ACM通信

实践

CTO圆桌会议:恶意软件防御

由马谢Creeger
ACM通信，2010年4月，第53卷第4期，43-49页
10.1145/1721654.1721670
评论(1)

随着各种形式的信息资产转移到网上，恶意软件一直在成为个人威胁的一个巨大来源。随着安全专业人员关闭访问点，攻击者在不断演变的猫鼠游戏中开发出更复杂的攻击。如今，恶意软件的盈利模式与合法领域的任何盈利模式都不相上下。

但还有希望。一些研究表明，尽管25%面向消费者的个人电脑受到某种恶意软件的感染，但商用个人电脑领域的感染率约为这一比例的一半。这种差异很可能是在商业站点中工作的安全专业人员为防御这些威胁所做努力的直接结果。这个CTO圆桌小组讨论的第四部分是用户和供应商之间的分歧。在我们关于恶意软件防御的对话过程中，我们计划教育读者了解当前恶意软件威胁的范围、需要解决它的框架类型，以及如何将入侵的总体风险降到最低。

利用ACM的学术基础和供应商中立的焦点，CTO圆桌会议有助于定义和阐明关于新兴商业技术的一般最佳实践共识。通过我们的小组，我们为从业者提供了有价值的途径，让他们能够获得客观和公正的专家建议，了解人们在未来一到三年应该关注什么，不应该关注什么。

马谢Creeger

回到顶部

参与者

迈克尔·巴雷特贝宝的首席信息安全官。

杰夫格林是McAfee实验室威胁研究部门的负责人，他的职责是统一围绕电子邮件、网站、垃圾邮件、网络钓鱼和恶意软件的孤立研究，以支持补救管理、补丁管理、风险和合规方面的业务。

弗拉德Gorelik是AVG科技公司的工程副总裁。他负责AVG所谓的行为年表——非签名恶意软件防御。他从事非传统恶意软件防御工作超过五年。

Vincent Weafer他是赛门铁克安全响应部门的副总裁。他的团队专注于恶意软件防御，处理网络钓鱼、欺诈、威胁情报、URL数据提要和声誉。

Opinder Bawa是加州大学旧金山分校(UCSF)医学院的首席信息官。

史蒂夫•伯恩他是El Dorado Ventures的首席技术官，帮助评估风险资本投资机会。在加入El Dorado之前，Bourne曾在Cisco、Sun、DEC和Silicon Graphics从事软件工程管理工作。他是ACM的前任主席，并担任ACM专业委员会和ACM的主席队列编辑委员会。

马谢Creeger是CTO圆桌系列会议的主持人。他是Emergent Technology Associates的负责人，为专注于企业基础设施的技术公司提供营销和业务发展咨询服务。

CREEGER:让我们从对恶意软件威胁的评估开始讨论。

WEAFER:过去的12个月恶意软件威胁景观是过去几年的自然演变。我们已经看到了新的恶意软件数量的巨大爆炸。我们也看到了恶意软件的复杂程度、新的数据挖掘技术和新的自我保护方法的发展，这些都真正改变了威胁环境。攻击者能够轻松获得更智能的工具，并以较少的技术技能更快地使用它们，这改变了我们所看到的许多情况。

我们看到的不是单一的大流行威胁，而是个别威胁的巨大爆发。你在一台机器上得到的和在另一台机器上得到的是完全不同的。每种感染都有独特的特征。你会收到一个独特的恶意软件可能不会被世界上的其他人看到。威胁从全球到本地再到个性化。

---

我们已经看到了新的恶意软件数量的巨大爆炸。我们也看到了恶意软件的复杂程度、新的数据挖掘技术和新的自我保护方法的发展，这些都改变了威胁环境。攻击者用较少的技术技能轻松获得更智能的工具并更快地使用它们的能力改变了我们所看到的许多情况。Vincent Weafer

---

GORELIK:我同意。您还可以看到用于分发恶意软件的自动化工具:用于找到易受攻击的站点，攻击它们，并将它们变成分发站点。一旦你开始自动化，它就变成了一个更广泛的分布模型。你开始看到一些方法可以一次接触到更多的人，看到更多创新的盈利模式和社会工程技术。这些模式相当复杂，与合法领域的营销不相上下。

