McKeachnie戰戰兢兢地為電子郵件即將碰上的威脅而準備著,他準備好所有能用得上的武器,寄件者黑名單、反垃圾郵件過濾、以特徵值為基礎的防毒引擎,儘管如此他還是覺得總是趕不上壞人的進步速度。
McKeachnie「這是我看過最糟糕的狀況!」,他現在擔任Utah Valley州立大學資訊基礎建設維運中心主任,在2004年初,McKeachnie發現防毒軟體公司每天至少更新2至3個惡意程式特徵,事實上唯一可以解釋的說法,就是防毒公司收到更多的樣本程式,而且在有限的時間內也只能夠辨識且發佈有限的病毒碼。
McKeachnie選擇了一項劃時代的科技,就是在虛擬機器環境中測試每一封電子郵件夾帶的附件檔案,阻擋並且隔離所有可能的惡意行為。Avinti的iSolation Server為Utah Valley大學帶來預防電子郵件攻擊的效益,減緩電子郵件夾帶後門程式攻擊的機率,讓學生可以在校園內各大電腦中心安心地完成他們的作業,McKeachnie打趣地說:『任何.dll的檔案都不可能逃過法眼』。
McKeachnie不是一位偏執狂,他僅是千萬個被電子郵件攻擊疲勞轟炸的IT及安全專家的寫照。
混合的快速攻擊模式
研究單位指出,目前垃圾郵件已經佔去整個電子郵件通訊將近70%的流量。更糟糕的是,這些郵件被應用在病毒、蠕蟲的傳播上,且不斷地演進成非常複雜的情況。為了躲避防毒軟體的偵測,惡意程式撰寫者常利用大量的垃圾郵件寄送技術作為傳播的手段,散播病毒、蠕蟲及木馬程式,用有趣的文字圖片吸引使用者到有問題的網站。被入侵的殭屍電腦也成為快速傳播這些問題郵件的溫床,在短短幾小時內就可以收成,將幾個惡意程式同時散播到上千部電腦中。
根據今年7月病毒廠商的聯誼研討會中發表,像這種攻擊的手法已經被應用在Goldun.BA及Beagle.BQ蠕蟲的活動上,在短短45分鐘到7小時間就已經散播出去。攻擊者看準防毒軟體在公布病毒碼上的速度趕不上利用電子郵件散播的速度,無法有效阻擋一波波的重擊,而且還有一些新的手法,就是在一天內散播好幾隻變種的惡意程式,讓防毒廠商措手不及。
根據賽門鐵課最新網路安全威脅報告指出,今年上半年針對Windows系統的惡意程式及其變種已經達到10,866隻,是去年同期的1.42倍。
問題為何會變的如此複雜?惡意程式作者和垃圾郵件寄送者彼此交換他們的心得及手法,在6月份約有將近百分之五十的常見惡意程式樣本,是因為大量垃圾郵件所夾帶且被隔離出來的。安全廠商也發現這些寄送垃圾郵件的來源,通常是已經遭入侵控制的殭屍電腦,還可受到駭客控制而發動阻斷服務攻擊,當然也可以寄出上百萬封的垃圾郵件──相對於在2004上半年,今年增加了140%。
Dave Cole,賽門鐵克安全應變中心主任說:「除了操控這些被感染的大型網路部隊之外,垃圾郵件發送者與網路釣魚手法持續翻新,甚至以亂數決定發送的內容與圖片。」
對於McKeachnie而言,使用虛擬機器做為電子郵件檢測的方式,著實減輕了對於郵件攻擊的頭痛問題。至今,這個系統持續穩定地運作,每天可以處理50,000 到100,000封郵件,其中70%是針對該大學所發送的垃圾郵件、病毒與非預期的信件。因為這些問題郵件能夠被準確地攔截下來,垃圾郵件與病毒的問題也隨之減輕許多。
雖然阻擋這些郵件難免會發生誤判,不過這是預期中要付出的一點代價,比起更多夾帶惡意攻擊程式的郵件來說,是符合成本效益的。基於聯邦政府的法規要求,企業的安全管理者必須負有保護財務、醫療資訊的可用性、機密性與隱私的責任,比起防護電子郵件來說責任更加重大,而且必須投入更多成本。
