趨勢一:漏洞發現得(de)更快
每一年報告給CERT/CC的漏洞數(shù)量都成倍增長。CERT/CC公布的漏洞數(shù)據2000年為(wèi)1090個(gè),2001年為(wèi)2437個(gè),2002年已經增加至4129個(gè),就是說網站(zhàn)建設每天都有(yǒu)十幾個(gè)新的漏洞被發現。可(kě)以想象,對于管理(lǐ)員來(lái)說想要跟上(shàng)補丁的步伐是很(hěn)困難的。而且,入侵者往往能夠在軟件廠商修補這些(xiē)漏洞之前首先發現這些(xiē)漏洞。随着發現漏洞的工具的自動化趨勢,留給用戶打補丁的時(shí)間(jiān)越來(lái)越短(duǎn)。尤其是緩沖區(qū)溢出類型的漏洞,其危害性非常大(dà)而又無處不在,是計(jì)算(suàn)機安全的最大(dà)的威脅。在CERT和(hé)其它國際性網絡安全機構的調查中,這種類型的漏洞是對服務器(qì)造成後果最嚴重的。
趨勢二:攻擊工具的不斷複雜化
攻擊工具的編寫者采用了比以前更加先進的技(jì)術(shù)。攻擊工具的特征碼越來(lái)越難以通(tōng)過分析來(lái)發現,并且越來(lái)越難以通(tōng)過基于特征碼的檢測系統發現,例如防病毒軟件和(hé)入侵檢測系統。當今攻擊工具的三個(gè)重要特點是反檢測功能,動态行(xíng)為(wèi)特點以及攻擊工具的模塊化。
1.反檢測。攻擊者采用了能夠隐藏攻擊工具的技(jì)術(shù)。這使得(de)安全專家(jiā)想要通(tōng)過各種分析方法來(lái)判斷新的攻擊的過程變得(de)更加困難和(hé)耗時(shí)。
2.動态行(xíng)為(wèi)。以前的攻擊工具按照預定的單一步驟發起進攻。現在的自動攻擊工具能夠按照不同的方法更改它們的特征,如随機選擇、預定的決策路徑或者通(tōng)過入侵者直接的控制(zhì)。
3.攻擊工具的模塊化。和(hé)以前攻擊工具僅僅實現一種攻擊相比,新的攻擊工具能夠通(tōng)過升級或者對部分模塊的替換完成快速更改。而且,攻擊工具能夠在越來(lái)越多(duō)的平台上(shàng)運行(xíng)。例如,許多(duō)攻擊工具采用了标準的協議如IRC和(hé)HTTP進行(xíng)數(shù)據和(hé)命令的傳輸,這樣,想要從正常的網絡流量中分析出攻擊特征就更加困難了。
趨勢三:攻擊過程的自動化與攻擊工具的快速更新
攻擊工具的自動化程度繼續不斷增強。自動化攻擊涉及到的四個(gè)階段都發生(shēng)了變化。
1.掃描潛在的受害者。從1997年起開(kāi)始出現大(dà)量的掃描活動。目前,新的掃描工具利用更先進的掃描技(jì)術(shù),變得(de)更加有(yǒu)威力,并且提高(gāo)了速度。
2.入侵具有(yǒu)漏洞的系統。以前,對具有(yǒu)漏洞的系統的攻擊是發生(shēng)在大(dà)範圍的掃描之後的。現在,攻擊工具已經将對漏洞的入侵設計(jì)成為(wèi)掃描活動的一部分,這樣大(dà)大(dà)加快了入侵的速度。
3.攻擊擴散。2000年之前,攻擊工具需要一個(gè)人(rén)來(lái)發起其餘的攻擊過程。現在,攻擊工具能夠自動發起新的攻擊過程。例如紅色代碼和(hé)Nimda病毒這些(xiē)工具就在18個(gè)小(xiǎo)時(shí)之內(nèi)傳遍了全球。
4.攻擊工具的協同管理(lǐ)。自從1999年起,随着分布式攻擊工具的産生(shēng),攻擊者能夠對大(dà)量分布在Internet之上(shàng)的攻擊工具發起攻擊。現在,攻擊者能夠更加有(yǒu)效地發起一個(gè)分布式拒絕服務攻擊。協同功能利用了大(dà)量大(dà)衆化的協議如IRC(Internet Relay Chat)、IR(Instant Message)等的功能。
