【IT168专稿】受到出售机密信息的诱人利益所驱使，今日的网络罪犯逐渐改以 Web 作为从事恶意活动的新途径。Web 安全威胁的特征包括综合运用多种技巧、变种数量繁多、锁定特定区域进行攻击，因此可能引发巨额的损失，包括身分信息遭窃、企业机密信息外泄、品牌声誉受损以及消费者对 Web 的信心大打折扣等。

　　Web 安全威胁涵盖网上衍生的多种攻击类型。Web 安全威胁所使用的手法相当刁钻，它们会同时运用多种文件与技巧，而非只依赖一个文件或一种策略而已，目前这类安全威胁正迅速蔓延。

　　以下是蠕虫与 Web 安全威胁的比较图，可以看见蠕虫数量呈现持平，而 Web 威胁却持续上扬。

　　问：可否就web 安全威胁举实例说明？

　　趋势科技回答：某大药厂法务部门的律师 Robert 某天到办公室之后，便登入他的计算机浏览他的新邮件。Robert 注意到有一封电子邮件内含一个新网站的链接，而该网站正好有他最喜欢的篮球选手的相关信息。热爱篮球的 Robert 按下这个链接之后，便进入一个内有这位选手的照片、影片以及其它相关内容的网站。但 Robert 并不知道，当他的浏览器显示其中一张照片时，这个 jpg 档中暗藏的恶意程序代码已发出命令下载一个可执行档，并且在他的计算机上自动执行。这个恶意程序能拦截 Robert 硬盘中储存的特定类型档案，并将它们加密，然后传送至第三者的电子邮件地址─也就是网络罪犯的邮件地址。而其中有一部分文件内含与 Robert 参与的几项专利案有关的高度机密信息。网络罪犯收集各大药厂的员工名单并传送相同的电子邮件给他们，专以制药产业为目标，企图取得以上这类信息，然后再出售图利。

　　同一天早晨，药厂中的一位 IT 系统管理人员正在监视网络传输数据。这位系统管理员因为知道公司最近添购的客户端防毒软件中包含以清单为依据的网址过滤工具而感到十分放心，而且她并未在屏幕上看到任何异常活动。为躲避侦测，恶意程序作者当天早上才设立内含恶意内容的新网站，因此网址过滤软件中的清单并未包含这个网站。此外，网络罪犯还在恶意程序中加入指令慢慢送出 Robert 的档案，因此能避免网络传输数据激增而引起网络管理员的注意。由于这家药厂并未在网关上安装任何可进行行为模式分析的防护软件，因此利用电子邮件附件文件将这位律师计算机中的信息慢慢送出，看起来并无异常之处。

　　问：如何保护自己与公司，避免成为 Web 安全威胁的受害者？

　　趋势科技回答：若要防范这类安全威胁，就必须采取新的对策 - 除了大多数具有安全防护概念的企业与消费者目前所采用的技术以外，此对策必须要能补强现有技术不足之处。面对今日新兴的 Web 型态复杂攻击，最有效的做法就是部署结合多种防护技术的多层式防御架构。此外，由于安全威胁演变的速度十分惊人，因此有必要建立某种型态的信息共享机制；借由此机制，防护系统中某一部份组件所收集的信息可用于更新其它各层防御机制的信息。为达成此目的，应该分别在三个层级建置整合式的解决方案：

　　" 空中拦截：例如，在数据抵达网关之前，先在数据中心针对因特网数据进行分析。

　　" 因特网网关：在因特网与企业网络或因特网服务供货商网络的连接处进行数据分析。

　　" 网络端点：在个人计算机或服务器上进行数据分析。

　　空中拦截。此层级的防御措施的主要功能是在使用者存取网站之前，先检查每个网站的「信誉」。网站信誉检查必须配合网址过滤数据库来进行，然而，每天新增将近 5000 个网域意味着必须采取额外的措施来辅助这个重要组件。这些措施应包含一个定期收集网站数据以检查网站中是否暗藏恶意程序的「安全评价」数据库，以及一个已知网络钓鱼与网站嫁接攻击网址的数据库。为获得非常好的的效果，我们建议针对所有最高层级的网域进行分析。Web 安全威胁一开始通常会利用电子邮件作为媒介来散播网站连结。在空中拦截 Web 安全威胁能有效降低进入因特网网关的恶意电子邮件数量。

　　因特网网关。此层级的功能可借由软件或硬设备来执行，因特网网关功能应包含档案检查与行为模式分析。文件检查功能主要是在使用者下载文件之前，先确认文件的「信誉」。为执行此功能，必须先搜集网站上每一个文件的资料，然后再定期评估每一个文件的信誉，据以建立并维护一个档文件信誉数据库。除了空中拦截层级的网站信誉功能之外，此一文件检查程序也是必要的，因为网络罪犯轻易就能将内含恶意内容的文件转移至其它网站。

　　网络端点。设置于端点 (亦即客户端) 的防护措施应包含网址过滤、网站信誉管理等功能，并使用「还原点」功能。还原点必须在上网浏览之前储存。如果在文件下载之后或在网上浏览时侦测到异常活动，便可将计算机还原至先前的状态。其它防护选项还应包含建立一个供使用者上网浏览时使用的「虚拟环境」；在这种环境设置中，Web 安全威胁的影响范围仅限于虚拟环境内，而无法入侵使用者的真实环境。此外，网络端点还必须具备清除功能，而且应提供可从远程清除计算机的方法。全面复原功能也十分重要，以备清除行动因感染 Rootkit 等因素而无法执行时所需。

　　企业与一般消费者同样都需要多层式的安全防护机制，面对今日新兴的 Web 型态的复杂攻击，这是非常好的的防御对策。

　　企业应在以上各层区域中部署解决方案，且应确保这些解决方案均紧密整合，能让各层的防护机制相互交换信息。而消费者与小型企业则应审慎评估因特网服务供货商 (ISP) 所提供的安全防护措施。面对网络逐渐降低成本、高速度的商品化趋势，安全防护功能已成为各大 ISP 之间最重要的区别关键。企业应采用本文中描述的非常好的安全防护对策来因应新兴 Web 安全威胁。