【51CTO.com 專家特稿】安全方面值得關(guān)注的消息較多，云計算的安全問題仍是近期的熱點，上周Google Docs泄漏用戶敏感文件的風波剛過，云計算服務(wù)對現(xiàn)有安全標準和法律法規(guī)在遵從性方面的缺失再次被安全行業(yè)所關(guān)注。惡意軟件的威脅在近段時間進一步提升，安全廠商已經(jīng)捕獲到基于DHCP協(xié)議和專門針對ATM自動柜員機的惡意軟件樣本。在本期回顧的最后，筆者仍為朋友們精心挑選了兩個值得一讀的推薦閱讀文章。

近期（090316至090322）安全要聞回顧

本周的信息安全風險為低，軟件廠商Adobe在3月18日為旗下產(chǎn)品Adobe Acrobat和Reader的7、8、9版本分別推出了安全更新程序，主要修補此前發(fā)現(xiàn)的能夠?qū)е掠脩粝到y(tǒng)感染惡意軟件的遠程代碼執(zhí)行漏洞云計，建議用戶盡快使用Adobe Updater自動升級，或從Adobe網(wǎng)站上下載并應(yīng)用程序。

云計算安全：云計算方案的合規(guī)性遵從風險引人關(guān)注；關(guān)注指數(shù)：高

由于最近一段時間全球的經(jīng)濟狀況持續(xù)惡化，云計算作為一種廉價高效的信息存儲和處理方式，就成為許多關(guān)注于降低IT運維成本的企業(yè)的選擇。云計算方案的提供商也應(yīng)時提供了多種靈活的解決方案供用戶企業(yè)選擇，如Google和Amazon都允許用戶企業(yè)在其云計算平臺服務(wù)器上運行用戶自己的互聯(lián)網(wǎng)應(yīng)用程序，而Salesforce等其他的服務(wù)提供商則向其用戶企業(yè)提供了多個特定用途的服務(wù)。

云計算市場份額快速擴張的同時，因為其不同于傳統(tǒng)應(yīng)用系統(tǒng)的架構(gòu)和安全形式，也使得安全業(yè)界和眾多用戶對云計算的安全性產(chǎn)生了顧慮。在上期回顧中筆者曾經(jīng)和朋友們一起關(guān)注過Google Docs存在泄漏用戶文件和隱私信息的消息，Google在收到受影響用戶的反饋之后，迅速通過移除用戶文件共享權(quán)限等操作來修補該漏洞，但這個事件還是給很多用戶留下了云計算不夠安全的壞印象。

本周在波士頓舉行的SOURCE安全會議上，安全專家向公眾揭示了云計算方案在安全上的又一個潛在風險——合規(guī)性遵從（Compliance）。盡管云計算服務(wù)商都向用戶承諾其服務(wù)的可靠性，保證7×24的在線率，但如何保證用戶存放在云計算平臺上的數(shù)據(jù)的安全，仍不在大多數(shù)云計算服務(wù)商的承諾范圍之內(nèi)，用戶在絕大多數(shù)情況下，也無法通過數(shù)據(jù)加密等傳統(tǒng)手段獲得更好的數(shù)據(jù)安全性。

當然，用戶企業(yè)可以與云計算服務(wù)商簽署服務(wù)級別協(xié)議（SLA）和第三方的安全協(xié)議，通過書面的方式來進一步保證云計算的安全性，但調(diào)查顯示許多用戶企業(yè)仍對其存儲在云計算平臺上的數(shù)據(jù)安全心存顧慮。此外，對現(xiàn)有的行業(yè)安全標準及法律法規(guī)的遵從性，也是用戶在選擇云計算方案作為業(yè)務(wù)數(shù)據(jù)存儲和處理平臺時要考慮的一個潛在風險，它存在于兩個方面：首先，用戶不可能了解到所選擇的云計算方案具體的實現(xiàn)和運作形式，更不可能根據(jù)自己業(yè)務(wù)的需求對云計算進行功能和實現(xiàn)上的自定義；其次，當前使用的不少安全標準，具體規(guī)定和設(shè)置要求都不適用于云計算領(lǐng)域——如在網(wǎng)上支付領(lǐng)域廣泛使用的PCI DSS標準，就只規(guī)定了物理服務(wù)器應(yīng)該如何進行安全設(shè)置和操作。

筆者覺得，盡管使用云計算和企業(yè)的其他IT外包項目并無太大區(qū)別，但企業(yè)也應(yīng)該意識到使用云計算方案并不等于將數(shù)據(jù)安全的責任也外包到云計算服務(wù)提供商的身上。在當前云計算的運營模式?jīng)]有發(fā)生利于用戶數(shù)據(jù)安全需求的變化，以及現(xiàn)有安全標準對云計算應(yīng)用做出相應(yīng)的修改之前，建議用戶還是不要將敏感和涉及商業(yè)機密的信息存儲到云計算平臺上，免得將來遇到眾多不必要的風險。

惡意軟件：惡意軟件技術(shù)快速發(fā)展，基于DHCP和專門針對ATM的惡意軟件出現(xiàn)；關(guān)注指數(shù)：高

黑客為了在企業(yè)的內(nèi)部網(wǎng)絡(luò)中擴散他們的惡意軟件，所用的手段可以說是無所不用其極，除了慣用的遠程漏洞攻擊和弱口令掃描等傳統(tǒng)攻擊方法外，黑客也打起了企業(yè)內(nèi)部網(wǎng)絡(luò)中各種常見服務(wù)的主意。根據(jù)互聯(lián)網(wǎng)安全組織SANS近段時間的監(jiān)測結(jié)果，一個基于DHCP服務(wù)的新惡意軟件目前正在互聯(lián)網(wǎng)上快速擴散。該惡意軟件的工作原理與去年年底發(fā)現(xiàn)的Trojan.Flush.M木馬相類似，在感染企業(yè)內(nèi)部網(wǎng)絡(luò)中的一個系統(tǒng)之后，該惡意軟件會在受感染系統(tǒng)上安裝一個DHCP服務(wù)器，其后進入企業(yè)內(nèi)部網(wǎng)絡(luò)的其他系統(tǒng)都可能被該惡意的DHCP服務(wù)器所欺騙，所有互聯(lián)網(wǎng)訪問的域名解析都會轉(zhuǎn)向至黑客預(yù)先設(shè)置的惡意DNS服務(wù)器。

