Check Point 协助CIO大战僵尸网络

逍遥王

　　如今，僵尸网络主要被当作一种进入企业的后门程序。 一旦进入，黑客们就会以静默方式存在，并在被发现前窃取尽可能多的信息。但不幸的是，僵尸网络一般都比较隐秘，很多公司甚至都意识不到自己的计算机被感染了，而安全团队也经常不了解僵尸网络所带来的威胁。

　　僵尸网络是攻击者出于恶意目的，传播僵尸程序以控制大量计算机，并通过一对多的命令与控制信道所组成的网络，它使得网络犯罪分子能控制计算机并进行非法活动，包括窃取数据、未经授权获取网络资源、发动拒绝服务攻击（DoS）或发送垃圾邮件等。僵尸网络最主要的特点，就是可以一对多地执行相同的恶意行为，比如可以同时对某目标网站进行分布式拒绝服务攻击，同时发送大量的垃圾邮件等，而正是这种一对多的控制关系，使得攻击者能够以极低的代价高效地控制大量的资源为其服务，这也是僵尸网络近年来受到黑客青睐的根本原因。在执行恶意行为的时候，僵尸网络充当了一个攻击平台的角色，这也就使得僵尸网络不同于简单的病毒和蠕虫，也与通常意义的木马有所不同。其次，在伪装及用户不知情的情况下操作，僵尸网络可以根据网络罪犯的命令快速改变犯罪行为 。所以与一般病毒相比，僵尸网络更难检测，带来的风险也更大，一般的防病毒软件并不能检测或预防僵尸网络。

　　现在，僵尸网络已感染了数千至超过100万个系统，通常网络罪犯会利用僵尸网络侵入计算机来进行非法且具有破坏性的活动，包括窃取资料、访问未授权的网络资源、发起拒绝服务(DoS)攻击或者发送垃圾邮件。因此，僵尸网络近年成为让CIO头疼的安全问题。

　　Check Point最近发布的《网络犯罪对商业活动的影响》(The Impact of Cybercrime on Businesses)1的调研报告显示，在过去两年， 33%的受访者称他们经历过僵尸网络攻击。

　　澳大利亚媒体与通信署（ACMA）的调查显示，截至去年11月底，澳大利亚每天都会有20873个僵尸网络感染，与五个月前的11650个相比，增幅惊人。

　　而根据独立网络犯罪监控机构Netsafe的数据，在新西兰大约有55000台计算机感染了僵尸网络病毒。而Netsafe发现，新西兰45%的ISP都监测到互联网流量受到了包括僵尸网络在内的安全威胁，而这55000台感染的计算机中，很可能有很大一部分的家庭用户都不知道自己的互联网连接已经感染了这些僵尸网络。

　　这些安全威胁是动态的,它们可以根据网络罪犯的命令快速改变犯罪行为, 而这仅需要使用网络售价为500美元的工具包。从所有这些因素中,不难发现僵尸网络是无孔不入的。

　　僵尸网络的影响

　　了解僵尸网络的危害对于保护企业免受侵害非常关键。去年，New Scientist 就曾报道，有450多万台运行Windows系统的计算机感染了TDL-4僵尸网络病毒。 除此之外，Check Point研究显示，约有近一半的IT安全专业人士也曾遭遇过恶意软件的攻击。

　　恶意软件现在已形成了一个很大的业务网络，而网络犯罪分子也不再是孤立的业余人士。他们搜集大量的情报，投入时间和资源去执行可导致数百万美元损失的僵尸网络。

　　企业机构正在面临一个由各种类型的恶意软件组成的“动物园”，从而需要应对广泛的安全威胁，包括病毒、蠕虫、特洛伊木马、间谍软件、广告软件和僵尸网络等。 另外，僵尸网络从本质上具有多种形态，可以模仿正常的应用程序和流量模式，仅仅使用防病毒软件等基于签名的解决方案难以单独防御僵尸网络。

　　CIO如何解决僵尸网络

　　传统的安全措施已经不足以阻止这些威胁，CIO需要采取不同的方法来对付僵尸网络。企业只有采取多层次的保护, 结合先进的技术、强大而全面的安全策略和方法，才能阻止被感染的主机和远程操作免受损失。

　　首先要确保企业在每个安全网关都整合了防病毒软件。 这一预防僵尸网络的多层方法可以阻止恶意软件的威胁。

　　另外，僵尸网络预防必不可少的一点是确保所有业务通信渠道是安全的，对外部用户是关闭的。现在获取企业数据有多种途径，包括基于浏览器的漏洞、移动电话、恶意附件和可移动的介质，所以为员工提供关于僵尸网络威胁以及如何防御的培训是保护企业的最重要途径之一。

　　未来的僵尸网络攻击

　　过去，大多数常见的僵尸网络都运行在Windows计算机中。而现在，Linux和Mac系统也未能幸免。 新的僵尸网络变体是跨平台的，业界将出现更多的Apple、Android和其他基于移动技术的僵尸网络，它们通过3G或Wi-Fi网络去命令和控制服务器(C&C)通信。

　　而且，伴随着Twitter等社交网络的流行，网络犯罪分子可以很快找到攻击目标，不会因为管理整个服务器而产生费用。

　　可以预见的是未来几年中，僵尸网络还会继续扩张。充分了解网络罪犯的攻击目标有助于CIO为此类攻击做好准备。

　　安装防毒软件和通过强有力的策略提高员工的认知能力都是很好的办法，这可以防止员工在使用社交网络时产生业务风险。

　　Check Point认为CIO们只有把技术、政策、和人员三者相结合，才能有效预防僵尸网络的攻击，满足现今企业深度防御的需要。首先，人员是安全流程中的关键部分，他们应当是企业安全的首道防线。教育员工充分了解安全环境及企业的安全策略并部署先进的解决方案来帮助员工参与安全进程至关重要。

　　其次，配合先进的安全技术，从预防、发现到阻止各个阶段做好全面部署，才能将僵尸网络的风险降到最低。Check Point反僵尸网络软件刀片，能抵御各种僵尸网络及APT（高级持续威胁）威胁。它能帮助客户发现僵尸网络，并阻止受感染的主机与远程操作者之间的通信来防止损失，为企业提供多层次的僵尸网络防御，以抗击恶意软件的威胁，其处理信息流量高达40 Gbps，因此能确保所有业务沟通渠道的安全。

　　备注1：报告《网络犯罪对商业活动的影响》调查了位于美国、英国、德国、香港和巴西的2,618多位高层管理者和IT安全管理员。该调查样本代表所有规模的企业并跨越多个行业，包括金融、工业、国防、零售、医疗和教育。 [硅谷动力]