电话
13522886718
在企业级用户当中,有一类用户对安全要求极其严苛,他们一旦出问题将会关系到国计民生,这就是国内的涉密单位。在用户分类中,瑞星把政府机关、军队、军工、与军事研究相关的科研院校、金融、基础公用设施单位等,列为涉密网络,为其提供最高等级的安全产品和安全服务。瑞星发布的《2010中国企业安全报告》中指出,基于政治目的涉密网络攻击呈现独特特点。
目前,几乎所有的重要单位都实现了机密资料的无纸化储存,对内网用户实行了严格的身份与权限控制,大大提高了办公效率。与此同时,其中储存的重要资料和信息也被黑客窥测,存在外泄和不当应用的风险。
从实际经验来看,黑客和病毒手段已经成为获取情报、制造混乱的最佳工具。2010年9月,“超级工厂(Stuxnet)”病毒在全球引起轩然大波。这是全球第一个能真正破坏工业自动化系统的病毒,有美国媒体报道说,该病毒是由美国情报部门协助以色列制造的,在伊朗散播后造成极其严重的后果,遭病毒攻击的核电站有数千台离心机运行异常,使得伊朗核计划遭到挫败。
同时,在对一些重要企业的安全检查中,瑞星也曾经发现过存在类似安全问题,比如在自动化控制系统中存在有意留下的漏洞,内网中存在编写精巧的“特种木马”等,由于中方对很多软硬件设备不掌握自主知识产权,无法查看底层代码,导致遭攻击的风险在逐渐增加。
在针对涉密网络的攻击中,有大约10%比例的攻击从编程风格、操作精细程度、利用的漏洞质量等多方面观察,个人黑客无法做到如此水平,很可能是国外有组织有目的的情报收集和破坏活动。
涉密网络比较常见的攻击手法
与普通企业网络不同,涉密网络通常与互联网进行了物理隔绝,因此,针对涉密网络的攻击也有着自身的独特特点:
① 利用U盘等设备进行跳板攻击
以“超级工厂”病毒为例,它采用的就是跳板攻击的方法,病毒会感染个人电脑上使用的U盘,当带毒U盘被拿到内网中使用的时候,病毒随之进入内网。有美国媒体猜测说,该病毒是美国特工投放到在伊朗核电站工作的俄国专家电脑里的,从技术角度讲,这种猜测有一定道理。
② 利用未公开的0day漏洞
所有水平比较高的黑客攻击,几乎都利用了不为人所知的系统、应用软件和数据库漏洞,业内把这些漏洞称为“0day漏洞”。利用的未知漏洞越多,感染攻击能力越强,越难被阻止。以“超级工厂”病毒为例,其利用的7个漏洞中,只有1个是微软曾经公布并发布补丁的,其余的都属于“0day漏洞”。
值得一提的是,目前在互联网上存在着“0day漏洞”的灰色交易,有人专门挖掘各种漏洞,将其进行出售而获利。有的黑客组织就从地下市场购买这些漏洞,将其用于自己编写的木马中
③ 针对特定对象编写,普通杀毒软件很难查杀
本质上讲,杀毒软件仅是用来应对感染规模大、数量多的普通型病毒攻击,如果单独针对特殊的用户编写,严格控制感染人数,普通杀毒软件的效力就会大大下降。
2005年6月,以色列爆发了历史上最大的商业间谍案,涉案人包括以色列国家安全总局的前特工。他们编写木马植入受害人公司,窃取商业机密、市场计划等,他们的雇主包括一些最著名的公司。
在此案中,涉案人通过编写特殊的木马程序,仅植入少数的几家公司。由于这些木马运行并没有任何异常,而且有的木马在完成任务后会自行销毁,抹掉自己存在的痕迹,导致丢失商业秘密的受害者在竞争中处于劣势。
由于这些木马在植入前都会通过主流杀毒软件的扫描测试,普通杀毒软件无法扫描出异常;而且在当时,多数杀毒软件通常不具有“主动防御”功能,导致杀毒公司无法获取样本,无法将其加入病毒库,从而无法将其查杀。