理想的入侵防御是防御过程与人的结合

　　一个拥有3.9万名雇员和数千台计算机设备的全球星IT服务公司肯定是数字亡命之徒希望攻击的目标。但是，哪一种攻击最可能使安全主管晚上睡不着觉呢?位于慕尼黑的西门子公司旗下的西门子商务服务公司的首席信息和安全官Dave Bixler列出了下列三种攻击:

　　·间谍软件

　　·带有容易被破解的口令的笔记本电脑被盗窃或者丢失。这种口令使用任何在线工具都能够在几分钟之内被破解。

　　·雇员把敏感文件拷贝到U盘中，然后把那个U盘弄丢了。

　　Bixler说，你参加任何会议都会发现人们把U盘丢得到处都是。我敢肯定人们丢在飞机上或者饭店房间中的U盘都存储着数据。我非常担心我的数据会去哪里，以及如何保证我的数据不去我不希望它去的地方。

　　并非Bixler一个人是如此。在今年2月份SearchSecurity.com网站对307位IT专业人员进行的有关他们入侵防御计划的调查中，大多数受访者表示他们最担心的是内部使用计算机设备习惯不好的人会使敏感的数据处于风险之中以及间谍软件和其它恶意软件。这些威胁是他们最希望自己的入侵防御工具能够解决的问题。但是，他们对这个结果总是不满意。

　　Bixler说，间谍软件是一个非常严重的问题，因为杀毒软件厂商基本上使我们失望。主要厂商正在加紧努力，但是对于我来说，他们已经晚了两年了。间谍软件是另一种形式的病毒。我最希望能够在每一个人的台式电脑中都有另一种工具对付这种另类的病毒。

　　担心的问题

　　在回答他们最希望自己的入侵检测工具在哪些方面有所改善的问题时，35.6%的受访者表示，他们要更好地检测和防御内部的威胁，如雇员滥用政策规定和向U盘下载专用的信息等。

　　32%以上的受访者表示，他们要更好地防御间谍软件、减少检测错误率和能够把严重的攻击和网络噪声分开的能力。30%的受访者要求有更好的方法检测未知的/零日攻击。25.8%的受访者要求有更好的病毒和蠕虫防御功能。25.2%的受访者需要把安全漏洞和威胁关联起来。

　　在回答促使他们更换不同的IDS/IPS厂商的原因是什么的问题时，45.4%的受访者表示，不同厂商的产品必须能够更好地检测和防御攻击。35%的受访者表示，如果不同厂商的产品更容易安装和管理，他们就改用那个厂商的产品。

　　如果另一家厂商的产品提供更广泛的安全功能和性能，33%的受访者会转换到这家厂商的产品。32%的受访者表示，如果另一家厂商的产品能够更好地与企业基础设施集成在一起，他们就愿意转换到那个厂商的产品。25.2%的受访者表示，如果另一家厂商的产品能够比他们目前使用的工具提供更多的安全功能而且价格更便宜，他们就愿意转换到那家厂商的产品。

　　在Bixler最担心的全部内部威胁中，移动设备并不总是排在前面的。这个情况有一天发生了变化。一位离职的雇员上交了一台笔记本电脑，但是，没有告诉IT工作人员这台笔记本电脑的口令。

　　Bixler说，我到互联网上寻找免费软件破解这台笔记本电脑的管理员口令。我只用了8分钟的时间就用Google搜索到了一个恰当的工具破解了这个口令。我还是一边打电话一边做的这个事情。而且我并不很擅长做这件事情。

　　Jeremy Martin能够理解为什么IT专业人员对内部威胁那么担心。他是科罗拉多州科罗拉多斯普林斯的一个入侵测试员。他在工作时间设法突破大型商业企业和美国国防部等政府部门的网络。

　　在发现全部安全漏洞之前，他首先进行基本的扫描，然后找到进入网络的方法。他在业余时间还尝试了社会工程学，发出钓鱼攻击的电子邮件，看看是否有人会打开这种电子邮件。他的目的是向客户展示他们在安全方面最大的弱点在哪里以及入侵者是如何进来的。

　　Martin说，遗憾的是大多数机构的最大的弱点是用户的教育问题。人们在打开这类电子邮件。人们写下他们的口令或者反复使用同样的口令。

　　至于间谍软件，Martin说，大多数严重的间谍软件爆发时间都可以追溯到用户使用计算机设备的不良习惯。

　　间谍软件是这样一个问题:人们打开不应该打开的电子邮件或者访问不应该访问的网站，间谍软件就趁这个机会下载到用户的计算机中了。

　　忠告的话