【IT168 资讯】2007 年上半年,Web威胁持续呈现爆炸性增长,弱点攻击工具套件的供应,加上僵尸网络的增长,使得 Web威胁形势日益严峻。根据上半年的威胁表现,趋势科技在《2007 年上半年安全综合报告与 2007 年下半年趋势预测》中指出:全球爆发大规模疫情的时代已经宣告结束,下半年 Web威胁的数量将持续成长。
网络威胁格局已定 Web攻击风险猛增
目前,全球因特网用户已达13.5亿,大部分用户也都会利用网络进行购物、银行转帐支付和各种软件下载。而近年来互联网的环境发生了很大的变化,Web2.0成为互联网热门的概念,Web 2.0相关技术和应用的发展使得在线协作、共享更加方便。Web2.0技术主要包括:博客(BLOG)、播客、RSS、百科全书(Wiki)、P2P、即时信息(IM)等。在我们享受便捷的网络同时,网络环境也变得越来越危险。其中,Web威胁正在极力表现它的“逐利性”,成为当前网络威胁最突出的代表
由于新一代的Web威胁具备混合型、定向攻击和区域性爆发等特点,员工对互联网的依赖性使得公司网络比以往更加容易受到攻击。正因为如此,普通的浏览网页都变成了一件带有极大安全风险的事情。Web威胁可以在用户完全没有察觉的情况下进入网络,从而对公司数据资产、行业信誉和关键业务构成极大威胁。
趋势科技通过调查发现,Web 2.0 的各种技术 (如Activex、 Javascript等) 频频采用下载式触发 (drive-by-download),使用者只要登录恶意网站便可能遭受感染。这类利用Web从事恶意活动,而不为计算机使用者所知的Web威胁,一再施展它们的自动化感染技巧,甚至锁定特定族群的使用者,并利用安全弱点来达到窃取身份与信息的目的。
此外,随着越来越多的 Web 2.0 网站出现,不断开发出的更多具有互动能力的 Web 应用程序,恶意程序作者也将不断寻找技术上的瑕疵,用以执行他们的恶意程序代码。病毒的 “趋利性”已经成为其产生的核心原因,90%的病毒的传播方式是通过HTTP方式传播。对于通过HTTP方式传播或邮件方式传播的病毒,基于企业原有的传统防御模式是无法抵御这种新的攻击模式。如国内爆发的PE_LOOKED病毒、熊猫烧香病毒,这类新型的病毒均呈现出以下几个特点:
l 40%的病毒会自我加密或采用特殊程式压缩
l 平均病毒文件大小为71Kbytes
l 90%的病毒以HTTP为传播途径
l 60%的病毒以SMTP为传播途径
l 皆与病毒自动下载器 (Downloader) 行为有关
l 50%的病毒会利用开机自动执行或自动联上恶意网站下载病毒
l 皆会产生其他病毒文件 (Drop File)
l 通常造成使用者应用程序或操作系統运行不正常,以及邮件服务器繁忙或网络流量增加
Web威胁打心理战 企业需要动态防范
Web威胁所具备的渗透性和利益驱动性,已经成为当前网络中增长最快的风险因素。网络罪犯已经逐渐将Web作为从事恶意活动的新途径。Web安全威胁已经成为对企业来说最为猛烈的攻击之一,而传统防护手段则显得力不从心。
所谓“Web威胁”,就是利用Internet 执行各种恶意活动,如身份窃取、私密信息窃取、带宽资源占用等。它们潜入计算机系统之后,还会扩散并不断更新自己。这些活动常常利用人们的好奇心,我们也称之为“社会工程学陷阱”,在用户不知道或未允许的情况下潜入计算机。不知不觉中,帐户里的资金被划拨走了,公司机密也被传送了出去,危害十分严重。
Web威胁还会采用多种形态,甚至是复合形态,比如病毒、蠕虫、特洛伊、间谍软件、僵尸、网络钓鱼电子邮件、漏洞利用、下载程序、社会工程、rootkit、黑客,结果都可以导致用户信息受到危害,或者导致用户所需的服务被拒绝和劫持。
从其来源说,Web威胁还可以分为内部攻击和外部攻击两类。前者主要来自信任网络,可能是用户执行了未授权访问或是无意中定制了恶意攻击;后者主要是由于网络漏洞被利用或者用户受到恶意程序制定者的专一攻击。