巴雷特:大约四年前，当我还在美国运通的时候，我问了一个问题，有多少互联网上的台式电脑被入侵了?令人惊讶的是，这个问题很难得到答案，因为业界似乎没有跟踪这个问题。大约一年前，当我与乔治亚理工学院的一些人交谈时，我成功了。根据他们的研究，他们认为这个数字几乎正好是12%。

有趣的是，如果你与面向消费者的isp交谈，你会发现这个数字更接近25%。总数和面向消费者的部门之间的差异表明，非消费者部门的现场安全从业者实际上正在产生影响。

BAWA:我们看到的很多恶意软件都是双重的。我们看到一般的恶意软件，我们电脑上的东西试图捕获信息，比如社会安全号码，并将其发送到某个收集点。这些都是比较一般的攻击，可能是表面的攻击。我们还发现了很多非常具体的定制软件组件，它们会说，“如果它们存在，就浏览这些数据库，扫描这些信息，然后把这200万笔交易发给我。”

在医疗行业，我们看到了一系列的问题，从下载电影，到瞄准数据库获取社会保险号，以及最新的趋势，即窃取医疗信息。

如果有人偷了100个社会保险号码，这个人可以在街上以每个3到4美元的价格出售。如果有人偷了一个人的医疗信息，小偷可以把它卖到数千美元给在美国需要看医生做手术的人。

GORELIK:这说明恶意软件是一门生意。说到底，这些人是来赚钱的。如果他们发现了可以窃取的高利润信息，他们就会追逐这些信息。随着市场被诸如社会保险号和信用卡号等东西饱和，它们的价值下降，所以人们转向更高价值的目标。

WEAFER:如果我能把你的物理地址和你的财务信息或电子邮件地址结合起来，这对攻击者来说就更有价值了。将原始的、没有上下文的低价值信息精炼为高价值的专门内容无疑是一个日益增长的趋势。

虽然我们作为供应商看到了复杂性和数量的增长，但矛盾的是，用户意识却在下降。除了备受关注的Conficker之外，在过去的几年里，情况正好相反。人们的看法是，21世纪初的恶意软件和间谍软件问题已经消失，一切都变得更安全了。你看到的是意识较弱的人，他们认为自己不需要担心。挑战在于，如何以一种非危言耸听的方式，让人们意识到这些危险。

巴雷特:有可靠数据表明，很多人认为他们的电脑受到了保护，但实际上并没有。他们要么错误地认为，因为一台电脑预先安装了反病毒(AV)产品，它的保护可以持续一生，要么更糟的是，他们以为自己已经付费更新了它，但实际上并没有。这是一个系统性的问题。

GORELIK:事实上，它甚至更糟糕。我们看到相当多的假冒反病毒保护被推出。它看起来很真实，有时甚至有一个小的AV引擎和一组小的签名。但实际上，它也会感染主机。

BAWA:较老的机构有运行Windows 2000、Windows 95和Windows 98的机器。它们通常在实验室中与专用设备相连，不容易升级。一般来说，人们对这种脆弱性的影响的认识很低。

CREEGER:人们可以做些什么来避免这些威胁?

BAWA:SCO (Santa Cruz Operation)专注于SMB(中小型企业)市场。员工少于50人的中小企业通常有一个他们信任的IT供应商，而不是全国性的连锁店，而只是当地的夫妻店。当员工超过50人时，公司会雇佣一名系统管理员/IT经理/IT人员。这个人通常尽他或她最大的努力，但有一个非常困难的任务保持一切运行和更新，通常是无效的。50到250名员工之间的部分没有得到很好的服务。员工少于50人或超过250人的公司有可行的选择，但在这个范围内，公司有效的IT支持选择非常有限。

格林:我们刚刚对中小公司做了一个广泛的调查。结果清楚地表明，在这个部分中，IT管理员平均每月花在安全上的时间不到1小时。

CREEGER:没有人害怕吗?既然人们不会一直在他们的脸上看到糟糕的安全性的直接结果，那么恶意软件是否更像是一种阴险的威胁呢?

