风险报告最佳的用途是用来评估IT安全政策并进行内部教育

Melissa(美丽莎)蠕虫是史上最为多产的email病毒之一，它招来骂名是因为它把自己转发给在微软Outlook地址簿中发现的前50个受害者。今年早些时候，安全研究员们庆祝了它的10岁生日，Melissa诞生之后的10年内，我们见证了病毒，木马，SQL注入，垃圾邮件，钓鱼以及强迫下载的发展壮大。来自反恶意软件行业供应商的安全风险报告层出不穷。最近，McAfee公司和Symantec公司的MessageLabs发布的报告，以及微软的Security Intelligence Report（《安全情报报告》），都关注了恶意行为。尽管这些报告都总结了观察到的攻击行为──攻击的类型和地理特征──在我看来，只有微软为IT人士提供了有用的策略，缓解和抗击手段来保护计算资源。如果安全产品工作正常，我们就不需要这些报告了；不过，他们提供了有趣的分析，尽管并不是所有时候都是可行的。例如，我们通常认为部分的亚洲地区和东欧地区在电脑犯罪方面处于相对的法律真空状态，但是McAfee的研究提醒我们，美国占据了全世界具有恶意记录Web服务器中的45%，以及全世界已经发现的钓鱼网站中的46%，所以Web安全工作仍任重道远。另外的有趣的地方是，Symantec阐释的动态攻击流程，他们报告说他们封锁的网站有三分之一只有不到1个月的历史，还有就是微软声称Windows Vista SP1的感染率比Window XP SP3低62%，这可能表明了微软的SDLC程序的效果。安全专家们应该小心阅读这些风险报告。他们是厂家的市场推广材料，设计的目的就是将厂家的研究团队塑造成业界专家，并给厂家带来竞争优势。报告的结果仅仅体现该厂家的关注点，并带有对其业务的偏袒成分。安全专家可以通过收集多个厂家的风险报告来看清全局，并将风险等级和自身的业务相对应。例如，一个使用独立在家庭环境的Windows的工作组，和一个在办公室LAN环境中使用共享设备的工作组，应该使用不同的安全机制。这些报告可以用来教育你的用户。Symantec提醒我们垃圾邮件和钓鱼攻击随特定的事件增加，例如万圣节、圣诞、报税以及名人健康问题（celebrity health issues）。可以从一系列的风险报告中提取最近的例子和统计信息来教导你的用户如何识别社会工程攻击的网络安全威胁。技术无法捕捉所有的攻击，但是一个警觉的用户可以通过用户接口来挫败那些攻克安全防线的攻击。IT人士也可以利用报告来佐证和恶意软件保护、漏洞管理和虚拟化相关的预算请求。这些风险报告被设计来提高对供应商产品的需求以应对愈加危险的因特网。例如，微软报告说针对微软Office的应用级别的攻击利用的是3年前就应该通过补丁修正的漏洞。IT人士可以利用这一信息来强调应用级别的补丁和漏洞管理的重要性，并争取得到家用电脑服务提供商的帮助，或者和跨部门的小组协同工作来评估IT控制的虚拟桌面。由于自10年前Melissa病毒诞生以来，基于Web的威胁从未减少过，让我们希望在某个时候，因为安全软件起到了它们应有的作用，厂家提供的风险报告会显示各类攻击出现减少趋势。至少，在安全业界研究解药的同时，更多厂家需要提供保护性措施的建议。目前，各主流厂家正在提供的风险报告最佳的用途是用来评估IT安全政策并进行内部教育。