虽然URL过滤和内容检查等解决方案在防范已知来源的已知风险方面非常有效,但这种防护技术在本质上是被动的,而且需要不断更新静态特征文件,因而对未知的Web威胁不能有效防范。为此,用户必须要采用动态的防护技术来保证企业网络的安全,避免传统扫描技术的被动特性。而这个动态的Web安全解决方案,必须提供持续动态的更新和全面的URL访问防护。
趋势科技提醒广大用户,在防范Web威胁方面,用户需要根据现在所面对的网络环境和攻击方式,及时调整信息系统的安全策略。改变原有“安全三大件”—防火墙、入侵检测、网络版防病毒软件组成的防御体系,采取全方位、深度的新防御模式。从安全管理的三个纬度出发,提升“ 技术、流程、人员 ”这三个角度的防御水平,从而整体提高企业的信息安全水平。
从技术角度来看,互联网的攻击越来越多是通过Web和Mail方式来进行,因此企业有必要针对Web和Mail进行网关安全防御,在WEB和Mail的信息流设置安全闸道,把安全威胁隔离在企业网络之外。从流程角度来看,企业对于随时可能发生的安全威胁需要一套预警和响应流程,在关键时刻能够得到专业安全厂商的技术支持服务,通过建立有效的预警和响应流程才能确保企业业务的连续性。从人员角度来看,许多安全问题与用户的行为密切相关。企业需要给予员工安全意识培训,通过提升用户安全意识,才能有效的降低安全风险。
专门针对Web威胁的Web安全网关防护产品将拥有更多市场机会。随着Web威胁的持续发展和新安全技术的不断应用,到2011年,为了应对Web威胁而部署Web安全网关的企业用户,将由现在的20%增长为80%。
另外,在主观上克服好奇心,不访问不明网站,不打开不明邮件附件,不在网上轻易透露自己的隐私信息等“社会工程学”范畴的心理防范也是很有必要的。
趋势科技全面部署Web信誉服务 多款产品齐力狙击Web威胁
在动态、主动防范Web威胁方面,凭借领先的Web信誉服务(Web Reputation Services-WRS),趋势科技成为了市场的领跑者。借助Web信誉服务,一旦嵌有恶意程序的网站刚刚出现,趋势科技就可以通过独特的防护技术保护用户的访问不受侵害,有效拦截出现在每个区域的Web威胁。
趋势科技为每个URL提供一个信誉分值,这个信誉分值基于该网站的存在时间长短、地理位置变化和历史情况等诸多因素计算而来。通过信誉分值的比对,就可以知道某个URL潜在的风险级别。当用户访问具有潜在风险的网站时,就可以及时获得系统提醒或阻止,Web信誉服务可以帮助用户快速地确认目标网站的安全性。
目前,趋势科技Web威胁防护方案能够针对不同层面的Web威胁提供智能化的互动和防范,同时提供集中的修复和清除服务。这种全面的防护由智能信息收集、样本寻源、评估以及趋势科技病毒处理中心TrendLabs的预防等措施构成。凭借遍布全球的区域性病毒处理中心, 趋势科技TrendLabs 800多位专业工程师通过7*24小时的服务监控,可以准确地定位网络风险,并予以快速阻止。Web信誉服务会提供实时更新,若遭恶意程序入侵的网站已修复,评定分数也会立即恢复,不会影响到使用者点击进入正常网页。
趋势科技将Web信誉服务加入到网络版安全套件OfficeScan 8.0、互联网网关安全设备IWSA3.1、邮件安全网关IMSA7.0以及Interscan网关安全设备IGSA1.5中,分别针对客户端和网关处进行防护。
OfficeScan 8.0加入了WRS信誉服务后,在用户访问某个URL地址时,会首先对该URL的安全级别进行确认,阻止恶意URL的访问,能够更精准地防止使用者不小心下载到恶意程序。
IWSA3.1通过Web信誉服务的实施,帮助企业从网关处由被动抵御上升到了主动防御。并且,IWSA3.1在经过技术升级后,Web信誉服务技术可以进行本地缓存,用户访问的地址越多,使用的时间越长,IWSA的防护效率就会更高更快。
IMSA7.0针对邮件内容中URL地址进行安全级别分析,及时组织嵌有恶意URL的邮件内容侵入。
IGSA1.5针对中型企业用户加入Web信誉服务技术,可以基于域名分析和URL信任评价为网站确定“信誉”,从而有助于打破感染链。这一技术可以在网络威胁(包括零日攻击)到达网络之前对其进行防范。