雖然現(xiàn)在這類基于DHCP服務(wù)的惡意軟件并不多見，但因為它比前兩年流行的ARP欺騙型惡意軟件更為隱蔽，用戶也更能發(fā)現(xiàn)、定位和消除在自己內(nèi)部網(wǎng)絡(luò)中存在的該類風險。筆者建議，用戶可通過嗅探器、IDS等網(wǎng)絡(luò)工具監(jiān)視網(wǎng)絡(luò)中DHCP服務(wù)器的活動情況，同時觀察是否存在訪問不是已知DNS服務(wù)器的情況存在，如果有就證明可能感染了上述類型的惡意軟件（當然也可能是有內(nèi)網(wǎng)用戶私自設(shè)置使用第三方的DNS服務(wù)器）。如果用戶使用了Windows域服務(wù)之類的內(nèi)網(wǎng)管理方案，防護基于DHCP或DNS服務(wù)的惡意軟件就更為簡單，只需通過防火墻禁用除內(nèi)網(wǎng)授權(quán)DNS服務(wù)器外的所有外部DNS查詢請求即可。

自動柜員機ATM是犯罪集團最常攻擊的目標之一，使用附加的卡復(fù)制器、通過網(wǎng)絡(luò)釣魚獲取用戶信息并制造偽卡，甚至使用炸藥來爆破，攻擊的手段可謂是種類繁多——反病毒廠商Sophos的新發(fā)現(xiàn)，又暴露了犯罪集團對ATM機攻擊的一種新手段：惡意軟件。本周來自Sophos的研究人員稱，犯罪集團正利用能夠在ATM機上運行的新一代惡意軟件，偷取ATM用戶所輸入的各種信息。

根據(jù)惡意軟件樣本分析的結(jié)果，這種攻擊最早在今年初出現(xiàn)在俄羅斯，黑客破解了ATM廠商Diebold在一月份為其基于Windows的產(chǎn)品發(fā)布的軟件更新補丁，并在其中插入了一個惡意軟件。在稍后的調(diào)查顯示，黑客必須通過物理接觸ATM機才能夠在ATM機上安裝上述惡意軟件，但在黑客本身是金融機構(gòu)內(nèi)部人員或得到內(nèi)部人員的協(xié)助的情況下，并不難達到這一目的。

盡管Diebold在稍后的消息發(fā)布中稱，在ATM機上安裝惡意軟件的攻擊者已被抓獲，并正在進行調(diào)查，但這種對ATM機的惡意軟件攻擊趨勢仍值得我們關(guān)注，只需熟悉ATM機的內(nèi)部軟件運作機理和銀行的業(yè)務(wù)流程，一個有編程經(jīng)驗的黑客是能夠?qū)懗隹梢栽贏TM機運行的惡意軟件，再加上有銀行內(nèi)部人員的配合，一次針對ATM機的惡意軟件攻擊就可以實施，而且這種威脅和傳統(tǒng)的ATM攻擊手法比起來，無需添加額外的設(shè)備，因此也更為隱蔽和難于消除。筆者覺得，ATM廠商和金融機構(gòu)應(yīng)該開始關(guān)注ATM機的軟件和網(wǎng)絡(luò)安全問題，并將其提升到和物理安全同等重要的地位，而目前大多數(shù)的ATM系統(tǒng)仍沒有專門針對惡意軟件或?qū)ζ滠浖膼阂庑薷牟渴鸱烙胧W(wǎng)絡(luò)邊界安全措施也有所缺失，這一點也值得安全行業(yè)所關(guān)注。

推薦閱讀：

1） DIY安全測試實驗室；推薦指數(shù)：中

許多朋友有興趣于測試安全工具、分析惡意軟件和漏洞或?qū)W習安全技能，一些企業(yè)的IT部門也常常需要對一些安全工具進行適應(yīng)性測試，因此，使用手頭上的資源DIY小安全測試實驗室是一個不錯的解決辦法。Darkreading.com文章《DIY安全測試實驗室》介紹了在這個過程中的主要注意事項，推薦有這方面興趣的朋友了解下。文章的地址如下：

http://www.darkreading.com/security/management/showArticle.jhtml?articleID=215901457&subSection=Security+administration/management

2） E-Health可能面臨的14個安全風險；推薦指數(shù)：高

醫(yī)療過程的信息化是未來發(fā)展的一個趨勢，盡管在國內(nèi)還沒有大面積的推廣醫(yī)療信息化技術(shù)和方案，但事先了解E-Health可能遇到的各種問題，可以作為醫(yī)療行業(yè)在實施信息化過程中的重要參考。歐盟網(wǎng)絡(luò)安全機構(gòu)ENISA在前段時間推出了一個調(diào)查報告《E-Health可能面臨的14個安全風險》，推薦醫(yī)療和IT行業(yè)的朋友閱讀下。

報告的地址如下：

http://www.darkreading.com/security/app-security/showArticle.jhtml?articleID=216000012&subSection=Attacks/breaches

【51CTO.COM 獨家特稿，轉(zhuǎn)載請注明出處及作者！】