企業及其雇員越來越依賴于互聯網,不管是在家里、在路途中、在辦公室中都是如此。這種依賴性在與多種最新的Web威脅結合之后,將會使企業比以往更加脆弱,更容易遭受攻擊。近半年來的Web攻擊都有一個鮮明的特點,在無需用戶干預的情況下,這些威脅就可以進入網絡,嚴重威脅著企業的數據安全、工作效率,直至企業的最終利益。
而且,由于Web內容和形式的多樣性,其威脅的花樣也是不斷翻新。比方說,前些日子使得許多網站深受其害的SQL注入式攻擊就采用了不同于以往的手段。前幾天利用Flash player漏洞的攻擊,也體現出這種威脅形式的變化性和無常性。面對新的威脅,加強防御是唯一的制勝之道。
Web威脅的種類
此處談的種類雖不能代表全部全部,至少代表了最為嚴重的一些Web威脅。現在的黑客日益聰明,他們認識到通過互聯網絡搞點“外快”要遠比炫耀自己的本領更加實惠。
前一段時間的“艷照門”事件和抗震救災期間的“救災視頻”,都有黑客們的手腳在里面,他們往往用一些令人感興趣的東西來吸引受害者,所謂愿者上鉤。孰不知,這些表面的東西往往包含著惡意軟件,甚至rootkit程序。根據賽門鐵克的調查,以下這些可謂最具危險性的Web威脅:
可信任站點的漏洞:我們都有這樣的看法,大的知名網站是相對安全的。黑客們也知道這一點,他們會想方設法修改這些網站的網頁,將用戶的瀏覽器重新導向到其精心打造的惡意站點,這個惡意站點看起來還是是非常可信的。但在用戶向其中輸入個人信息時,它們“統吃”。“吃”了你的還不算,還要在你的系統上種上點東西(如間諜軟件等),或者破壞你的郵件地址簿,肆意傳播垃圾郵件等。
瀏覽器和瀏覽器插件的漏洞:前幾天我們看到一些安全專家建議不要使用IE瀏覽器。其實其它的瀏覽器也并非無懈可擊,只是漏洞暫時還不太多或者說是攻擊者對其關注的程度還不夠高而已。不管哪種瀏覽器,攻擊者都可以利用其漏洞或其插件的漏洞將惡意軟件下載并安裝到用戶計算機上,或者將用戶指引到一個惡意站點。
終端用戶:許多攻擊者都是從終端用戶下手的。許多企業面臨的威脅主要是由于其針對筆記本電腦、桌面系統、服務器、未受保護的移動設備的安全策略不健全造成的。如空口令、關閉防火墻等都是具體表現。
可移動的存儲設備:由于U盤、移動硬盤、MP3、MP4等設備的快速流行和使用,惡意軟件也可以輕易地從外部的設備傳輸到網絡系統中。此外,插到iPod中的插件也可以成為竊取系統數據的重要媒介。
網絡釣魚:前面筆者在談到Web的新威脅時談到,網絡騙子偽造冒似金融網站的虛假站點欺騙消費者。它們還能夠以金融公司作為其偽裝,在電子郵件中誘騙消費者輸入其個人機密信息。
僵尸網絡:攻擊者通過隱藏的程序控制大量的計算機系統并執行多任務,如發送垃圾郵件和發動拒絕服務攻擊等。
鍵盤記錄程序:黑客在用戶的系統上安裝可以記錄用戶擊鍵的程序,并將記錄的結果秘密地通過電子郵件發送到黑客的郵箱。
多重攻擊:黑客使出“組合拳”,即將多種戰術結合在一起(如綜合運用鍵盤記錄程序、僵尸網絡、釣魚等手段)來竊取用戶的敏感信息。
此外,攻擊者還可以通過間諜軟件竊取個人的機密信息,并能夠通過垃圾郵件傳播病毒、間諜軟件、木馬等。
以上這些威脅并不代表全部,現在的web威脅日益體現出綜合化,并向縱深發展。以前攻擊者主要利用操作系統漏洞,現在對應用軟件的漏洞越來越感興趣;以前的SQL攻擊可以檢測,現在卻越來越難;以前黑客們控制一兩臺計算機,現在可以通過一個網站攻擊其它網站,并感染用戶,進而構建僵尸網絡,借以發動分布式拒絕服務攻擊(DDoS)。因此任何企業都應當重視防范措施的多樣性和多重性,不要依賴單純的一種技術,有了UTM并不意味著萬事大吉。為此筆者提供以下防護Web威脅的方法:
