2003年1月25日,当Slammer蠕虫病毒刚刚发作的时候,几乎还没有人知道是怎么回事。其实在此之前互联网上已有消息传出,描述了这一被命名为Slammer的针对W32/SQL的新蠕虫病毒,并预计其带来的后果可与一次大规模的分布式拒绝服务攻击相“媲美”。这次病毒事件最后造成全球15~20万台服务器被感染。
近年来频繁发生的大规模病毒感染事件表明,网络攻击不仅速度越来越快,其数量也是不断增多。据Carnegie Mellon CERT协调中心的数据,全球IT安全事件发生的数量在2001年是52658起,到2002年就增加到了82094起。而在2003年,仅在第一季度就已经发生了42586起!
如果按照这一趋势发展下去,将来的安全威胁必将更加快速和频繁。应对这些威胁的安全保护措施也需要更高的速度和精确度。对此,目前一种名为早期报警系统的新解决方案正浮出水面。这一系统在安全威胁真正对用户信息系统的正常运行产生影响之前就能做好准备。
事前保护
当攻击在全球范围内发生时,早期报警系统对其进行监测,然后将已迫近的威胁通知相应机构,并提供应对措施,以防止攻击真正影响到机构的正常运行。早期报警系统对企业和组织带来的益处是明显的。它使企业和组织能够按照优先级别排列其安全资源,以满足其最关键的需求,降低未来灾难事件发生的可能性,减少攻击造成的损失,去除灾难恢复成本,在近期和远期保护关键业务资产。
早期报警系统也可在企业内部的防火墙和入侵检测系统之外提供辅助性保护。防火墙对企业网络上的各种活动进行过滤,入侵检测系统则负责监测企业网络上的各种活动。这两个工具都能生成非常有价值的、各个网络所特有的活动日志。早期报警系统收集的是与它们相同的信息,但却是从位于全球范围内的成千上万个防火墙和入侵检测系统中收集来的、精确的、全球性的数据,因而能够提供广泛得多、客观得多、也完整得多的关于风险和脆弱性的信息。
我们可以通过分析最近的一次大规模病毒爆发事件来说明早期报警系统的价值:2003年7月16日,Microsoft公司宣布其 Windows远程程序调用协议DCOM存在脆弱性,早期报警系统提供的最初警报向Windows 2000/XP/Server等操作系统的广大用户通知了这一新的脆弱性,以及由Microsoft提供的相关补丁。然后系统又继续监测全球的攻击性行为,并随着行为升级继续发布相应警报。随着8月11日Worm Blaster蠕虫病毒的爆发,许多用户系统的脆弱性最终到达高峰。从安全漏洞报告到蠕虫发作的期间内,利用这一漏洞的各种新工具不断被开发和公布,威胁每天都在增加,个人攻击行为数量也在不断上升。而早期报警系统提供的报告和监测功能,在其中起到了重要作用,因为许多得到这一警报的Windows用户由于及时安装了补丁程序而幸免于难。
技术与专家的合作
自动报警是早期报警系统的主要组成部分。来自全球的各个系统不断生成各种数据,早期报警系统对这些数据进行自动收集、建立相互关联和进行统计分析,并从中鉴别出异常。除了从全球的视点研究这些数据,系统还能重点考察针对某一目标区域或行业的事件,收集相关信息。有了这些信息,就能帮助目标区域或行业更好地准备和防范可能的攻击,同时降低现有的威胁。
一旦早期报警系统自动生成了一个安全报警,安全专家就可以开始对威胁进行分析。由于经过长期积累,对分布广泛的安全问题拥有了许多相关资料,安全专家的这种分析不但能提供详尽的关于这一威胁的报告,同时也能对用户如何采取措施保护信息系统提供有益的建议。分析的结果可以通过电子邮件、电话、传真或SMS文本消息的形式通知相关组织和机构,以保证及时采取行动。
抢先于威胁
早期报警系统能够使诸如Slammer之类的传播迅速的病毒所带来的风险降至最低。如果有了早期报警系统,当蠕虫病毒开始发作后,早期报警系统感应器立即启动。对感应器生成的数据进行自动分析的结果,将该威胁确定为全球性的,同时迅速通知客户,并建议客户关闭目标端口上的业务。通过进一步的分析,得知该威胁是一个蠕虫,其所针对的脆弱性也得以确定,从而发出相应警报;同时经调查证实针对这一安全威胁的补丁程序业已存在,随后便发出通报。
未来的蠕虫病毒和其他恶意代码很可能也具备与Slammer类似的特征,并且速度更快、强度更大。为了使用户能够始终抢先于威胁一步,必须将早期报警系统纳入安全策略,使之成为有效安全策略的重要组成部分。
推荐访问: 报警 防范 病毒
