• 项目

联网

Microsoft Security Intelligence Report

Tim Rains

 

概览:

  • 软件漏洞公布、攻击及恶意软件方面的趋势
  • 针对 Windows 不同版本的威胁及影响
  • 全球受感染最严重和最轻微的区域

从与 Internet 相连的数亿系统和一些世界上最繁忙的在线服务收集到的数据使 Microsoft 在当今 Internet 用户面临的安全威胁方面有自己独到的见解。

Microsoft 每年在其安全性智能报告 (SIR) 中共享两次这些数据。制作该报告的各方包括 Microsoft® 恶意软件防护中心 (MMPC)、Microsoft 安全响应中心 (MSRC)、可信赖计算 (TwC) 小组以及其他许多产品小组。SIR 提供软件漏洞公布、恶意软件和潜在不需要的软件(如间谍软件和广告软件)最近趋势方面的深入见解。该报告还包括以下方面的详细信息:Windows 操作系统的各种版本在威胁环境中的表现、全球哪些地区受恶意软件及其他入侵软件的影响最大。最新一期的报告着重于 2007 年上半年观察到的趋势,同时新包括了有关软件漏洞攻击方面的内容。如果您负责计算机安全性或对此感兴趣,那么阅读 SIR 将具有很大价值,因为它旨在帮助您了解与 Internet 相关的威胁。

最新的 SIR 显示,安全研究人员在所有供应商的软件中都发现了更多的漏洞。事实上,仅 2007 年上半年就已公布了 3,400 多个新软件漏洞!不过,尽管这一数字很大,但公布的操作系统漏洞的整体百分比却在不断下降。

这意味着什么?一种可能是安全研究人员加大了对应用程序的关注,因为操作系统安全性已不断得到改进。此外,由于新应用程序的数目的增长超过了新操作系统的数目,因此应用程序的激增可能在背后也推动了最近的漏洞公开趋势。

在 2006 年,Microsoft 产品中 29.3% 的已知漏洞有可公开获得的攻击代码,而在 2007 年 8 月 1 日,仅有 20.9% 的已知漏洞有可公开获得的攻击代码。虽然漏洞的数目在持续增加,但攻击代码的比率却保持稳定,并显示出略有下降的趋势。更新版本产品的攻击代码更加难以找到。我们就产品与产品进行了比较,结果显示更新版本的产品比在市场上推出很长时间的产品版本存在的风险小。平均来说,攻击性会随产品生命周期而逐渐降低,这意味着对于大多数产品而言,较高版本相对不易受到攻击。这在 Windows 和 Microsoft Office System 产品中体现得尤为明显。这两种产品(Windows Server® 2003、Windows Vista®、Office 2003 和 2007 Office system)的更高版本在产品生命周期内表现出来的漏洞数目明显减少。

SIR 在恶意软件趋势方面提供了颇有价值的见解。这些趋势表明了当前用来攻击用户的策略。看一下来自某些关键的主要来源(包括 Microsoft Exchange 托管服务 (EHS)、Windows Live® OneCare 和 Windows Live OneCare 安全扫描程序、Windows 恶意软件删除工具 (MSRT) 以及 Windows Defender)的数据,它们从不同的有利方面为我们阐述了对威胁领域的看法。

社会工程学在恶意软件分发方面所起的作用日益增大。这类攻击通常会成功诱使用户采取某些可能会降低安全机制有效性的行动。来自 EHS 的数据表明,在 2006 年上半年,典型的电子邮件蠕虫病毒单独构成了以电子邮件为载体的最大威胁,占据电子邮件中检测到的恶意软件的 95%。从 2006 年下半年开始,该数字降到了 49%,并在 2007 年上半年保持不变(请参见图 1)。包含恶意 IFrame 攻击的网页仿冒欺诈和电子邮件在 2006 年下半年的电子邮件恶意软件检测中占 27%,到 2007 年上半年增长为 37%。在电子邮件中携带的特洛伊木马下载程序在 2006 年下半年最高达到 20%,在 2007 年上半年降到 7%。