WEAFER:由于目前这些攻击的无声性质，许多人显然没有意识到他们的个人数据的风险或损害。此外，还有更多的人根本不在乎。他们仍然可以打开文件，仍然有效地工作，所以他们选择不担心。当然，人们对一些更新的攻击技术缺乏认识。有一种观念认为，我看不到的东西不会伤害我。

CREEGER:你是说恶意软件编写者越来越老练了。他们已经了解到，如果他们将对计算平台的直接影响最小化，那么他们的攻击的影响就不会“直接影响到您”，那么他们就可以从这些机器获得更多的价值。

WEAFER:绝对的。我把它叫做又慢又低。如果你慢慢地、悄无声息地攻击机器，你将在更长的时间内获得最大的利润，而不是采取激进的行动，被发现，然后迅速被阻止。

巴雷特:在PayPal，我们得出的结论是，问题不只是恶意软件;一般的互联网消费者没有接受过什么是安全行为的培训。我们必须走出去，帮助教会他们这一点。我们得出的结论是，在网页上放置文字是一种相当糟糕的教育媒介。我们试图简化我们的客户安全信息，并把它们带到消费者经常出没的地方。

CREEGER:当我和其他专家交谈时，他们说情况远不止于此。如果你访问有问题的网站，不符合道德意图的阴暗区域，如色情或盗版软件(warez)网站，你不必从一些随机的电子邮件消息执行目标代码，或从一些钓鱼邮件提供的链接访问一个网站。你刚刚访问过这个网站就足以感染病毒了。

巴雷特:如果你的电脑没有打过补丁，这可能是真的。在我们关于个人电脑安全的一系列信息中，我们说了三件事:

• 运行现代操作系统。如果您使用Windows 95上网并访问其中一个网站，那么您很有可能被入侵。
• 保持这些更新。没有更新操作系统补丁是所有Conficker受害者所犯的错误。
• 还要运行带有最新安全更新的最新防病毒程序。

做到这三件事，你就能大大降低感染的风险。你百分百安全吗?不，但你过马路也不是百分百安全。

BAWA:我有不同的看法。有一些东西是可以教给用户的，会有真正的改变。一般来说，安全不是其中之一。如果我们指望用户总是做正确的事，那就永远不会发生。很简单，用户希望操作系统和环境是安全的，并受到带有恶意软件保护的杀毒软件的保护。他们认为保护是他们购买的，如果保护不起作用，他们就得不到他们所付出的。

巴雷特:我很赞同你的观点，但我想说的是，社会可以选择什么代表安全和不安全的行为，可以立法反对故意不安全的行为。作为一个社会，我们相信在路上安全驾驶是很重要的。如果你在繁忙的城市街道上超速行驶，撞死了人，你很可能会因为车祸杀人而进监狱。

没有内在的原因可以解释为什么我们不能对那些在互联网上危害他人的不安全行为施加限制。恶意软件最阴险的地方在于，它不仅仅是对你一个人的威胁;它也是对整个互联网安全的威胁。

GORELIK:你的类比的问题之一是，在拥挤的城市街道上高速行驶会产生直接和直接的后果。恶意软件不是这样工作的。如果你真的被感染了，即使你清理了伤口，你可能看不到感染的直接后果，也无法将感染与其他人遭受的后果联系起来。

用户很难建立这样的联系。恶意软件感染的影响与更有形有形的东西相比是不相关的。我同意教育会有所帮助，但它的效果是有限的。

巴雷特:太多的人发现了如何在互联网上保护自己的特殊方法，比如在鸡尾酒会上与人交谈。他们可能会发现一些事情，比如通过查找拼写错误的电子邮件信息和没有任何图形的网站来避免网络钓鱼诈骗。这一建议在多年前可能是正确的，但在今天已不再有效。

最近，我们的一个安全供应商告诉我们，我们的一些客户出现在Sinowal木马删除服务器列表(http://news.bbc.co.uk/2/hi/technology/7701227.stm)．我们有一个很大的文件，我们通知这些客户说:

• 我们非常抱歉，我们相信您的电脑已经被泄露了，因为这些是您的详细信息，它们与我们存储在您身上的所有数据相匹配。
• 你可能就是这样被感染的。
• 到这里寻求如何修理你的电脑的建议。
• 顺便说一下，有些恶意软件非常糟糕，你不得不清空机器，从基础硬件重新构建它，或者把它交给可以重写主引导记录的人。
• 这是一个贝宝安全密钥，可以帮助保护你。

