Sasser、MSBlast等病毒以迅雷不及掩耳的速度攻击企业,安全厂商指出,企业信息安全无法落实,将可能造成此类事情不断上演。
星期日从欧美开始爆发的Sasser,和去年造成重大灾害的疾风(MSBlast)病毒一样,是借由攻击微软操作系统漏洞而快速蔓延。安全公司指出,唯有企业安全政策确实执行才能彻底杜绝攻击系统漏洞的病毒。
Sasser与之前的MSBlast颇多相像之处。两者除了都是入侵微软操作系统漏洞,而且也先后创下病毒漏洞公布,以及攻击程序出现之间的间隔。MSBlast发动攻击距离微软公布漏洞及修补程序的时间为28天,已打破之前纪录,而Sasser更将这个期间推进到18天。
由于时间太短,无法及时修补漏洞的企业就会遭殃。趋势科技指出,漏洞及修补程序的信息公布后,从微软总公司发布到各地分公司,再从分公司发布到媒体或客户端已花掉数个工作天,而对修补程序布署到数以千计甚至万计的PC上的大型企业而言,实在很难应付像Sasser攻击周期如此快速的病毒。
Sasser也是继MSBlast之后,第一只趋势科技发布红色警戒的病毒。趋势科技指出,到目前为止,国内已有十多万台电脑中毒,受害企业从大、中、小型都有。
赛门铁克更认为,此类快速攻击的病毒,极可能成为未来的攻击主流。“去年是28天,这次是18天,难保以后不会再缩短到几天。”赛门铁克北亚区技术总监王岳忠指出:“我们认为病毒总有一天走向无时差攻击(zero-dayattack )。”
而在“快闪式攻击”愈来愈多的情况下,安全厂商认为,光是防毒已不足以提供最快的应变能力和最好的保护;而根本的解决方法是落实企业安全政策。
趋势科技表示,以Sasser而言,企业下载安装大到6.5MB的修补程序并不容易,因此根本方法是能彻底实行安全政策,并配合政策执行(policyenforcement)的工具,例如企业任何一名员工若没有安装好修补程序,则系统不会让他登上公司网络。
王岳忠指出,要抵御快速传染,特别是入侵操作系统的病毒,一定要化被动为主动。“以规则、特徵及定义来防堵病毒入侵,只能算是一种被动方法,补漏洞才是主动防御,”他说。
然而他指出,过去在企业内部,由于IT部门没有足够像法律或财务部门的权力,造成安全政策即使制订出来,例如不可以关闭个人防火墙,员工可能不清楚,甚至知道也可以不遵守。“在IT部门有责无权的情况下,公司安全政策将无法落实到每一位员工身上。”他说。
王岳忠指出,在欧美,企业设立安全长(ChiefSecurityOfficer)作为执行安全政策的最高首长。但他指出,相较之下,台湾企业虽然有CIO,不过多半关注在企业e化、办公提升等问题,对于专注实体、信息及人员安全的CSO,则鲜少有公司设立这样的职位。他认为,也许在这些事件过后,会有助于台湾企业提供IT部门的权限。