安全专家详谈Web威胁种类及其防御方法

ZDNet 安全频道频道 更新时间:2008-06-13 作者: 来源:SohuIT

本文关键词:用户 HTTPS 安全策略

  企业及其雇员越来越依赖于互联网,不管是在家里、在路途中、在办公室中都是如此。这种依赖性在与多种最新的Web威胁结合之后,将会使企业比以往更加脆弱,更容易遭受攻击。近半年来的Web攻击都有一个鲜明的特点,在无需用户干预的情况下,这些威胁就可以进入网络,严重威胁着企业的数据安全、工作效率,直至企业的最终利益。



  而且,由于Web内容和形式的多样性,其威胁的花样也是不断翻新。比方说,前些日子使得许多网站深受其害的SQL注入式攻击就采用了不同于以往的手段。前几天利用Flash player漏洞的攻击,也体现出这种威胁形式的变化性和无常性。面对新的威胁,加强防御是唯一的制胜之道。



  Web威胁的种类



  此处谈的种类虽不能代表全部全部,至少代表了最为严重的一些Web威胁。现在的黑客日益聪明,他们认识到通过互联网络搞点“外快”要远比炫耀自己的本领更加实惠。



  前一段时间的“艳照门”事件和抗震救灾期间的“救灾视频”,都有黑客们的手脚在里面,他们往往用一些令人感兴趣的东西来吸引受害者,所谓愿者上钩。孰不知,这些表面的东西往往包含着恶意软件,甚至rootkit程序。根据赛门铁克的调查,以下这些可谓最具危险性的Web威胁:



  可信任站点的漏洞:我们都有这样的看法,大的知名网站是相对安全的。黑客们也知道这一点,他们会想方设法修改这些网站的网页,将用户的浏览器重新导向到其精心打造的恶意站点,这个恶意站点看起来还是是非常可信的。但在用户向其中输入个人信息时,它们“统吃”。“吃”了你的还不算,还要在你的系统上种上点东西(如间谍软件等),或者破坏你的邮件地址簿,肆意传播垃圾邮件等。



  浏览器和浏览器插件的漏洞:前几天我们看到一些安全专家建议不要使用IE浏览器。其实其它的浏览器也并非无懈可击,只是漏洞暂时还不太多或者说是攻击者对其关注的程度还不够高而已。不管哪种浏览器,攻击者都可以利用其漏洞或其插件的漏洞将恶意软件下载并安装到用户计算机上,或者将用户指引到一个恶意站点。



  终端用户:许多攻击者都是从终端用户下手的。许多企业面临的威胁主要是由于其针对笔记本电脑、桌面系统、服务器、未受保护的移动设备的安全策略不健全造成的。如空口令、关闭防火墙等都是具体表现。



  可移动的存储设备:由于U盘、移动硬盘、MP3、MP4等设备的快速流行和使用,恶意软件也可以轻易地从外部的设备传输到网络系统中。此外,插到iPod中的插件也可以成为窃取系统数据的重要媒介。



  网络钓鱼:前面笔者在谈到Web的新威胁时谈到,网络骗子伪造冒似金融网站的虚假站点欺骗消费者。它们还能够以金融公司作为其伪装,在电子邮件中诱骗消费者输入其个人机密信息。



  僵尸网络:攻击者通过隐藏的程序控制大量的计算机系统并执行多任务,如发送垃圾邮件和发动拒绝服务攻击等。



  键盘记录程序:黑客在用户的系统上安装可以记录用户击键的程序,并将记录的结果秘密地通过电子邮件发送到黑客的邮箱。



  多重攻击:黑客使出“组合拳”,即将多种战术结合在一起(如综合运用键盘记录程序、僵尸网络、钓鱼等手段)来窃取用户的敏感信息。



  此外,攻击者还可以通过间谍软件窃取个人的机密信息,并能够通过垃圾邮件传播病毒、间谍软件、木马等。



  以上这些威胁并不代表全部,现在的web威胁日益体现出综合化,并向纵深发展。以前攻击者主要利用操作系统漏洞,现在对应用软件的漏洞越来越感兴趣;以前的SQL攻击可以检测,现在却越来越难;以前黑客们控制一两台计算机,现在可以通过一个网站攻击其它网站,并感染用户,进而构建僵尸网络,借以发动分布式拒绝服务攻击(DDoS)。因此任何企业都应当重视防范措施的多样性和多重性,不要依赖单纯的一种技术,有了UTM并不意味着万事大吉。为此笔者提供以下防护Web威胁的方法:



