06八大安全新聞和07安全形勢展望

　2006年對於信息安全行業來說是充滿令人激動情節的一年。2006年一開始就出現了基於微軟WMF安全漏洞的攻擊，2006年結束時出現了垃圾郵件攻擊的衝擊。微軟的Vista操作系統剛剛發布幾天就成了惡意軟體的攻擊目標，甚至基地組織也成為了重要新聞，因為基地組織威脅要對金融機構網站進行網路攻擊。

　　下面扼要重述一下2006年值得關注的信息安全威脅：

　　1.微軟發布應急補丁防禦WMF安全漏洞

　　大多數安全管理員正在歡度聖誕節和新年之間的假期的時候，發現了一個安全漏洞。這個安全漏洞能夠讓攻擊者利用圖形文件注入惡意代碼。為了防禦這種攻擊，微軟2006年1月5日在每月發布補丁的周期之前提前發布了安全補丁，對一位獨立安全人員開發的未經授權的補丁做出了反應。

　　2.美國退伍軍人事務部遭到數據突破 2650萬老兵個人數據受影響

　　2006年5月，美國退伍軍人事務部一位僱員在家中丟失一台筆記本電腦，裡面存儲了2650萬美國老兵的社會保險號碼。這一事件促使許多公司重新考慮遠程辦公人員攜帶筆記本電腦的政策。2006年還發生了許多類似的數據突破事件，主要是丟失筆記本電腦和其它遠程設備。

　　3.RFID安全問題使消費者信息面臨風險

　　在2006年10，馬薩諸塞州大學的研究人員成功地破解了使用RFID晶元的信用卡，從而引起了有關存儲在RFID晶元中的數據的安全的爭論，特別是RFID信用卡的安全。

　　4.惡意軟體威脅Vista操作系統安全

　　安全公司Sophos在2006年11月宣布，11月份發現的惡意軟體有三分之一可能突破Windows Vista操作系統。這是在微軟發布Windows Vista企業版幾天之內發布的消息。

　　5.殭屍網路隊伍在2006年日益增長

　　到2006年第四季度，許多企業發現其電子郵件系統中有大量的垃圾郵件。這些垃圾郵件主要來自於日益增長的殭屍網路。

　　6.基地組織要對美國金融機構發動網路攻擊

　　2006年12月，美國計算機應急準備小組警告稱，基地組織可能對美國金融機構發動攻擊。但是，美國計算機應急準備小組後來沒有證實這個威脅。

　　7.美國地區法院對使用殭屍網路的一名男子判刑

　　美國洛杉磯地區法院對運行一個殭屍網路的男子James Ancheta判處57個月的監禁。這是美國首次對這類案件提出起訴。美國聯邦調查局在調查和逮捕了Ancheta之後，Ancheta在2006年5月被定罪。美國和歐洲議會還把反對網路犯罪的執法行動擴展到了反釣魚攻擊方面。這種釣魚攻擊多數來自於海外。

　　8.金融機構積極滿足FFIEC最後期限的要求

　　隨著2006年的結束，金融機構積極滿足FFIEC(聯邦金融機構檢查委員會)發布的在線銀行實施雙因素身份識別的2007年1月1日的最後期限的要求。這個旨在保護個人身份識別數據的規定稱，用戶ID和口令本身可能被破解，因此對於在線銀行安全來說是不充分的。

　　除了這些重要的新聞之外，還有一些數據突破、遵守法規問題、釣魚攻擊和普通的傷害人體罪以及災難等。間諜軟體仍是一個問題。能夠竊取口令的增強的特洛伊木馬程序和鍵盤記錄器等惡意程序更加流行了。

　　2007年還是如此嗎?

　　雖然2006年是一個充滿令人激動情節的一年，業內人士預計2007年還是如此，也許還會更糟糕。不過，還會有一些區別，主要是因為2007年緊縮的經濟將迫使許多企業仍以2006年同樣的預算和人力與這些更嚴峻的信息安全狀況作鬥爭。此外，信息安全專業人員將厭倦新的安全威脅和攻擊。

　　尼姆達(Nimda)、震蕩波(Sasser)和紅色代碼(Code Red)等年度著名病毒依然存在，但是，間諜軟體和能夠竊取用戶ID和口令的高級鍵盤記錄特洛伊木馬程序更引人注意。這些威脅在整個2007年不會減弱。同樣，殭屍網路在整個2007年將繼續增長並且威脅電子郵件的應用。如果殭屍網路影響消費者對電子郵件的信心或者打敗當前的反垃圾郵件技術，這個問題就需要一個解決方案。

　　網路攻擊(主要是釣魚攻擊)將繼續在整個2007年影響商業領域。銀行和其它金融機構將同以前一樣繼續是主要目標，但是，中小企業和更小的企業將受到有針對性的攻擊，很可能受到有針對性的釣魚攻擊。殭屍網路發送具有釣魚攻擊誘餌的垃圾郵件的繼續增長是推動這種攻擊增長的主要因素。

　　數據突破(有些是內部人員所為)將繼續是企業在2007年最擔心的問題。這主要是由於小型U盤、黑莓設備、筆記本電腦和無線設備等攜帶型設備的普及造成的。端點安全是一個巨大的重點，2006年企業在這個領域的增長就是一個證明。

　　最後，所有的眼光都關注微軟的Windows Vista，以及這個操作系統能否實現微軟所說的迄今為止最安全的操作系統的諾言。由於微軟的發布時間接近了年底，現在要說這個大肆宣傳的新安全功能是否能夠集成到企業環境之中還為時過早。

　　不管怎樣，對於安全專業人員來說，2007年將是又一個充滿令人激動情節的一年。