恶意软件威胁

　　近年来，企业一直在于恶意软件作斗争，但威胁仍然在不断演化，其中企业面临的最大问题就是个人信息泄漏。攻击者们开始广泛部署复杂恶意软件来窃取合法用户的用户名和密码，他们可以通过多种方式进行窃取，包括用户无意安装恶意软件、浏览器恶意软件和窃听攻击等。

　　例如，在2009年11月，一名安全专家就利用SSL(安全套接字层)协议的漏洞成功获取Twitter用户的登陆信息，可能大家会认为这种攻击不太会造成伤害，但请考虑一下，有多少人会使用与Twitter帐号相同密码作为网上银行登陆密码呢?有多少企业用户会使用相同密码来登陆企业域呢?这些各种形式的恶意软件可能通过各种方式引发安全泄漏事故。

　　另外一种攻击媒介就是最近报道的针对SSL VPN使用浏览器恶意软件来登陆已在浏览器登陆过的帐户。这种攻击利用了大多数SSL VPN与浏览器的同源政策交互的方式，这样很容易致使用户泄漏密码，当他们使用浏览器登陆企业邮箱帐户时。

　　另一种恶意软件相关的威胁涉及针对性钓鱼攻击。我们看到越来越多的攻击者通过发送精心制作的钓鱼电子邮件信息来攻击用户，这些电子邮件信息可能包含恶意软件(以安装在用户电脑)或者恶意网站链接。可以说，这些钓鱼攻击方式的高度针对性让一般用户很难检测，最新试验证明，包含假冒社交网站链接确实能够成功让用户点击并安装恶意软件。

　　最后，信息盗窃是新一代恶意软件主要涉及的攻击活动。像Clampi和Zeus这种木马病毒能够主动窃取信息，并且可以窃取任何攻击者感兴趣的信息。例如，它们可以窃取登陆网上银行的用户名和密码，更糟的是，它们可以创建隐藏交易，让用户将钱转到攻击者控制的银行帐号。传统的身份验证解决方案(例如令牌和智能卡)对于预防这种攻击都没有用。