  阻止对恶意服务器的访问



  企业应建立恶意站点的清单,借助防火墙、UTM等设备,在桌面用户试图打开已知的恶意服务器的网页时,立即阻止这种企图。这样做不但有助于安全,还可以节省大量的带宽和网络资源。



  仅允许对可信任站点的移动代码的访问



  所谓移动代码是一段计算机程序,能够在计算机或网络之间传播,在未经授权的情况下,它可以修改计算机系统。如ActiveX,Java Scripts,Rootkit等都属于移动代码。虽然移动代码使得web更加生动活泼、富有活力,但它也为攻击者提供了深透进入桌面计算机的便利,



  网关扫描



  任何时候都不要假定用户一定拥有最新的反病毒定义,并运行着防火墙等软件,也不要认为正在访问的计算机都受到了良好的管理。企业可以在威胁进入网络之前,通过网关集中扫描恶意代码从而轻易地控制所有进入的Web通信。



  依靠不同厂商的软硬件实施桌面和Web网关的扫描



  不要一棵树上吊死。因为现代的攻击在发布之前都针对某些流行的反病毒机制进行了测试。企业应当通过恶意代码扫描工具的多样性来加强对威胁的检查和阻击能力。



  经常更新桌面和服务器的补丁



  这样做的原因是经常有新的漏洞出现。且不说零日漏洞,只要我们认识到多数的攻击都是通过利用未打补丁的应用程序和系统来传播的,那么也就会自觉的经常为系统打补丁。



  桌面要安装反病毒程序并保持最新



  企业要告诫用户不要认为安装反病毒程序会影响性能而禁用之。一台没有安装反病毒程序并能够保持升级的电脑不应当连接到互联网和企业内部网,也不应当访问光盘和移动存储设备。



  仅准许访问通过所有浏览器检查的HTTPS网站



  多数用户并不理解三个SSL浏览器检查的意义,也不能理解为什么不能访问没有通过全部三个检查的站点。SSL检查是指证书与所请求的URL之间的到期证书、不可信任的发行者、主机不匹配三个方面。



  仅从可信任的网站下载可执行程序



  许多用户都有这样的体验,在安装某个下载的工具时,它要求访问网络。而这种访问对普通而言,首先是不必要,因为我们仅需要其当前功能;二是风险很大,因为普通用户并不清楚访问网络程序的具体行为,而且也无法保障所访问的网络真正安全。而且,现在许多恶意软件都是将自己与一个冒似“忠良”的程序结合起来发布。这种程序在执行时,其中的恶意软件就会为所欲为。



  不要访问以IP地址作为服务器的网站



  近来的一些攻击更多地利用了安装有简单Web服务器功能的、受到损害的家用计算机。一些受害者多是通过IP地址被指引到家用电脑,而不是域名。实际上,真正合法的网站都会在URL中采用主机名。



  仔细键入网站的URL,避免输入错误



  任何一个正常的用户都不会愿意访问一个恶意的站点,但为什么还是屡屡中招呢?对一些知名的网站的域名输入错误会将用户带到一些早就潜伏在那里等待用户上钩的网站。此外,如果用户的浏览器并没有打上最新的补丁,也有可能被偷渡式下载(drive-by download)安装恶意软件。



  结束语



  以上这些防御手段可以看出,多数措施需要企业的雇员或用户的配合。因为正是他们是网络链条中最薄弱的环节。所以对雇员等加强安全教育的力度和广度,强化用户的安全意识,提高全体工作人员的防范意识才能真正地对付各种不断变化的威胁。

安全频道 用户 最新报道

安全频道 HTTPS 最新报道

安全频道 安全策略 最新报道

[an error occurred while processing this directive]