编者按:被迫终止网络服务也许是在互联网时代最令企业头疼的问题之一了。而这个问题,在五一假期中,再一次让全球众多公司的网络陷入了瘫痪状态。很多公司的员工甚至被迫回到了“古代”,那个没有计算机,只用纸和笔进行作业的时代。没有计算机的好处有很多,但是这个年代不允许我们不使用计算机工作,所以每一次的病毒爆发都令很多人不知所措。因为离开计算机,很多工作搁浅了。这是病毒希望达到的效果,而且一次又一次的得逞了。彻底拒绝病毒也许已经是不可能完成的任务,除非我们回到过去……
从中度风险到高度警报只有两天
趋势科技全球防毒研发暨技术支持中心TrendLabs指出,第一个震荡波病毒出现的时间是北京时间5月1日,但随即于5月2日及5月3日出现变种病毒,可谓攻击火力强大。趋势科技5月3日发布了震荡波病毒的高度风险警报,而此前的两天,震荡波病毒的风险级别还是中度风险。2天的时间就让震荡波从中度风险提升到了红色高度警报的级别,可见其传播速度。趋势科技技术顾问齐军认为,这是到目前为止今年最具破坏性的网络蠕虫病毒,病毒传播快,变种病毒出现快是这个病毒的主要特点。微软操作系统漏洞LSASS(Local Security Authority Subsystem Service,本地安全性授权子系统服务)的445连接端口成为了此病毒对全球网络发动攻击的跳板。
这一病毒主要影响的系统为微软Windows NT、2000、XP及2003操作系统。根据先前同类病毒发作的经验,当这个病毒通过网络四处流窜时,不但会攻击其他更多的计算机,也会大量消耗网络资源,降低效能,对企业计算机用户会造成极大的影响。虽然微软公司于今年4月13日已经针对全球客户发布安全性通知,建议更新修正程序MS04-011,但由于大部分企业与个人尚未完成更新,以致于让病毒趁机肆虐。这再一次暴露出老声长谈的安全意识问题脆弱的一面。
震荡波病毒是微软修补程序发布后攻击周期最短的病毒。表1对比了几款重要病毒在微软修补程序发布后的爆发周期,震荡波只有短短的18天。不过它的威胁并不一定最大,只是全球用户受此病毒攻击造成的损失还没有统计出来。但很多业内专家的一致看法是,震荡波的危害性不会超过冲击波。表2是已经统计出的重大病毒损害表。
补丁升级慢就要受灾
防御网络病毒,需要随时自动更新的安全产品。这是震荡波病毒带给人们的启发。震荡波的攻击目标不仅锁定服务器,也瞄准个人用户,让更新补丁程序较慢的用户,成为防疫的漏洞。尤其假期过后将笔记本电脑从家中带入公司的员工,让IT管理员大为紧张。加上震荡波并非使用现行病毒最普遍采用的电子邮件扩散方法,而是只要一联网就有被感染的可能,它的瞬间扩散速度及影响层面确实令人心惊。
传统的安全解决方案为何挡不住震荡波病毒呢?传统的安全产品无法主动隔离没有给微软LSASS漏洞打补丁的计算机。传统的安全产品不能自动的为系统漏洞打补丁,只能依靠网络管理员。但是网络管理员并不知道哪一个漏洞的危险性高。在未测试补丁程序前也不敢冒然给系统打补丁,而且数量庞大的补丁程序也令网络管理员应接不暇,直到震荡波病毒爆发前,很多系统还没办法完成所有补丁程序的测试工作。传统的防毒软件也无法从服务器硬盘里查出恶性程序的踪迹。
入侵侦测“黑名单”跟不上步伐
传统的反入侵侦测系统,局限于“黑名单”比对。与防毒软件病毒码比对一样,目前大多数的入侵侦测系统,绝大多数是以数据库比对来辨识攻击行为。假设数据库无此攻击特征的数据,便很难顺利侦测。在新的攻击特征分析出来之前,网络便处于任黑客宰割的空档期,无法响应攻击威胁。但是不幸的是,震荡波等网络病毒攻击往往在最初始的阶段,便可达到攻击的颠峰。传统的防病毒方法是依照黑名单抓病毒,也就是利用病毒码,可是目前的网络病毒速度惊人且变种众多,要与病毒分秒必争取得病毒样本,多少有些应接不暇。因此能否在病毒码取得前,甚至病毒疫情爆发前做好系统的“防灾准备”,成为企业最关切的网络安全议题。
另外,网管员也对于藏匿在网络中的特洛依木马后门程序或是被修改的系统登录值,感到力不从心。因为传统的扫毒程序在面对特洛伊木马病毒时,往往只扫描被病毒感染的文件并加以删除,但是对于已经常驻在系统内存中的特洛伊木马病毒或被改变的系统文件如登录值等却未能彻底清除。因此他们期待在病毒爆发后,可以监控病毒在网络的活动情形,并且彻底根除病毒留下的后门程序。
反病毒要实时化、主动化、系统化
趋势科技在打破传统防病毒方案方面依靠的是其企业安全防护战略EPS(Enterprise Protection Strategy),这是一个以更实时、更主动、更系统化的病毒扩散预防方案。另外趋势科技还对用户作出了2小时提供病毒解药的承诺,针对新的病毒码发布之前,以及病毒码更新之后的善后工作,提供了一系列病毒生命周期管理相关的产品和服务。趋势科技刚发布一个月的网络病毒墙――Network VirusWall就是一件病毒疫情的硬件防护设备,可协助企业在爆发病毒疫情时隔绝高危险的网络脆弱环节,在网络层部署由趋势科技提供的安全防制策略,并能在缺乏防毒保护的装置等潜在感染源连接网络时,予以隔离和清除。