这是一整套康复装备。我想我们可能是第一批尝试这种做法的公司之一。作为一个行业，我们将不得不做更多这样的拓展。

CREEGER:考虑到现有操作系统的架构，这在今天可能吗?有人告诉我，那里有一些非常讨厌的东西，如果你戳错了方向，它就会使机器崩溃。

WEAFER:绝大多数的东西不需要这种激烈的行动。虽然绝对有一些非常糟糕的恶意软件存在，但仍然有大量相当基本的东西可以在不进行裸金属重建的情况下得到解决。

越来越多发生的一件事是，网站，特别是那些小型企业拥有的网站，正在受到威胁。这些网站反过来又被用来攻击其他网站。因此，这不仅是桌面所有者的问题，现在还包括网站所有者的问题。我们今天看到的最大的感染媒介是来自已被破坏的网站的威胁。如果您是Web站点的所有者，则需要注意这个问题。这对小型企业来说确实是一个挑战，因为大多数人都不知道Web站点安全真正需要什么。

一些托管公司将安全扫描作为他们服务的一部分，或者你可以去专业精品店或服务提供商。然而，根据感染的类型，通过这种方式清除恶意软件可能非常困难。

CREEGER:听起来，中小型企业必须了解很多细节，以便解决我们一直在谈论的风险。有人能接替这个职位吗?对于负责公司网站和个人电脑的中小企业所有者，他们应该做些什么?他们应该考虑什么?在雇佣内部专家之前，一个组织必须有多大?

---

员工少于50人或超过250人的公司有可行的选择，但在这个范围内，公司有效的IT支持选择非常有限。Opinder Bawa

---

BAWA:我们会对遇到的任何潜在不安全进行风险-回报安全分析。这有助于确定任何给定解决方案的成本效益，以确保我们始终专注于最高风险。

消费者希望购买一种万能的产品。在中小型企业市场，公司开始明白，如果他们建立网站，他们将需要一些保护，但他们不知道这是什么。他们求助于他们的小型IT提供商来提供这个包。当你进入一家1亿美元的公司时，你将会关注DLP(数据丢失预防)。如果你是一家500万美元的公司，你不会，因为你认识所有人，这是一个更值得信任的环境。

巴雷特:最基本的防御措施之一是有关于补丁的良好实践。如果你有一个端点，让它打上补丁，并运行最新的AV，那么这对提供合理的保护大有帮助。

BAWA:人们也想要价值。一旦他们明白他们需要这五种不同的保护成分，他们就会寻找价值。所有中小企业都会问的一个常见问题是，“我可以买什么样的产品，以最好的价格提供最多的功能?”

CREEGER:试图弄清楚花出去的钱有什么价值有点像赌博。人们自然不想花很多钱，但在特定的消费水平下，他们没有任何有效的方法来评估自己的风险敞口。

格林:对我们正在处理的恶意软件的数量和倾向没有足够的认识。当你告诉人们我们每天看到的威胁数量时，他们会目瞪口呆。

WEAFER:这是恶意软件攻击者的动态特性，如果你防御一些东西，事情就会改变。安全与存储和搜索等更稳定和可预测的计算领域非常不同。当一个漏洞被堵住后，攻击者就会继续攻击其他区域。

CREEGER:你是在告诉我，你有一个适应性很强的对手，很难评估风险和资产价值。你试图用固定的预算堵住尽可能多的漏洞，并不能真正保证你所遗漏的内容不是导致你的船沉没的关键内容。有什么好消息吗?

