七步解决即时通信安全问题
晓 黎/编译
只要对一些步骤进行依葫芦画瓢,仅依靠个人力量就有可能把即时通信工具病毒拒之门外。
目前在美国,IM(即时通信工具)的普及程度与路边旅店客房中臭虫的密度有得一拼。曾几何时,它随某些职员的爱好而潜入公司内部,出现在其中的电脑桌面上,此后便一发不可收拾。到现如今,它早已成为员工手中用于传递商业往来信息的流行利器,当然,也不能排除使用者用它交换晚上消遣安排的可能。
然而,IM在办公室的普及触及的更大问题是:它对一个公司的安全构成了威胁。为此又引发了网上那些伺机寻找新攻击目标的“吸血鬼”们的一阵骚动。IM中的蠕虫病毒传播速度之快,让传统的电子邮件攻击为之黯然失色。IMlogic总裁兼CEO Francis deSouza分析道:“身手最快的电子邮件攻击要花上大约10小时才能波及50万个站点,而在IM方面,实现类似的攻击效果只需要5~7分钟。”根据反病毒公司Sophos的说法,此前排名第二的病毒就是通过iChat聊天工具蔓延传播开的。但不要过于担心,信息安全管理人员认为,即便只依靠个人力量也能把IM病毒拒之于公司门外。而下文所述内容则是在IM流行的大背景中,如何依葫芦画瓢般遵循几条步骤实现IM网络的安全化。
安全现状令人担忧
来自市场研究机构Radicati的报告显示,IM目前已经在85%的企业中得到普及应用,而每天通过IM发送的消息也会从2004年的114亿条激增至2008年的458亿条。现在,IM不再是十几岁小毛孩谈恋爱的工具,或是电视剧情节中的玩具。
在这种情况下,若能对IM加以正确应用,对企业生产力的提高确实能起到促进作用。纽约证券交易所的首席技术执行官Steve Rubinow分析道:“从综合开放的角度来看,更少的员工人数、更低的运行开支以及更高的产出效率都是我们一直努力试图实现的目标,为此,只要是对工作有利,我们便会为人们提供尽可能多的使用工具,这其中就有IM!”Amerex能源经纪公司的首席信息执行官Brian Trudeau是一个坚定的IM支持者,原因是其公司里的一些经纪人都依赖IM进行工作。他说:“把IM看作是伴随整个产业成长的一个有机组成部分也不为过,你现在若是没有一款IM工具的操作知识,兴许就会被上司责备,它不像是电子邮件那样需要有个等待的过程,能即时地传输信息是它带来的最美妙体验。”
如今瞬息变幻的商业环境将IM打造成一个赢家,但与电子邮件相比,IM所使用的传输途径更容易遭到恶意软件的攻击,这是亟需让信息安全管理者和IT界领袖们所认识的威胁。但正像某些人所说的,其中的某些症结在于:一旦提到工作场所中的IM安全问题,很多人总是抱有亡羊补牢的消极心态。不过,在被问及自己公司的IM安全状况时,IM安全公司Facetime的总裁兼首席执行官Kailash Ambwani表示:“几乎没有什么问题,员工们都清楚在这件事上自己所应该做的,而换到一年或半年前,根本不存在这样的认识。”
安全隐患真实地存在于我们生活当中,目前在各公司中处于支配地位的IM网络不外就是AOL、Yahoo和MSN、QQ等几个,它们基于不安全的公共网络系统,员工们尽可以不受限制地免费下载它们的客户端。
这导致恶意软件迅速传播。IMlogic的危机预警中心称,2005年已报告的新出威胁事件相比过去有1693%的增长,其中包括2403起独立性质的IM和点对点传输威胁事件,而在与IM相关的攻击事件中,有90%涉及蠕虫病毒传播,而且人们又注意到混合式攻击的数量也出现了戏剧性增长态势。除此以外,IM还为员工有意或无意间向公司外部传输涉及知识产权的文件创造了极端简便的条件。
按步骤解决
尽管现状令人堪忧,但未必没有出路。按以下列举的步骤行事,至少会让你在晚上睡得更安稳些。但是要看清楚的是,假如你不能做到最基本的第一条和第二条,那最终效果将大打折扣。
