作者: zdnet.co.uk
http://www.zdnet.com.cn/techupdate/security_protect/analysis/story/0,3800081007,39434743,00.htm
ZDNet在一个已退役的核基地中,走访了英国Symantec的安全业务中心。跟随我们的脚步,一起揭开Symantec管理安全服务(MSS)小组的神秘面纱。
在温彻斯特连绵起伏的群山中坐落着一座已退役的核基地,现在属于IT安全公司Symantec。这座在九十年代冷战末期耗费纳税人巨资修建的建筑目前属于该公司的英国安全业务中心(SOC)。
人们对这个核基地的普遍印象是一个黑暗,老鼠肆意的地洞,但是现在从内部看上去它与Symantec的其他办公室没有什么区别。该建筑住着Symantec的英国管理安全服务(MSS)小组,其主要任务是过滤和监视来自客户入侵防御系统(IPS),防火墙和入侵检测系统(IDS)反馈回来的数据。
根据Symantec的EMEA管理安全服务主管Jeff Ogden的说法,温彻斯特小组每天独立分析大约一百五十万行的数据。“我们将时间花在收集和分析信息以及情报上,信息是海量的,我们尝试将它们置于一个连贯的状态。”
MSS小组位于主基地的一间玻璃墙的房间中,15台工作站排成三行五列。四个大屏幕平板监视器安装在工作站对面的墙上。不断在屏幕上播放的天空新闻台的新闻帮助小组“监视可能影响信息威胁格局的地区政治形势。”
高度安全性
外人严禁进入这里,甚至其他Symantec员工如果没有预约也不能进入该建筑。任何访问都必须至少提前24小时通知。Symantec客户在进入前必须签署不向外界透露任何相关信息的协定。
一旦进入,所有雇员必须在一个单独的工作点进行登记,然后在离开时必须注销。三台独立的外部照相机可以360度地拍摄该建筑。数字记录器保存三十天的备份。在这里最少四名、最多十五名分析师全天候对数据进行分析。
甚至连内部的空气都高度可控。它整个是密封的而且空气压力比外界高一半,所以空气被不断地排出来,如果发生核攻击,空气可以通过木炭进行过滤而且在适当的位置还有安全措施以防止毒气攻击。
该基地具有类似安全警报的功能,内部具有红热感应的两条黑色塑胶带,如果任何未授权的参观者进入SOC全落地玻璃墙的内部时它就被激活,这里是分析师努力工作的地方。如果靠它们太近,它们会发出哗哗的声音并且记录非授权的入侵者。
如果有人越过了这些防御措施,他们还有最后一道防线。Symantec的前保卫部门经理Gordon May开玩笑的说,“这时我手持棒球棍出现了”。
在全世界总共有一亿二千万台桌面和服务器在使用Symantec的产品,它们反馈回恶意代码的样本。Symantec利用基本代理技术收集这些信息,或者客户可以选择手工发送这些信息。Ogden说,“我们在客户收集点配置一个小型代理,防火墙或系统日志服务器。该代理是一个小的软件,负责收集,压缩,标记并加密数据,然后发送给我们”。
数据处理过程
数据被收集起来之后,被送到Symantec进行分析,而且如果存在被攻击的危险,会迅速向客户发送一个报告。Ogden说,“如果情况危险或是一个紧急事件,我们会给客户打电话并告知‘用户可能被攻击了’”。
所有顾客的信息被集中保存并且进行两层过滤,一个“不断改进的威胁模型”决定代码是否危险,还有一个“专业查询引擎”。专业查询引擎确定该危险的目标是什么,从何而来以及危险的真实面目。然后一位Symantec工程师对该代码进行分析并根据其危险等级进行事件分类:
报告:客户被黑客扫描,但没有发现进一步的举动。警告:客户被扫描而且黑客已发现一个安全漏洞。危险:客户被扫描而且易受攻击的主机被作为目标。紧急:代码可能已经存在于易受攻击的主机中。
在ZDNet英国访问该建筑期间,利用在罗马尼亚的一个僵尸网络而发起的分布式拒绝服务攻击的详细信息被检测到。Ogden说,“我们通过查明它从何处发起,以谁为目标以及它想达到什么目的来分析该威胁”。
在更广泛的网络上
安全业务中心(SOC)温彻斯特分部是Symantec的全球信息监控站点网络的一部分。顾客数据由位于悉尼,慕尼黑,英国以及美国的亚历山大和圣安东尼奥的五个SOC进行监控。
