趨勢一(One):漏洞發現得更快
每一(One)年報告給CERT/CC的(Of)漏洞數量都成倍增長。CERT/CC公布的(Of)漏洞數據2000年爲(For)1090個(Indivual),2001年爲(For)2437個(Indivual),2002年已經增加至4129個(Indivual),就是說網站建設每天都有十幾個(Indivual)新的(Of)漏洞被發現。可以(By)想象,對于(At)管理員來(Come)說想要(Want)跟上補丁的(Of)步伐是很困難的(Of)。而且,入侵者往往能夠在(Exist)軟件廠商修補這(This)些漏洞之前首先發現這(This)些漏洞。随着發現漏洞的(Of)工具的(Of)自動化趨勢,留給用(Use)戶打補丁的(Of)時(Hour)間越來(Come)越短。尤其是緩沖區溢出(Out)類型的(Of)漏洞,其危害性非常大(Big)而又無處不(No)在(Exist),是計算機安全的(Of)最大(Big)的(Of)威脅。在(Exist)CERT和(And)其它國(Country)際性網絡安全機構的(Of)調查中,這(This)種類型的(Of)漏洞是對服務器造成後果最嚴重的(Of)。
趨勢二:攻擊工具的(Of)不(No)斷複雜化
攻擊工具的(Of)編寫者采用(Use)了比以(By)前更加先進的(Of)技術。攻擊工具的(Of)特征碼越來(Come)越難以(By)通過分析來(Come)發現,并且越來(Come)越難以(By)通過基于(At)特征碼的(Of)檢測系統發現,例如防病毒軟件和(And)入侵檢測系統。當今攻擊工具的(Of)三個(Indivual)重要(Want)特點是反檢測功能,動态行爲(For)特點以(By)及攻擊工具的(Of)模塊化。
1.反檢測。攻擊者采用(Use)了能夠隐藏攻擊工具的(Of)技術。這(This)使得安全專家想要(Want)通過各種分析方法來(Come)判斷新的(Of)攻擊的(Of)過程變得更加困難和(And)耗時(Hour)。
2.動态行爲(For)。以(By)前的(Of)攻擊工具按照預定的(Of)單一(One)步驟發起進攻。現在(Exist)的(Of)自動攻擊工具能夠按照不(No)同的(Of)方法更改它們的(Of)特征,如随機選擇、預定的(Of)決策路徑或者通過入侵者直接的(Of)控制。
3.攻擊工具的(Of)模塊化。和(And)以(By)前攻擊工具僅僅實現一(One)種攻擊相比,新的(Of)攻擊工具能夠通過升級或者對部分模塊的(Of)替換完成快速更改。而且,攻擊工具能夠在(Exist)越來(Come)越多的(Of)平台上運行。例如,許多攻擊工具采用(Use)了标準的(Of)協議如IRC和(And)HTTP進行數據和(And)命令的(Of)傳輸,這(This)樣,想要(Want)從正常的(Of)網絡流量中分析出(Out)攻擊特征就更加困難了。
趨勢三:攻擊過程的(Of)自動化與攻擊工具的(Of)快速更新
攻擊工具的(Of)自動化程度繼續不(No)斷增強。自動化攻擊涉及到(Arrive)的(Of)四個(Indivual)階段都發生(Born)了變化。
1.掃描潛在(Exist)的(Of)受害者。從1997年起開始出(Out)現大(Big)量的(Of)掃描活動。目前,新的(Of)掃描工具利用(Use)更先進的(Of)掃描技術,變得更加有威力,并且提高了速度。
2.入侵具有漏洞的(Of)系統。以(By)前,對具有漏洞的(Of)系統的(Of)攻擊是發生(Born)在(Exist)大(Big)範圍的(Of)掃描之後的(Of)。現在(Exist),攻擊工具已經将對漏洞的(Of)入侵設計成爲(For)掃描活動的(Of)一(One)部分,這(This)樣大(Big)大(Big)加快了入侵的(Of)速度。
3.攻擊擴散。2000年之前,攻擊工具需要(Want)一(One)個(Indivual)人(People)來(Come)發起其餘的(Of)攻擊過程。現在(Exist),攻擊工具能夠自動發起新的(Of)攻擊過程。例如紅色代碼和(And)Nimda病毒這(This)些工具就在(Exist)18個(Indivual)小時(Hour)之内傳遍了全球。
4.攻擊工具的(Of)協同管理。自從1999年起,随着分布式攻擊工具的(Of)産生(Born),攻擊者能夠對大(Big)量分布在(Exist)Internet之上的(Of)攻擊工具發起攻擊。現在(Exist),攻擊者能夠更加有效地發起一(One)個(Indivual)分布式拒絕服務攻擊。協同功能利用(Use)了大(Big)量大(Big)衆化的(Of)協議如IRC(Internet Relay Chat)、IR(Instant Message)等的(Of)功能。