Figure 1 Composition of infected e-mail in the first half of 2007

Figure 1** Composition of infected e-mail in the first half of 2007 **(单击该图像获得较大视图)

从 Windows Live OneCare 和 Windows Live OneCare 安全扫描程序 (safety.live.com) 中收集的遥测数据显示,病毒、后门病毒、密码盗窃程序和数据盗用木马病毒的感染率在 2007 年上半年有所上升。

MSRT 旨在帮助确认和删除客户计算机中常见的恶意软件。它主要通过 Windows Update (WU)、Microsoft Update (MU) 和自动更新 (AU) 作为关键更新发布。在过去两年中,MSRT 已从世界范围内 2050 万台计算机中删除了 5030 万个感染的病毒。MSRT 到目前执行的总次数已超过 74 亿,其中 2007 年上半年执行了 19 亿次。

MSRT 是 Microsoft 及其客户的一个非常不错的数据来源。据 MSRT 观察,Windows Vista 和 Windows XP SP2 系统的病毒感染率远远低于较早的 Windows 操作系统,如图 2 所示。MSRT 在运行 Windows Vista 的计算机中清除的恶意软件比运行 Windows XP SP2 的计算机少 60%,而比运行 Windows XP 但没有安装任何 Service Pack 的计算机少 91.5%。有趣的是,每台计算机的杀毒数在一段时间内保持稳定,每台受感染的计算机的平均杀毒数为 2.2。

Figure 2 OS versions cleaned by the MSRT in the first half of 2007

Figure 2** OS versions cleaned by the MSRT in the first half of 2007 **(单击该图像获得较大视图)

一般规律是,MSRT 在发展中国家发现的恶意软件比发达国家多。例如,欧洲受感染最严重的国家是阿尔巴尼亚和土耳其,而受感染最轻微的国家是意大利和芬兰。在亚太地区,受感染最严重的国家是蒙古和泰国,而受感染最轻微的国家是新西兰和日本。美国受到的感染相对于美洲大多数国家和地区而言要小,它的感染率与全球范围内的平均比率大致相同。2007 年上半年,MSRT 平均清理了每 216 台计算机中的 1 台。

Windows Defender 运行在 Windows Vista、Windows XP 和 Windows Server 2003 之上。总体来说,2007 年上半年检测到 5070 万个潜在的不需要软件,其中在运行 Windows Vista 的计算机上检测到的软件比在运行 Windows XP SP2 的计算机上检测到的软件要少 2.8 倍。同样,在运行 Windows Vista 的计算机上检测到的潜在不需要的软件数是在运行 Windows Server 2003 的计算机上发现的一半。

现在您可能想知道,尽管所有这些统计数据的确有趣,但它们如何帮助您更好地保护自己和环境?在最新的 SIR 中,每个主要部分的序言都概述了该部分的重点,并包含一组“策略、缓解措施和对策”。您可以通过这些列表快速了解报告每个部分的主要发现。

此外,您还可以利用 SIR 中提供的数据、见解和指南评估,根据不断变化的威胁状况改进您当前的安全措施。根据主要发现提供策略、缓解措施和对策的完整报告可从 microsoft.com/sir 下载获得。

Tim Rains 是 Microsoft 恶意软件防护中心 (MMPC) 的产品经理。他负责管理 Microsoft 安全性智能报告 (SIR) 的生成。SIR 的作者是 Jeff Jones(Microsoft 可信赖计算小组的主管)、Jeff Williams(MMPC 的主管)、Mike Reavey(Microsoft 安全响应中心的团队经理)和 Ziv Mador(MMPC 的高级项目经理兼响应协调人)。

© 2008 Microsoft Corporation 与 CMP Media, LLC.保留所有权利;不得对全文或部分内容进行复制.