SOC和Symantec的七个安全响应中心(SRC)密切配合。SOC的首要任务是识别针对客户的攻击,SRC工作在更高的等级并且比较来自更广泛的各种来源的信息。
七个SRC遍布全球,其地点包括美国,加拿大,爱尔兰,日本和澳大利亚。
不仅监控由客户直接发现的病毒,Symantec还在全球25%的电子邮件流量中扫描恶意代码,Symantec有许多由ISP提供的“密罐电子邮箱”帐号。它们没有被使用,因此所有进入这些信箱的邮件通常是垃圾邮件,特洛伊木马,病毒或其他形式的恶意代码。一个链接到密罐网络的攻击隔离系统捕获各种恶意代码,例如蠕虫和特洛伊木马。Symantec的安全响应和管理安全服务的副总裁Art Wong说,“这是一个模拟服务器的虚拟网络,而且非常像真实的网络”。
Symantec维护一份被称为Bugtraq的列表,上面包括在其网络上发现的所有安全漏洞。根据Wong的说法,它既是安全漏洞的资料汇集地也是其数据库。该列表和其他反恶意软件供应商共享以加快发布补丁的速度。Wong补充说,“我们鼓励共享信息。我协助创建了NIAC,一个负责检测安全漏洞的美国机构,所以人们可以提出他们解决方案或漏洞补丁”。
僵尸网络的威胁
对于作为主要的IT安全供应商之一所担负的责任,Symantec处于识别未来安全威胁的有利位置。此时最大的威胁是僵尸网络。它们是被黑客控制的计算机所组成的扩展网络。僵尸网络通常被用于发起分布式拒绝服务攻击,用大量的流量有效地淹没Web服务器或邮箱,直到它们死机。
根据Symantec的说法,僵尸网络的不断增加是一个主要问题。从2004年开始英国僵尸网络的数量每年增长一倍。而且,Symantec认为目前英国具有世界上数量最多的僵尸网络。Wong引用Symantec在2005年九月出版的Internet安全报告VIII卷中的数据,“我们见到过的僵尸网络中有三分之一在英国”。这个数字高于传统上有更多僵尸网络的美国。
英国僵尸网络之所以这么高,可能是由于最近宽带使用的大量增加以及多数英国家庭用户不知道自己的计算机已被控制。他说,“或许在英国人们对僵尸网络的认识处在比较低的层次,IP地址可能来自被黑客控制的合法主机,或许这些主机没有打补丁,或者没有运行最新的反恶意软件产品。如果在僵尸网络中拥有10,000台主机,就很难跟踪到每个IP地址。
控制
根据Symantec在一个没有运行XP SP2或杀毒软件的Windows系统的测试,平均来说,在一台新主机首次接入Web之后,只需要八分钟就会被控制。
这对和被控制主机处于相同网络的公司特别危险,因为一旦在防火墙的后面有系统被感染,黑客可以利用它感染其他主机。Ogden说,“如果攻击者已经感染了某个企业内部的一台主机,那么就可以利用同一子网内的其他主机。可以将可执行代码注入其他主机以获得用户信息”。
Symantec并没有向这些被控IP地址的所有者透露他们的计算机已经被黑客控制,这是为了控制问题的规模。Ogden说,“一个僵尸网络可能由数以千计的主机组成,而我们没有时间联系所有人。我们首先需要做的是通知我们的客户”。
然而,当涉及到严重事件,Symantec会和警方密切合作。但是Symantec也指出他们没有提供任何客户的直接信息。Ogden说,“我们向客户提供的信息属于他们,是他们向执法机构提供有关任何可疑活动的信息。当这些公司被作为目标时,是客户在最初提供了攻击者的信息”。
他们也力所能及地帮助警方计算僵尸网络的数量。Ogden说,“英国国家高科技犯罪部门已经提前实施了封闭僵尸网络的行动。我们欢迎任何封闭僵尸网络的计划,我们在过去和政府部门进行了一些接触并且配合得非常成功。”
如果某个企业遭到攻击,Symantec建议报警。Ogden说,“管理安全服务的焦点是保护客户。例如,在2004年的敲诈案例中,数据被这些企业反馈回政府部门。在这种情况下,我们建议企业和相关部门联系”。
但目前而言,Symantec对追击潜在犯罪行为不会付出太多。如果一次攻击失败了,他们不会穷追到底并把犯罪分子抓获。Ogden说,“如果我们控制并封闭了对某位客户的特定威胁,继续追查发起攻击的黑客并不会带来更大的好处。”