儘管目前可以透過防毒與防垃圾郵件等科技,管理並封鎖多數的夾帶惡意程式郵件,不過我們仍需更高階的防禦機制來對抗更新穎、更快速的威脅攻擊,像今年8月爆發大量複製並透過郵件發送的Zotob.C蠕蟲。
Mark Pfefferman也是眾多為此頭痛不已的管理者之一。他不斷地在眾多防垃圾郵件、防毒的過濾功能中追尋最佳的防禦組合。他說:「我們都知道依賴單一防禦措施是不實際的想法。」Western & Southern Financial Group每年都要提供至少2億美金的財務與保險服務,而Pfefferman身為電腦服務中心主任,每年要為企業內4,200部電腦來對抗病毒與垃圾郵件的襲擊,所以他採用多層次的防禦機制,包括阻擋有惡意程式的電子郵件以及設定好幾百條規則的防火牆。
郵件過濾機制
去年10月,Western & Southern採用IronPort C60郵件安檢設備,應用防毒的過濾機制,辨識及阻擋垃圾郵件和病毒、分析寄件來源以及郵件內容、阻擋隔離任何從黑名單來源寄出與帶有惡意程式的郵件。對Pfefferman而言,IronPort的Virus Outbreak過濾功能提供了一個早期預警、智慧型隔離惡意郵件的服務。而且在防毒軟體病毒碼更新之前,提供一個預防的措施。
歷經4個月的部署,IronPort成功地阻擋了一千五百萬封垃圾郵件以及3,400隻惡意程式,『你可以看到她如何料理一個週末下來所累積的上千封垃圾郵件。』IronPort的advanced virus warning system也是一項非常受歡迎的預警防禦措施,通常一個月會收到好幾次的疑似病毒警示通知,這些有問題的郵件會等到防毒軟體釋出病毒碼之後才會放行。
Joel Snyder 說:「IronPort的早期預警過濾功能,在病毒碼釋出前的10到12小時前通知企業用戶,並且將這些郵件先隔離。」Joel Snyder是Opus One公司的資深合夥人,Tucson地區的網路與安全顧問公司。這些過濾功能在阻擋垃圾郵件的議題上,已經被證實是非常有效的。
針對性的釣魚攻擊手法
安全經理與分析師最近都發現一項趨勢,就是他們發現到這種針對特定目標的郵件與釣魚攻擊,在數量上已經漸漸升高,尤其是以財務服務企業與銀行為對象。Gene Fredriksen說:「我們發現許多偽造內部員工發出的電子郵件,目的在於竊取帳號密法以及吸引使用者到有問題的網站。」Gene是Raymond James and Associates的資安副總裁。
Gartner 的Pescatore說:「在這些數以千計的針對性攻擊郵件中,通常有幾封郵件比較特殊,騙徒運用一些小技巧,騙過各種垃圾郵件過濾器。傳統的黑白名單與郵件過濾器完全無法偵測到這一類的手法。」但是微軟的Internet Explorer 7所提供的反釣魚工具列,可以在用戶即將連上釣魚網站前阻擋進一步的連線行為,以及檢驗出包含在郵件中的惡意連結。
對Fredrikson來說這可是天大的好消息,他說:「釣魚攻擊對於企業的形象有極大的破壞力,我們樂於嘗試任何可以促進企業外部及邊界安全的科技。」
面對網路釣魚攻擊,不僅企業辛苦建立的形象岌岌可危,加上最近常發生的個人身份資訊外洩,著實給了電子商務一個重擊。Gartner年初的一份報告顯示,電子商務若失去信賴機制,會壓縮3%以上的成長率以及斷送上億美金的營收。
Dan Lissek,Holme Roberts & Owen國際法律事務所資訊長,深深體認到電子郵件的危機,他曾經預測到2003年底,有30%的郵件會被垃圾郵件與釣魚郵件佔據。