WEAFER:好消息是，那些采取基本常识性行动的人似乎在持续的基础上受到的影响较小。这是一个关于良好卫生的故事，饭前洗手的人似乎很少生病。尽管新技术和新趋势一直在出现，但基本的最佳实践并没有发生太大的变化。

GORELIK:有两种攻击模型。一种是撒一张大网，抓住什么就抓什么。作为一个用户，如果你做了基本的常识性的事情，你可能会得到合理的保护。也有一些人会盯上你，因为你有值钱的东西。这里的安全措施应该更加复杂，并基于成功入侵的影响。

巴雷特:这种攻击基于攻击者对您系统上的资产的感知价值，并让人想起一个老笑话:如果您在荒野中遭到熊的攻击，该怎么办。答案是，你不需要跑过熊，你只需要跑过你旁边的人。如果攻击者认为你有丰厚的资产，但你把东西锁起来的工作似乎还算不错，攻击者可能会去找隔壁那个可能做得不太称职的笨蛋。

伯恩:从防御的角度来看，人们去年做的事情是不是已经失效了?

WEAFER:直到最近，我们会说，如果你避免进入互联网的黑暗小巷，例如色情网站，你可能是安全的。现在情况不再是这样了，因为跨站点脚本攻击的兴起将恶意代码注入到正常的Web页面中。

GORELIK:您现在必须小心那些被重新打包以包含其他包含威胁的可执行程序的正版软件。此外，在过去，人们可以安全地下载没有签名的软件。在这一点上，我不会下载任何没有我信任的实体签名的东西。您无法保证软件的完整性没有在服务器上被篡改。

---

我不会下载任何没有我信任的实体签名的东西。您无法保证软件的完整性没有在服务器上被篡改。弗拉德Gorelik

---

我做了一个实验，去了一个相当知名的网站，下载了一大堆东西。当我第一次看到大量被破坏的可执行文件时，我认为问题出在我们的测试过程中。不幸的是，我们的进程没有问题，但是文件真的被感染了。

BAWA:但这不仅仅是信任。2008年10月，人们参观Macys.com一个零售网站被劫持到了一个看起来像Macys.com但不是。

巴雷特:我相信面向消费者的网站所有者不仅有责任确保他们的基础设施是安全的，而且有责任证明他们的网站是合法的。我们为扩展验证支付了一个不小的提升。当你去PayPal.com在现代的操作系统和浏览器中，你会在地址栏中看到一个绿色发光的物体，上面写着PayPal, inc .，不是在URL本身，而是在它的旁边。这些都是消费者能够并且应该寻找的明确的用户界面提示。

WEAFER:我相信我们会看到更多基于声誉的安全模型。基于黑白列表的保护是这种保护的一个简单版本。您会看到浏览器中信誉保护的例子，它会对不安全的网站发出警告，并显示文件下载是否经过签名或来自可信来源，以及电子邮件发件人是否在已知的垃圾邮件列表中。这些都是简单的基于声誉的安全性的例子，并暗示了一种更通用的模型的趋势，该模型为用户下载或使用的内容提供完整的声誉。用户的风险偏好决定了交易是否继续进行。

CREEGER:云计算对这类问题有帮助还是有害?云计算对这些类型的漏洞有什么作用?如果人们开始将他们的服务转移到云平台上，他们的情况是更好还是更糟?

巴雷特:云计算在成本效益和突发容量方面非常有前景。有大量的组织用户被云计算所吸引，他们可以处理非机密信息。还有一些人代表监管更严格的行业，比如金融业，他们不能在不知道数据的物理位置的情况下将数据转储到外包云中。我必须知道我的数据驻留在哪里，因为我必须维护一些安全的考虑因素。因此，数据位置需求是云计算的一个问题。

第二个问题是定义应用程序安全需求的能力。如果我的应用程序有特定的安全需求，我不希望它与其他具有不同需求集的应用程序共存。我们还没有足够的策略语言来描述每个人的安全需求。要使云计算工作，需要有这种类型的定义信息。现在还没有，但毫无疑问，我们会有适当的风险词汇来解决这个问题。

在这一点上，大多数云供应商都在使用功能完美的相对基本的安全补丁，正如我前面所说的，一个小小的补丁就可以走很长一段路。他们正在向透视客户演示他们的SAS70 (http://en.wikipedia.org/wiki/Statement_on_Auditing_Standards_No._70:_Service_Organizations)，你可以检查它，以确定它们的控制是否足够。

CREEGER:你经历过的恶意软件中有哪些更有趣、更令人惊讶的?