阻止對惡意服務器的訪問
企業應建立惡意站點的清單,借助防火墻、UTM等設備,在桌面用戶試圖打開已知的惡意服務器的網頁時,立即阻止這種企圖。這樣做不但有助于安全,還可以節省大量的帶寬和網絡資源。
僅允許對可信任站點的移動代碼的訪問
所謂移動代碼是一段計算機程序,能夠在計算機或網絡之間傳播,在未經授權的情況下,它可以修改計算機系統。如ActiveX,Java Scripts,Rootkit等都屬于移動代碼。雖然移動代碼使得web更加生動活潑、富有活力,但它也為攻擊者提供了深透進入桌面計算機的便利,
網關掃描
任何時候都不要假定用戶一定擁有最新的反病毒定義,并運行著防火墻等軟件,也不要認為正在訪問的計算機都受到了良好的管理。企業可以在威脅進入網絡之前,通過網關集中掃描惡意代碼從而輕易地控制所有進入的Web通信。
依靠不同廠商的軟硬件實施桌面和Web網關的掃描
不要一棵樹上吊死。因為現代的攻擊在發布之前都針對某些流行的反病毒機制進行了測試。企業應當通過惡意代碼掃描工具的多樣性來加強對威脅的檢查和阻擊能力。
經常更新桌面和服務器的補丁
這樣做的原因是經常有新的漏洞出現。且不說零日漏洞,只要我們認識到多數的攻擊都是通過利用未打補丁的應用程序和系統來傳播的,那么也就會自覺的經常為系統打補丁。
桌面要安裝反病毒程序并保持最新
企業要告誡用戶不要認為安裝反病毒程序會影響性能而禁用之。一臺沒有安裝反病毒程序并能夠保持升級的電腦不應當連接到互聯網和企業內部網,也不應當訪問光盤和移動存儲設備。
僅準許訪問通過所有瀏覽器檢查的HTTPS網站
多數用戶并不理解三個SSL瀏覽器檢查的意義,也不能理解為什么不能訪問沒有通過全部三個檢查的站點。SSL檢查是指證書與所請求的URL之間的到期證書、不可信任的發行者、主機不匹配三個方面。
僅從可信任的網站下載可執行程序
許多用戶都有這樣的體驗,在安裝某個下載的工具時,它要求訪問網絡。而這種訪問對普通而言,首先是不必要,因為我們僅需要其當前功能;二是風險很大,因為普通用戶并不清楚訪問網絡程序的具體行為,而且也無法保障所訪問的網絡真正安全。而且,現在許多惡意軟件都是將自己與一個冒似“忠良”的程序結合起來發布。這種程序在執行時,其中的惡意軟件就會為所欲為。
不要訪問以IP地址作為服務器的網站
近來的一些攻擊更多地利用了安裝有簡單Web服務器功能的、受到損害的家用計算機。一些受害者多是通過IP地址被指引到家用電腦,而不是域名。實際上,真正合法的網站都會在URL中采用主機名。
仔細鍵入網站的URL,避免輸入錯誤
任何一個正常的用戶都不會愿意訪問一個惡意的站點,但為什么還是屢屢中招呢?對一些知名的網站的域名輸入錯誤會將用戶帶到一些早就潛伏在那里等待用戶上鉤的網站。此外,如果用戶的瀏覽器并沒有打上最新的補丁,也有可能被偷渡式下載(drive-by download)安裝惡意軟件。
結束語
以上這些防御手段可以看出,多數措施需要企業的雇員或用戶的配合。因為正是他們是網絡鏈條中最薄弱的環節。所以對雇員等加強安全教育的力度和廣度,強化用戶的安全意識,提高全體工作人員的防范意識才能真正地對付各種不斷變化的威脅。