不過這個數字到了2004年初已經攀升到70%,對於分秒必爭的行業而言,企業內215位律師每天必須花30分鐘來過濾垃圾郵件,實在不是個好消息。同時,Lissek的IT同仁也必須花時間回應員工對於郵件的質疑和完成垃圾郵件的過濾報告。Lissek說:「我們必須採取行動,有效協助IT部門管理內部的郵件過濾系統,拋開這個非常無效率且人力密集的重擔。」
在2003年,他們採用MX Logic的郵件防禦委外服務,但是又得擔心一些法律文件會被過濾掉,因此沒有將過濾的等級設定的太嚴格。不過,後來Lissek發現必須將過濾器設定成最嚴謹的狀態,這樣他們的員工才不必花時間在自行過濾郵件上。
這個賭注算是成功了。Lissek說:「現在我們的郵件伺服器管理者、技術支援經理和員工,都不需要浪費時間在這上面,而我們的律師也回復到正常的工作效率。」
Richard Smith,是R.W. Smith & Associates的資訊科技部門主管,他們提供券商與銀行間的交易服務。他採取儲存所有郵件的策略,為了不讓郵件帶來的蠕蟲與病毒影響證券交易員的工作,並且因應法規的要求,他們採用開放原碼的SpamAssassin與ClamAV,來完成防毒與防垃圾郵件的工作。像在華盛頓地區Kirkland,每個月會收到33,000至68,000封電子郵件,必須要確定這些郵件沒有問題,沒有夾帶病毒或蠕蟲。這兩樣工具雖然不是全能的,偶爾還是會漏掉一兩隻小魚,不過也已經滿足了大部分的需求。Smith認為這樣已經足夠了。因為Smith最關心的是,當法律調查人員來檢查時,能夠確認每個交易員的通訊報告這些資料是完整無誤的。所以這也是他們採用Captaris的Exchange Archive Link,備份儲存所有對內對外的電子郵件,這個系統讓他們可以完整複製所有的郵件通聯紀錄而不影響使用者的工作。
根據證券法規的要求,所有財務相關機構必須確保他們的電子郵件能夠完整地備份下來,可以隨時檢索與搜尋的。Smith說:「但是法規裡面沒說哪些郵件是可以被忽略的、哪些是不可以被忽略的。所以只好將所有郵件的完整地備份下來。」
通常調查人員可能會要求Smith將郵件整個複製一份,藉由Captaris的功能,他還可以搜尋、瀏覽與排序,輸出到像是DVD之類的儲存媒介上,再交給稽核員使用。整個系統就是用來作郵件備份,包含硬體、軟體與訓練費用約美金13,000。Smith說:「這個ROI大概3個月就打平了。」
實際上,在安裝完成上線那一刻,就已經快速的呈現其投資報酬的效益。不僅可以應付企業年度的外部稽核,而且還可以滿足經常來拜訪的調查人員。
當他們要求一份特定區間的郵件備份時,不會去過問哪些郵件是垃圾郵件,他們要看到的是完整的資料,而且是沒有例外的。很幸運地,透過Captaris的系統,Smith能夠滿足稽核員的要求,提供完整的郵件通訊記錄。如果沒有這套系統,我們是無法在要求的時間內做到的。
當初,也沒有人會預料到,法規要求的落實是如此倉促,而且也沒想到病毒、蠕蟲會以電子郵件為媒介來散播。而安全研究專家也預測,惡意程式作者和垃圾郵件,會使用一些小技巧避開防毒軟體,並且發展出快速寄送大量郵件的手法。相關的防禦機制,相信仍是IT界最熱門的產品之一。
而且這與用戶在什麼平台上收電子郵件無關,因為安全研究專家表示,開始有些針對PDA與智慧型手機的惡意程式已經開始流行,在2004年末McAfee已經發現至少五隻針對手機等移動裝置的木馬程式與病毒。到了今年第一季,這個數字已經成長到50隻左右。
儘管電子郵件夾帶的病毒或垃圾郵件對於行動裝置已經造成不少問題,Lissek已經著手要面對這些威脅。Lissek說:「我從沒說過我們是百分之百安全的,但是我們總是會靈敏地嗅出最新動態,在下個威脅出現之前預先做好防禦準備。」這是每位站在收件匣前的守門員應有的態度與認知。