企业网越发不安全？

     今年，《InfoWorld》对全球2004年的企业信息安全状况进行了调查，发现全球的IT经理都在为安全系统的有效性感到担忧，面对层出不穷、顽固恶劣的网络蠕虫、垃圾邮件和邮件欺骗，只有不到一半的IT人士对企业网络安全充满信心。

今年7月，InfoWorld对600多名IT专业人士进行了一次网上调查。结果显示，调查对象对从不安全操作系统到网上欺骗攻击的各种安全威胁保持着很高的警惕性。

只有38%的IT专业人士声称对企业网安全“很有信心”，回答“极有信心”的仅为8%，43%的调查对象说“有点信心”。这一结果与2003年的调查结果基本一样：当时41%的IT经理们称对安全系统“很有信心”，8%表明“极有信心”。

IT领导人也声称，最担心的就是缺少足够的人手和培训来支持安全措施。尽管特洛伊木马、病毒和蠕虫仍是IT领导人面临的主要威胁，但随着网上的应用不断增加，应用系统的漏洞也迅速变得严重起来。

恶性事件摧毁网管员信心

虽然采取了增强防御的措施，为什么还会有这种担忧呢？这是因为各种网络威胁来势凶猛，包括在过去12个月中不断冲击企业网络防御机制的网络和邮件蠕虫。

这种情况在今年3月达到了顶峰，当时编写病毒的人争先恐后地发布性质恶劣的MyDoom、Netsky和Bagel等蠕虫，有时短短一天之内就出现好几个新变种。众多恶性网络和邮件蠕虫同样堵塞了网络，几乎彻底摧毁了许多网络管理员的信心。

“像‘冲击波’（Blaster）这些蠕虫可以绕过边界防火墙，所以边界防护是不够的，这让许多人恐慌不安。”美国系统网络安全协会的调研主任Alan Paller说。

调查对象似乎也赞同这一说法。近30%的人声称，恶意代码（包括特洛伊木马程序、蠕虫和病毒）是他们公司的企业网络安全面临的最大威胁。这类似2003年的调查结果：特洛伊木马、病毒和蠕虫是当年IT管理员最为担心的。

悄然攻击知多少？

尽管继续人心惶惶，但今年的调查对象回答：恶意黑客、特洛伊木马程序、蠕虫及其他威胁对他们的网络发动的攻击只有少数几起得逞了。

64%的调查对象说，他们所知道的攻击本组织网络得逞的不到10起。这一数字与2003年的几乎完全相同，当时63%的调查对象说，突破企业安全防御的攻击不超过10起。

这也许是因为更广泛地使用的安全技术。近90%的调查对象说，他们的网络使用了防病毒软件；63%使用了企业防火墙设备；64%使用了防垃圾邮件技术；73%使用了基于网络的入侵检测和预防技术。

但是，这些数据并不能完全让人信服：多达30%的调查对象不知道在过去的12个月内本网络遭到多少次攻击；另有22%的人不知道在这段时间有多少次攻击得逞。

这样的数字不足为怪。因为如果黑客决意要把自己隐藏起来，就很难查出受感染机器。病毒感染机器后，恶意黑客以后就可以进入、安装代码，这些不动声色、悄然进行的攻击根本令人无法察觉，用户因此不知道自己的机器被别人接管了。

增加人员重于增加设备

2004年，黑客对一些知名企业网络的“被动攻击”极为频繁，以至IT管理员经常要过滤掉大量活动来分析重要的攻击数据。“被动攻击”就是起到干扰作用的“背景噪声”，好比“转动企业网络上的门把，看看门是不是开着”。

在对自行管理企业网络安全的组织进行调查时发现，57%的企业之所以能够发现攻击往往是有赖于足够的人手，这比去年的51%有所上升。一名调查对象说起了一件事：有人好几个星期一直在攻击一台Web应用服务器，后来无意中被一名为外部审查做准备的IT人员所发现。当时的问题在于：负责检查这台服务器的人因为其他的工作繁忙而无暇顾及，他也没有被要求先去检查那些日志。

这就说明了，为什么目前在IT添置清单上比较靠前的项目是人员，而不是设备。被问及如果安全预算增加会采取什么措施时，43%的人说会添加专门负责企业安全的IT人员，这与2003年作出同样回答的比率一样，当时43%的人说会把预算用在员工培训上。

“如果培训IT人员，保护应用服务器及其他易受攻击的主机，公司会受益匪浅。”Gartner的副总裁兼研究员John Pescatore解释。另外，请第三方安全咨询公司进行网络审查（这是32%的调查对象的选择）通常被认为是一项明智的投资。

