Gartner：企业必须学会检测僵尸网络威胁

Gartner公司的一位高级分析师在该研究公司的年度安全会议上对与会者说，企业必须投入更多的资源来防御僵尸网络，同时还必须学会探测僵尸网络，因为至少在未来两年内，它们将一直是恶意软件传播的最主要途径。

在Gartner安全与风险管理峰会上，当提到企业的威胁环境时，Gartner公司的副总裁兼著名分析师John Pescatore表示，由于IT组织的服务交付方式（主要是转型到虚拟化和云计算）以及业务部门使用这些服务的方式正发生巨大的变化，这导致基础设施的一些安全薄弱环节很容易被黑客攻击和利用。

Pescatore说，“百分之九十的攻击利用的是我们已经知道的漏洞，通过绕过补丁、无法打补丁，或设法使我们决定不部署安全控制措施的技术。只有不到1%的攻击是零日攻击（zero-day attack），而其他99％的攻击则是利用有漏洞的配置和没有打补丁的机器（即使是通过最简单的漏洞扫描器也能发现那些无补丁的机器）。”

Pescatore指出，由于黑客经常通过僵尸程序来利用这些漏洞成功的实施攻击，这种趋势可能会持续到2012年，而那时黑客和企业安全专家所进行的猫捉老鼠游戏将会导致下一个威胁传输技术的突破。

考虑到IT和安全资源非常珍贵，Pescatore表示，企业必须了解黑客想要从他们那儿得到什么，以此来优先考虑安全防护的问题；在大多数情况下，答案会是信用卡、社会安全号码中的个人识别信息（PII）或者敏感的知识产权。

Pescatore表示，这一情况在最近一系列备受关注的安全攻击中得到了证实。在针对谷歌公司、Adobe公司和许多其他公司的一系列Operation Aurora攻击中，黑客试图通过使用针对性很强的攻击来破坏敏感的内部系统，比如谷歌的专有代码管理系统。他还指出，在较小的餐馆甚至大学食堂中，信用卡和身份证的盗窃数量也在急剧上升，在这些地方可以非常容易地盗窃个人识别信息（PII）。

Pescatore说，“现在的情况是威胁的攻击面正在逐渐增多。在我们使用和传输IT服务时，有更多的移动部分包含了进来，这就是僵尸网络可以把握的大好机会。”

美国从事IT服务的CompuCom公司主管Nicholas Brigman参与了此次会议，他同意Pescatore的观点，并指出：作为一个托管服务提供商，打击恶意软件和由利益所驱动的僵尸网络传播将是一场持久的斗争。

Brigman说，“大多数组织在IDS、IPS、SIEM，甚至反病毒技术方面都已经进行了投资，但这些设备都不会发出警报，这些机构仍然会被攻击”，这也充分体现出很多企业还没有明智地制定出自己的安全预算。

另外，Pescatore建议与会者目前需要谨慎地做出有关虚拟化和云计算安全的决定。

特别是对于虚拟数据中心而言，Pescatore引用了Gartner副总裁Neil MacDonald的研究结果：新的虚拟实例很容易被创建，这将刺激虚拟化技术的进一步扩张，从而使得已经建立起来的、老式的配置和变更管理流程很容易被绕过。换句话说，无法确定新的虚拟系统是否能打上适当的补丁、坚持现行的安全政策，甚至运行合法的应用程序和服务。

他说，三年后，许多组织也将采用混合云服务并对部分数据中心进行虚拟化。然而，这些技术的实现将不幸地成为黑客的首要攻击目标。

Pescatore说，“你现在所做的关于如何在私有云中保护或连接多个数据中心，以及采用什么架构和控制方式等方面的决定将会是你未来抵御攻击的关键。”

至于如何应对当前和未来的威胁环境，Pescatore建议，企业需考虑三方面的技术防护：Web安全网关，能够提供威胁检测和预防来自恶意网站的攻击；NAC和应用程序防火墙，帮助抵御社交媒体和IT消费所带来的威胁；网站安全产品和服务，防止僵尸网络攻击网站，以及使用这些僵尸网络来传播恶意软件。

【编辑推荐】