1.找出公司中有多少IM正在运行
在解决IM安全问题前,最好先搞清楚一些具体的情况。比如,有谁在用IM?用的是何种类别的公共网络?传输量是多少?他们在网上做什么,是玩游戏还是传输文件,或是在争论一些问题?清楚了这些,你就可以使用网络工具设定许多的条条框框来进行限制,或是选择一款针对IM安全的工具,借此对公司内部的IM使用行为进行直接干预。
2.在IM问题上确立自己的态度
首先要问问自己,我们应允许IM的存在还是禁止它?当然对于这一令人头痛的问题,最简单的处理办法就是一纸禁令。IM安全公司Akonix负责市场和客服的副总裁Don Montgomery在此先行一步,他说,从技术角度看,试图封堵住IM并不可行。“一旦那些免费的IM公共客户端程序安装过后,它也就具备了端口搜寻的功能,即便你能确认某个网络协议继而在防火墙中关闭IM所占用的端口,但要知道,这些客户端可利用的端口数量众多,它们会在此后搜寻下一个开放的端口。”一份来自IMlogic公司的《领会IM安全威胁》报告中提示到,出于IM安全考虑的任何努力,“用的完全是网络层面的工具和技术,诸如结合了端口、IP和URL地址的封堵技术,这至多也只能起到部分效果”。
由于能对网络流量进行更深入的监视,防火墙提供商也许掌握有更好的解决方案。当然,首先你也能尝试通过各种手段阻止终端用户安装IM的客户端,尽管在排除了技术方面的因素考量后,由此努力的结果依然会很渺茫。一纸禁令带来的必定是众多使用者的反抗。Montgomery解释说:“此做法被证明是在做无用功,因为大公司有大公司的特点,它存在一个出于商业目的而使用IM的用户基础,若你试图将IM一关了之,结果必定惨不忍睹。”
所以在采取过激或有徒劳无功可能的步骤前,要提前告知使用者,并且找寻继续保留IM的前提条件——那就是存在商业用途的需要。
3.判断何种IM最适合你的公司
目前存在有多种可供选择的IM,其中在公共级网络上的AOL或雅虎等工具是最常见的,而在企业级的网络上,IBM、Jabber和微软提供的解决方案是购买其客户端/服务器端产品,以此构建作用范围仅限于企业内部的即时通信环境(DeSouza公司在此声称旗下产品目前已开始提供接入公共网络的功能)。特定行业的网络讲求要能满足行业特别需求,例如,布隆博格集团和路透社就提供了适用于金融服务业的网络,当然,此外还有适应特定地理环境的网络。
在具体选择的过程中,要为此评估自己的商业需求和所冒风险程度。若是员工可利用IM接触到敏感数据,Spire安全中心的研究室主任Pete Lindstrom推荐此时用更易于自我防护的企业网络来取代公共网络。
4.建立一套IM使用政策
绝大多数公司都有一套保护电子通信的政策,这便是“员工所用电脑为公司所有,因此在这些电脑上传输的任何信息都可以被公司监控”。IM自然也属于政策中的一部分。Rubinow说,在Archipelago公司中,起初只有一套电子邮件使用政策,之后才加入了网页和IM的相关内容。“其中适用于IM软件的条款非常多样,就看员工是否能领会其中的涵义,我们可监控IM软件的举动,上面没什么信息可在未经记录的情况下随意进出公司。而作为一个不错的商业惯例与管理要求,这样的政策将会日益为我们所重视。”
此做法在Amerex公司也得到了类似的贯彻执行,Trudeau说:“员工手册上的保密条款显示,属于公司的电脑内不存在任何秘密。也就是说,任何电子数据都能被监控。这会让某些员工的不当行为得以收敛!”不过Trudeau提到一个有趣的现象:即便人们知道后台有程序监控他们在IM上的言论,“他们要么会暂时忘记其存在,要么认为此时没人会注意,而结果则是这些麻痹或心存侥幸的人时不时会撞在枪口上!”