依然忠于大厂商

但足够的人手和健全的边界防御并不能保证组织不会受到下一个恶意黑客的滋扰，主要是因为，微软及其他各厂商的产品里面很多没有打补丁，或者刚打上补丁的漏洞依然可以让黑客长驱直入。

40%的调查对象说，他们的网络很容易被人通过操作系统存在的漏洞而利用。24%的人说，他们组织遭到过拒绝服务（DoS）攻击；另有19%的人说，Web应用存在的漏洞导致被人利用。

今年四五月份爆发的“震荡波”（Sasser）蠕虫就是一个典型案例。4月14日，微软一口气发布了20个安全补丁，包括针对Windows XP和2000中危害程度被微软定为“严重”的LSASS漏洞的补丁，可是到4月30日，“震荡波”蠕虫仍在网上四处肆虐。

尽管这样，调查对象仍非常忠于大厂商，包括微软。38%的人说，他们信任这家公司为自己提供的整个公司的安全系统。许多公司称，大厂商的产品也许不够安全，但它们能有的也就只有这些了。

调查对象认为，虽然不如操作系统的漏洞那么严重，但Web应用引起的安全问题应该引起人们的重视。19%的人说，他们公司在过去12个月遭到过Web应用漏洞的攻击。

专家们认为，在今后几个月采用Web应用会给IT管理员带来严重的安全挑战，无论他们有没有认识到这一点。由于许多公司把更重要的职能都搬到网上，向客户和业务合作伙伴敞开部分网络，因此应用安全问题几乎肯定会成为一个日益受关注的问题。

15%的调查对象声称使用了专用的应用层安全产品；不到9%的人称，明年可能会购买阻拦应用攻击的XML防火墙。但传统的网络防火墙将用得更多，72%的调查对象说，他们使用传统防火墙来保护关键任务的Web应用。

公司需要比边界防火墙更先进的工具，这样才能阻挡针对Web应用服务器及其他高级服务的攻击。像SQL指令植入式攻击和应用层攻击更容易潜入应用系统。由于许多公司逐步深入地了解了复杂攻击的威胁，预计应用安全会在明年受到更大的关注。

从“有防火墙吗？”到“有多安全？”

专家认为，在今年的调查中，一晃而过的某些威胁有可能在明年发展成为严重的问题，这些问题会给从事网络生意的公司带来极大影响。

虽然对恶意代码的担心（29%）远远甚过对间谍软件（7%）或者黑客（6%）的担心，但调查表明，今年有可能是暴风雨之前的平静。Gartner的Pescatore说：“现在人们觉得间谍软件不是重大威胁，但在近几个月，我们发现间谍软件其实已经开始发威。据与我们有过交流的人士声称，这是一个刚冒出来的问题。”

另外，最近几个月网上身份窃取或网络钓鱼（phishing）骗局事件的数量在急剧增长。单单在4月，反网络钓鱼工作小组记录在案的网络钓鱼攻击就超过1100起，比前一个月猛增了近200%。

专家们说，利用垃圾邮件和恶意网站、冒充合法电子商务公司的网络钓鱼骗局给从事网上生意的公司构成了重大威胁。在回答今年调查表上有关公司身份“欺骗”（类似网络钓鱼攻击采用的手段）的新问题时，23%的调查对象说，他们公司的名称被人冒用过。

Pescatore说：“面向消费者的大型公司，比如银行、金融公司和公用事业公司，以及在网上付款或者期望改用电子账单支付以节省费用的任何商家，都受到过网络钓鱼的影响。现在顾客开始不信任与企业间的电子邮件通信了。”

从公司业务和声誉的角度来看，这是一个重大问题。但遗憾的是，因为攻击针对的不是组织本身，而是客户，所以很难对网络钓鱼者进行反击。这样，就需要加强安全意识。今年的调查表明: 调查对象觉得，他们的高层主管比自己更有可能对企业安全“极有信心”或者“很有信心”（60%比45%）。

最后，新出现的威胁以及不断变化的因特网和在线业务将迫使IT人员不断深入了解企业安全。正如业界人士所说：“过去的问题是‘我们有防火墙吗？’现在的问题是‘我们有多安全？’怎样才知道有多安全？你要开始评估自己，这意味着你会发现一些惊人的事情—比如你部署的系统其实漏洞百出，你却浑然不知。”

也许，这些新发现会让IT人士觉得更不安全，尽管新发现能让他们更好地防范攻击。这也许就是这次安全调查所传达的深层含意。

,