再回頭攻擊網頁伺服器。 對企業的影響是，您的保護機制需要能處理混合式的攻擊。

安全焦點：在 2005 年中，您是否預期會出現另一種主要的零時差攻擊？

Ijzerman：在過去的三或四年當中，每年都有一隻利用單一弱點的蠕蟲在全球散布。 今年，我們極有可能面對至少一種的攻擊。

當這些蠕蟲出現時，Microsoft 就會知道弱點所在，並提供必要的修正程式。 不過，如果您沒有套用這些修正程式，則這些蠕蟲可以輕易地散佈。

安全焦點：情況有變好嗎？

Ijzerman：在 2004 年的後半年，客戶已經比較擅於保護自己，並能有效地對抗病毒。 資訊組織愈來愈擅長於套用 Microsoft 的修正程式，方式是將自己的內部流程與 Microsoft 的定期更新發布同步化。

蘊釀中的威脅

安全焦點：當今安全威脅的變遷方式為何？ 目前何種攻擊類型最為常見？

Ijzerman：間諜軟體、廣告軟體與網路釣魚攻擊是主流。 在對抗網路釣魚攻擊的時候，需要教育使用者不想要的程式的危險性，以及配備好工具預防這些威脅的重要性。 有些詐騙案件設計得非常複雜。 即使了解安全性的使用者，都有可能意外地下載不想要的程式，或被詐騙案件所愚弄。

這些攻擊的類型也不斷在改變。 現在，大多數攻擊都出現在多媒體的檔案中，像是
WAV 或類似 GIF 這樣的影像檔。 最近發生的一個問題是，如果您在 Windows Media Player 中下載一份播放清單，它可能就是某種攻擊的化身。 好消息是 McAfee® VirusScan® 8.0i
可以保護您的桌上型電腦，對抗隱藏在影像或多媒體檔案中的惡意軟體。

影像或多媒體檔案中的攻擊，會嘗試在記憶體中讓緩衝區發生溢位的現象。 如果發生這種情事，資料會被寫入記憶體中的其他地方，如果攻擊者採取的方式正確，就能執行惡意軟體的程式碼。 McAfee Entercept® 可以保護主機系統與伺服器，對抗因為緩衝區溢位造成的惡意軟體的執行現象，而且它會看到這些攻擊，即使是零時差的攻擊也不會錯過。

安全焦點：到底是誰在撰寫或散布這些攻擊？ 蠕蟲的作者與廣告軟體或間諜軟體的作者是否為同一批人？

Ijzerman：目前只逮捕 Sasser 與 Blaster 蠕蟲的作者。 大部份病毒的作者都還沒有曝光。 幾乎沒有發現有組織性的網路犯罪行為。 間諜軟體與廣告軟體的作者比較具有財務方面的動機。

透過間諜軟體與廣告軟體，他們會在您的桌上型電腦中安裝軟體，這些軟體可能是您想要的，也有可能是您不需要的。 這可能就是可能不需要的軟體。 有時候，您會看到一個彈出式的方塊，詢問您：「您想要安裝這套軟體嗎？」(Are you OK with installing this software?) 如果您誤按「確定」(OK)，則表示您同意安裝這套軟體。 這就不是非法的行為。

其他的間諜軟體與廣告軟體公司則會偷偷摸摸地安裝軟體。 有一些花招可以結合 Microsoft Internet Explorer 的弱點，將軟體移到您的機器上。 在您未表同意的狀況下，它就變成了間諜軟體。 間諜軟體可能不會造成傷害，像是彈出式的廣告；如果它嘗試取得信用卡的號碼，就會成為有害的軟體。

如果要保護您自己，應該執行類似 McAfee AntiSpyware 這種反間諜軟體的工具。 McAfee AntiSpyware 會偵測並移除鍵盤側錄程式、遠端遙控程式與瀏覽器強盜這類的惡意軟體，因為它們都可用來盜用身分。 另外，它也可以阻止會觸發惱人的彈出視窗，並耗盡系統資源的廣告軟體。

可滲透的外圍

安全焦點：多層式的防禦是否足以對抗這些攻擊？ 隨著企業網路外圍的觀念已經喪失之際，保護資訊資產的做法會產生何種變化？

Ijzerman：十年前所看到的企業網路外圍已經不復存在。 人們會從家中或機場的資訊站連接筆記型電腦，然後進入公司的網路，所以外圍的界限幾乎已經被破壞。 這意謂著多層式的防禦系統變得比防火牆與防毒產品更加重要。

透過阻斷攻擊的保護措施最為重要。 您可以使用像 McAfee IntruShield® 的網路入侵預防系統，或像 McAfee Entercept 的主機入侵預防系統達成阻斷攻擊的目標。 如果公司使用 IntruShield，則惡意的通訊內容會在網路層被攔截與阻斷。 如果某項攻擊越過網路，並嘗試對伺服器執行某些作業，或者如果某項攻擊從本機啟動，Entercept 都會阻斷這些攻擊。

企業的資訊部門應該掃描他們的系統，找出可能的弱點。 資訊主管應該了解自己的網路，以及他們的伺服器與桌上型電腦中執行哪些應用程式。 他們應該確定自己的系統都已經做過適當的修正。 McAfee Foundstone 是這方面的最佳解決方案之一。 Foundstone 可以讓資訊主管持續測量，並主動保護他們珍貴的企業資產，讓他們將有限的資源用來保護最重要的工作。

公司應該強制實施電腦的使用政策。 確認您的員工在網際網路上漫遊時是安全的。 在 McAfee，如果我進入可疑的網站，公司的政策就會阻斷我。 我也無法在企業的機器上安裝軟體。

公司也需要建立意外回應流程，讓它們可以包容問題，並以安全且有組織的方式將它移除。

安全焦點：企業可以採用何種解決方案保護他們的網路與系統？

Ijzerman：最佳的策略就是提供多層式的防禦，並在攻擊發生前就阻斷它們。 您應該選擇能提供綜合性安全解決方案的廠商，從防毒、反間諜軟體到網路與主機偵測防禦的系統。 使用不同廠商的多種產品，並要確保您受到良好的保護，真的是非常困難的事情。

資源

觀看加密式威脅示範。