【IT168专稿】今基于互联网的应用是越来越多——Web应用用于支持用户和合作伙伴进行各种交易、数据交换，包括库存管理、客户关系管理（CRM）。这些应用程序通常与敏感数据资产相关，如信用卡数据、个人信息等。

     在“Web化”之前，这些应用程序位于公司网络深处，受到多层安全保护。现在，这些应用被花样翻新成基于Web的应用，以支持更大规模的用户或合作伙伴，也就被迁移至离网络边界更近的位置。

    Web应用离网络边界越近，其面对的风险也随之加大。Web安全防范成为很多企业信息安全问题中的首要问题。即便如此，与Web安全相关的大事故时有耳闻，一个很重要的原因就是“0 day ”漏洞在作祟。

     如此前IE7 0Day爆出的MS08-067，不仅仅在发动攻击式的隐蔽性高，而且攻击的软件扩展范围和攻击的手段也非常多。如果黑客利用MS08-067发动攻击，他们首先需要客服的就是来自电信部门的端口限制，虽然MS08-067的威胁性如同当年蠕虫冲击波利用的RPC漏洞如出一辙，不过由于该漏洞仍然主要依靠篡改网络数据包进行攻击，所以会受限于网络环境，最多只能够在公司和学校的内部小范围的散播，已经无法构成当年冲击波病毒横扫一片的恐怖场面。

    但是漏洞的威胁程度也各有不同——目前这个被微软编号为“961051”的IE7 0Day则不同，黑客可以轻易的利用这个漏洞构造出带有攻击性的网页代码，并可以将这个恶意代码植入任意的网页。当然这个网页不仅是正常的网站，还有可能是迅雷、QQ的弹出欢迎菜单；可能是用户的Outlook查收HTML贺卡，也可以是其它调用IE内核的第三方软件，总之所有可能通过IE内核访问网页的软件都可以被插入攻击代码，并让没有修复漏洞的用户中招。

    可见，Web安全防范成败的关键要看企业用户是否能够有效防范“0 day”攻击。众多安全厂商可谓是尽其所能拉阻挡“0 day”漏洞威胁。

    为了保护用户的Web应用安全，日前，网络入侵防御系统厂商TippingPoint公司宣布推出“Web应用数字疫苗（Web App DV）”服务，该服务分两部分解决Web应用带来的安全威胁。这一新服务使得TippingPoint的用户能够实现安全投资最大化，减少客户自己开发的Web应用带来的攻击风险。此外，开展Web App DV服务还能帮助各种组织机构遵循支付卡行业数据安全标准（PCI DSS），因为该服务避免了现在的Web应用防火墙所提供的不确定保护可能导致的缺陷。

    “许多公司都投入了大量金钱确保企业不同层面的安全，包括操作系统、网络、甚至是终端。然而，Web应用在提升生产力的同时，对网络基础设施形成了安全威胁压力。”TippingPoint公司的数字疫苗实验室(DVLab)高级总监David Endler介绍道，“因为这些应用程序的各个部分原本并非为协同合作而设计的，通常弱点伴随各部分互联的方式而产生。这些弱点对那些想要潜入网络深处窃取敏感数据的黑客来说就是一块处女地。”

    用户反馈显示，在网络在线部署Web应用防火墙（WAFs）后通常会出现误报。这些防火墙并不能保障它们应当保障的Web应用的高可用性，反而会引起网络延持和性能问题。此外，为了减少误报而不断进行的调整将会给WAFs所保护的漏洞增添不必要的不确定性，从而造成IT资源和资金的浪费。

    利用TippingPoint的Web App DV服务，将定制的DV过滤器和标准DV过滤器连在一起，就能提供全面的网络保护，从而识别并修补用户自己开发的Web应用中存在的漏洞。该服务首先对应用程序和相关URL进行扫描，确定编码中存在的弱点，以及可能被诸如SQL注入、跨站式脚本、反向代理等恶意攻击利用的地方。扫描结束后，用户将和TippingPoint公司的数字疫苗实验室(DVLab) 团队一起根据漏洞的严重程度对其进行分类，然后生成一个或一套定制过滤器，并利用TippingPoint公司的IPS进行部署。

     “TippingPoint公司的Web App DV服务进一步发挥了IPS的威力来截获那些威胁安全漏洞，但以前无法被察觉的攻击。” TippingPoint公司的数字疫苗实验室(DVLab)高级总监David Endler说，“在TippingPint的IPS中已有的标准过滤器之上增加定制过滤器，为我们客户的公司资产增加了又一层防护。”

    现在，PCI DSS标准强制要求每家机构都要提供证据以证明其基于网络的应用受到了保护，可以免遭恶意攻击。TippingPoint的Web App DV服务不仅扫描这些Web应用存在的危险漏洞，还能生成定制过滤器，保护企业的关键资产，并符合PCI统一标准要求。此外，作为后续扫描的一部分，这些过滤器进行的保护都会记录在PCI报告中，清晰证明这些被确认的漏洞已被清除。客户可以选择使用他们传统的Web应用扫描程序，也可以选择使用TippingPoint的Web应用扫描服务。TippingPoint的Web应用扫描服务统一售价，包括初次扫描和安装过滤器后扫描，以确保精确地拦截攻击。过滤器定制的价格根据需要为客户开发的过滤器数量而定，并将在应用扫描后的48-72小时内送达客户。

    随着云计算技术的推出，很多安全厂商利用此项技术提升自身的安全服务水平。“云安全”技术应对“0 day”攻击效果显著——去年，趋势科技宣布在7分钟之内成功截获了微软IE7.0暴露的“0 day”攻击，其用户幸免于难。

　　2008年12月10日出现了最新的IE7.0“0 day”漏洞攻击，一时用户没有任何官方补丁用于修补。而黑客利用此漏洞植入有害的JavaScript，透过微软Internet Explorer7.0网页浏览器中SDHTML在处理XML时的弱点，对网页浏览者进行攻击。使用者即使更新了周二最新发布的修补程序，还是有可能因为使用 IE7.0 而被入侵。

　　趋势科技的云安全技术，利用毫秒级的运算速度，可以在7-15分钟内成功地拦截了恶意攻击网址。当时，趋势科技市场人员介绍，“我们截获病毒最快时间为7分钟。在12月9日凌晨1点04分8.277秒，云安全接到网址：hxxp://wieyou.com/iiee/explore.exe 的查询， 仅用约7分钟，在12月09日凌晨1点11分22.510秒，就成功把该 URL 拦截。在云端数据库中建立了该URL的病毒属性，并得以阻止其它用户继续遭受该URL的侵害，从而实现零秒差阻挡病毒的防护效果。”