5.开发新规则
实践结果表明,关闭文件传输功能是上佳之选。在执行中,你可以从完全信任员工的角度出发,用规章制度进行约束,或是使用技术手段彻底杜绝,后者正是Amerex公司采取的手段,Trudeau为此说明:“我们关闭了所有即时信息工具上的文件传输功能,还尝试对文件名、文件扩展名进行拦截,并关闭了支持文件传输的相关端口。”
Montgomery则进一步解释说,其实文件传输只是IM攻击的两种主要模式之一(另外一种是恶意地址链接)。当用户下载了某个来自好友的文件后,根本不会想到这其中携带有可以肆意传播的恶意代码。
DeSouza还建议禁止游戏,他说:“从商业角度看,没有什么正当的理由可以支持员工玩游戏。”
公司的首席战略官们兴许会想创建一套适用不同等级使用者的规则策略,在此Montgomery的意见是:可将IM的文件传输功能仅对主管、财务等级别的人员开放。DeSouza又补充道:主管和客户支持人员能利用IM参与视频会议或网络语音电话,而其他人除外。
6.对使用者进行培训
当被问及公司中所遭遇到的最普遍IM攻击事件时,曾与人合著过一本有关IM安全方面书籍,并在SecureInfo公司担任主管贸易专业服务的高级副总裁John Rittinghouse指出,问题在于使用者缺乏基本常识和相关培训。“我们所见到的侵害事件多数都发生在人们所犯的低级错误中间。”不少人习惯点击垃圾邮件上的链接就是这样的表现。“当木马或病毒潜入你的电脑后,接下去的事情便是通过网络或是你的联系人蔓延开来,并导致拒绝服务现象的出现!”
Rittinghouse接着说,安全措施的实行需要让使用者能够敏锐察觉到IM软件会带来的风险,并对其中的安全缺陷进行及时弥补。而员工也需意识到IM的通信记录会被存档,要知道,某些IM通信非常容易让人尴尬,危害性也很大,比如两性之间的事情就容易在同事间被添油加醋般地传播,这显然是无知之举。
在当前这个高速变化的环境中,员工们更应当保持清醒头脑,例如,在电子邮件和IM上可能会有众多来自美国证券交易委员会或Sarbanes-Oxle法案的材料文件,它们可能由此而难以被加以区分开来,而不少公司只有在陷入麻烦的时候才会意识到这个问题的存在。
他还表示,其实领悟和练习正确使用IM工具不需要花费多少钱,但努力是必不可少的,有些公司却不愿意为此投入。“他们都在刻意地回避!”Rittinghouse认为安全负责人必须成为一个虔诚的IM安全传教士,若是其未能指导使用者如何进行操作,就必须为此导致的后果负责。
7.考虑使用一款IM安全产品
像Akonix、Blue Coat、Check Point Software、Facetime、IMlogic和ZoneLabs等公司均提供有用于控制和保护IM使用过程的软件。而Postini这样一个之前从事电子邮件过滤业务的公司也开始提供IM保护服务。Amerex的Trudeau认为自己的公司已经从安全中获益——主要原因还得归于安装了充当“中间人”角色的程序(IMlogic),它被用于记录IM的对话内容。对Archipelago公司的Rubinow来说,类似的事情也在重复,“从管理的角度来看,我们要么必须有合适的软件到位,要么干脆就只能禁用IM”。
Banco Santander银行的信息安全管理员Thomas Pottanat表示,就当前而言,这家银行并不赞同使用IM,但现状也正悄悄地发生改变。他说:“IM是不少人正在使用的沟通手段之一,要知道,这些人在从纽约到拉美国家之间做着生意。而我也考虑并试图寻找一种解决方案以对IM进行最有效的控制!”Thomas Pottanat明白,一旦银行对IM松绑,就会要求他对期间往来的数据进行监控。“你不能由于存在安全隐患而要大家放弃使用电子邮件或其他通信方式,因为它们已经融入到现在的商业习惯中。这个世界已经发生了改变,任何事都要随之而动!”
你不能由于存在安全隐患而要求大家放弃使用电子邮件或IM等通信方式,因为它们已经融入到现在的商业习惯中。这个世界已经发生了改变,任何事都要随之而动!
上一篇:基于虚拟蜜罐的网络安全研究