本周(0423至0429)安全领域的新闻要点集中在威胁趋势、恶意软件和内容过滤方面:来自Web的安全威胁首次超过E-mail、结合垃圾邮件功能的Storm蠕虫出现、内容安全厂商WebSense准备收购SurfControl等新闻引人注目,另外,安全产品领域的Robot Genius公司本周推出新概念的安全防护产品和NetForensic推出新数据库监视产品等新闻也值得关注。
威胁趋势: Web安全威胁超过E-mail
新闻:周二,反病毒厂商Sophos和Trend Micro在各自的2007年第一季度恶意软件报告中,均把来自Web的安全威胁列为第一位,首次超过来自E-mail的安全威胁。趋势科技第一季度安全报告
分析:在两家反病毒厂商的报告中,均指出通过Web,进行安装的恶意软件数量比去年第四季度有大幅度上升,Sophos第一季度捕获的样本达23864例;而通过E-mail传播的恶意软件,从去年第四季度的占样本总数的1.3%下降到今年第一季度的0.4% 。这个鲜明的对比固然有3月底的Windows ANI漏洞公开、有大批网站被用于传播恶意软件的缘故,不过更重要的原因是邮件安全方案的广泛部署和用户对E-mail安全使用的重视。
目前从E-mail服务提供商到企业邮件网关再到用户,整个E-mail的传输和使用流程上均部署了成熟的E-mail安全方案。相比之下,Web流量的各个传输环节上都没有很成熟的防护手段,只有少数的组织和企业部署过内容过滤方案。另外,与用户端的E-mail过滤方案的高效形成鲜明对比的是,用户端的反病毒软件对Web恶意流量的防护不够完善,无法发现大部分进行过变形、伪装的漏洞利用页面和恶意软件。同时,会自动感染Asp/Html等Web文件、插入漏洞利用代码的蠕虫的增多,也是使Web安全威胁快速增加的重要原因。预计到2008年,来自Web的安全威胁将成为用户在线安全的主要威胁。笔者认为,随着Web安全威胁的发展,服务器端的Web文件感染防护产品、企业级的内容安全过滤方案和客户端的Web内容安全方案,将成为未来一段时间内Web安全领域的热点。
恶意软件:结合垃圾邮件功能的Storm蠕虫
新闻:周三,反垃圾邮件厂商MessageLabs最近捕获一个新的Storm蠕虫变种,该蠕虫变种除了蠕虫的功能外,还增加了发送带有指向恶意软件下载链接的垃圾邮件的功能。
分析:发送带有恶意软件下载链接的垃圾邮件,这个新增的功能使Storm蠕虫获得了新的传播方式。蠕虫现在不再需要直接将自身发送到受害者联系人的信箱,而只需直接把带下载链接的垃圾邮件发送到目标信箱,如果用户不小心点击了邮件中的链接,就有很大的机会感染蠕虫。这种E-mail和Web攻击结合的攻击方式,使通常的针对附件的反垃圾邮件方案和反病毒软件无法有效的起到防护作用。笔者预计,继使用远程溢出、密码拆解、文件共享感染、E-mail等扩散手段之后,蠕虫将会越来越多的使用两种或更多种攻击手段相结合的混合型扩散方式,并将很快出现结合网络钓鱼手法或社会工程学的蠕虫攻击方式,如何防护类似的混合型蠕虫的攻击,将成为安全业界将要面对的严峻问题。
市场动态:内容安全市场出现震荡
新闻:周四,内容安全厂商WebSense宣布,将收购Web和E-mail安全厂商SurfControl,这次收购将耗资40亿美元。
分析:WebSense和SurfControl的主营业务都是内容过滤和网络访问控制产品,但产品的功能和分类、所面向的用户群体和经营策略都略有不同,WebSense的产品以内容过滤和控制为主,SurfControl的产品以内容访问管理为主。这次收购完成后,新的WebSense-SurfControl公司将可以整合两个公司的资源和优势,业务范围和客户群体相互补充、成为未来一段时间内内容安全市场的最强者。笔者预计,内容安全市场会在未来2-3年内会有大的发展,市场主流将从内容过滤控制向内容过滤和管理相结合的模式转变,用户群体也将从以大型组织为主扩展到中小企业。其他的安全厂商如何面对WebSense-SurfControl的挑战,WebSense-SurfControl如何发挥整合后的优势,都是值得关注的。
安全产品:安全防护新品不断
新闻:周二,Robot Genius 新推出的RGCrawler服务可以自动搜索并分析目标网站上可执行文件,并对识别为恶意软件的可执行文件进行下载链接的黑名单登记等操作。此外,Robot Genius还推出了名为RGGuard的浏览器插件,可以对用户的下载行为进行实时监控,并通过和Robot Genius的数据库进行比较后确定下载内容的安全性。
分析:Robot Genius的新产品设计理念很特别,可以看作是内容过滤产品和搜索引擎的结合——同时,将恶意软件的样本的获取从等待用户提交的被动方式,转变为自动搜索和分析的主动方式。搜索引擎商的信息获取能力显然要比安全厂商强的太多,安全厂商或许可以通过和搜索引擎的合作,将搜索引擎的强大信息获取能力,转变为未知威胁的挖掘工具,提升对未知威胁的应对能力。
新闻:周五,NetForensic公司推出了一款新的企业级数据库监视工具,这款工具可以分析Web和数据库程序的底层通信,并记录所有与数据库操作有关的操作,它主要用于对针对数据库的攻击进行跟踪和防护。
分析:SQL注入仍然是针对Web的数据库后台的最大安全威胁之一,如何对SQL注入进行防御和事后跟踪目前尚未有比较完美的解决方案,尤其是针对Web和数据库不分离的单服务器应用更是如此。因此,企业级的高性能数据库监视和防护方案将会在大型机构流行,而部署简单、安全和成本低廉的数据库安全方案也会受中小企业的欢迎。