巴雷特:ATM(自动柜员机)恶意软件的目标是特定供应商的ATM。坏人走到ATM机前，打开它的外部维护端口，塞进一个u盘，然后接管了它。受害者很高兴地使用自动取款机，而它做了银行不知道或不打算做的事情。这种情况目前还不常见，只是因为有人能够窃取特定ATM的源代码。

BAWA:一个服务人员进来，在旧金山湾区6到8个当地加油站的销售点设备上安装了恶意软件，截获了所有的借记卡。

巴雷特:由于各种原因，借记卡通常比信用卡更有吸引力。

CREEGER:在恶意软件防御方面，供应商在过去几年里生产了哪些令人惊讶的创新产品?

WEAFER:基于声誉的安全非常有趣——基于云加上基于声誉。声誉是应对不受严格监管和无法被锁定的环境的好方法。

巴雷特:过去一年左右最有趣的趋势之一是活跃的研究社区允许机器被恶意软件感染。他们正试图弄清楚恶意软件的用途是什么，它是如何设计的，以及它的更大目的是什么。最好的例子是那些拆分了Storm网络并确定其目的是发送伟哥广告的人。他们真正了解这个僵尸网络是如何组成的。

WEAFER:现在有很多正在进行的研究，评估生态系统，观察犯罪生命周期的每个部分，不仅仅是技术部分，还有谁从犯罪中受益。谁在赚钱，他们如何赚钱，在哪里赚钱，他们如何控制?最终，我们正在寻找打击恶意软件的有效手段。这些杠杆有时可能基于技术，有时可能基于政策。

巴雷特:恶意软件从根本上来说不是一个技术问题;这是一个犯罪问题。尽管我们和其他金融服务公司看到过许多消费者的证书被盗，但受害的平均水平通常非常低。目前，犯罪市场有太多的证书可供使用，瓶颈不在于获取更多的证书，而在于如何将其货币化。

CREEGER:isp能否提供有效的恶意软件防御?

WEAFER:网络服务提供商需要让用户参与进来，并围绕这个问题提供不仅是技术上的帮助，还有政策上的帮助。对于许多人来说，ISP是他们在互联网上最接近触点的东西。当发现用户感染时，ISP应与用户进行积极对话，并为整个社区的利益努力解决问题。让问题恶化或将其转移到另一个供应商不应该是一个可行的选择。

巴雷特:起作用的力量是经济学家所说的负外部性。决策由一方做出，但成本由他人承担。用户在不受保护的机器上浏览可疑的网站而受到感染所产生的成本不仅由ISP承担，还由可能受到受感染用户攻击的网站承担。用户的浏览行为给这些企业带来了实实在在的、可衡量的成本。这里的论点很简单，什么样的经济和监管政策会影响用户，使他们的决定更好地与对社区其他部分的成本影响相一致?

CREEGER:这和公共卫生是一样的。

BAWA:我对此有完全不同的看法。生活在技术世界里，你变得善于分析:我该如何解决?数据点是什么?等等。我认为安全问题和我们面临的一些问题更像流感，无论你做什么，每年都会有另一种菌株。你可以把一切都做好，但仍然会有另一种压力。技术和政策已经很好地解决了某些问题:CRM(客户关系管理)系统、供应链、iTunes……安全是一个不断变化的环境，除非我们理解这一点，否则我们将在很长一段时间内追赶自己的尾巴。

CREEGER:我要感谢大家分享你们的经验和观点。很明显，对我来说，恶意软件防御是一个发展的领域，是非常动态的，有同等的措施，既艺术和科学。这次讨论使我们的听众更好地理解了威胁形势，并了解了他们应该考虑什么来降低妥协的风险。希望这将鼓励人们评估他们的安全架构，以更协调他们所面临的风险。

相关文章
在queue.acm.org

网络犯罪2.0:当乌云变暗
Niels Provos, Moheeb Abu Rajab和Panayiotis Mavrommatis
http://queue.acm.org/detail.cfm?id=1517412

《刑法:网络罪犯的形成
托马斯·瓦德洛和弗拉德·戈利克
http://queue.acm.org/detail.cfm?id=1180192

网络犯罪:一种流行病
团队经营户
http://queue.acm.org/detail.cfm?id=1180190

回到顶部

数字图书馆是由计算机协会出版的。版权所有©2010 ACM, Inc。

---

评论

---

显示1评论