20分钟可以做什么?如果是在尖峰时间,你可能没办法突破车阵,顺利离开市区上高速公路;如果你想利用瑜珈健身,20分钟可能太短;如果你想打篮球,20分钟仅能打上半场。但是 20 分钟,对一个恶意程序来说却足够让计算机无法正常运作。一份新研究报告发现,一台有漏洞的计算机,最快在 20分钟内被恶意程序攻陷,比去年的40分钟,存活时间仅剩一半。
计算机「存活期」减少
与上述报告相呼应的是,Blast所保持的26天最短漏洞攻击周期纪录,于今年3月被Witty打破,根据网络资料分析合作协会(CAIDA)指出,2004年3月Witty蠕虫在相关安全漏洞发布后,第二天(不到48小时)便开始在网络上蔓延。这代表着有两种人是漏洞攻击高危险群:
1. 遇漏洞从不修补,系统暗藏千疮百孔的计算机,可能在连上网络 2 0分钟内被已知的蠕虫攻击
2. 企业若无法在新漏洞修正程序公布后48小时内"全面"安装修正程序,即使只有一台计算机没有安装,也可能形成感染源,导致网域内计算机遭新蠕虫攻击。
「48小时实在是一项考验,因为所有的 Patch 在安装之前,都得经过测试,以免导致当机等不正常系统运作」一位网管员说:「况且绝大部分的终端用户,不会自动更新修正程序。」
10分钟拖垮全球网络
根据ICSA 国际计算机安全协会今年4月所公布的调查报告指出,新型病毒扩散的时间正迅速缩短,传统档案型病毒需要数个月甚至数年才能散播开来;宏病毒则需要数星期到数个月;大量散播的邮件病毒则只需几天;2001年采取漏洞攻击的网络型病毒则进化到以小时为计算单位,去年开始已进化到以"分"为计算单位。2001年首创漏洞攻击的Code Red病毒只花了大约12个小时,2002年Klez病毒只花了2.5个小时就横扫全球,而2003年Slammer病毒影响全球仅仅花了10分钟左右!虽然目前没有正式公布的统计资料指出,在今年激活全球重大病毒警戒的 MyDoom 和Sasser 病毒,是在多少时间内荼毒联机用户的,但留给网管员的时间确定是愈来愈压缩了。趋势科技 TrendLabs 语重心长地表示:「亡羊补牢的安全策略已经缓不济急,在零时差的攻击来临前,我们应该做好未雨绸缪的主动式防护。」
零时差攻击前的自我检查
以下 8 个自我检视题目,可以帮助网管员早日发现自己的网络是否惊得起考验:
网络病毒是否纠缠不清?
1.无法在网络病毒攻击前取得警告讯息
2.没有精准的方法预防病毒爆发
3.无法提前在网络层扫描封包内是否有病毒,非得等到病毒兵临城下才在应用层加以扫描
漏洞是否让网络边界失守?
4.找不到哪一台机器是感染源,更别提远程清除受感染的机器了
5.修正程序的安装赶不上随漏洞而来的病毒速度
6.无法判定网络脆弱环节
7.无法在网络攻击第一时间内,将易受攻击的装置加以隔离
8.在网络病毒爆发前,由于时间因素或是对修正程序无法100%信任,而没有将修正程序安装在所有机器