Web安全专访之Websense中国区刘沛旻

　　一直以来，针对Web安全保护的技术层出不穷。由于目前的企业对于互联网的依赖程度不断加强，各种病毒、木马、间谍软件、恶意程序、垃圾邮件、恶意站点的危害正在不断变化与加强。从某种意义上说，当前防御Web威胁，已经成为安全厂商和广大用户共同面对的挑战。

　　一．作为业内知名的信息安全厂商，您如何看待目前Web安全的威胁与风险？企业用户是否已经做好了防御的准备？

　　随着互联网用户的不断增长，基于Web方式的攻击依然是黑客攻击的首选攻击方式。一方面，网站广告、流量带来的巨大利益诱惑促使新兴网站的不断增多， 而这些网站又通常都是缺乏严格管理和安全防护，这让黑客可以轻易的利用Cross-site Scripting（XSS）、SQL注入、DNS毒药等方式对访问这些站点的用户进行攻击；另外一方面，随着Web2.0网站的流行，让用户可以自己不断的更新现有内容、共享应用程序，并通过多种渠道进行即时通讯，这也为黑客可以更具伪装的“合法”的在“知名”的网站下进行恶意代码的传播。Websense安全实验室对2008年上半年的网络安全威胁的分析：

　　1.“在 2007 年下半年遭到感染的网站中，有 50% 以上的包含恶意代码的网站都是具有高知名度的网站。”

　　2.“这些遭受严重侵染的前 100 名网站中有 45%以上 的恶意代码均由用户带入。“

　　我们应该说，大多数的用户并没有充分意识到当前Web安全威胁和风险对企业安全的巨大影响，有很多用户都在不知不觉中容忍着各种间谍软件、傀儡程序、键盘记录软件、广告软件在主机上运行，为企业带来巨大的安全风险和经济风险。我们需要持续对用户进行最新Web安全威胁和风险的更新。。。。。

　　二．对于当前泛滥的病毒、木马、间谍软件、恶意程序、垃圾邮件甚至是恶意站点，贵厂商有何独到的技术进行防御？其优势在哪里？

　　不同于时效敏感的病毒特征码机制和维护成本高昂的入侵检测系统，Websense采用专利的ThreatSeeker? Network来侦测最新互联网安全威胁。 这个全新的威胁侦测网络包含了超过5千万“虚拟研究者”、蜜罐主机，遍布全球来收集和分析可能包含恶意代码的网站、应用、邮件、结构化或非结构化的数据。目前Websense ThreatSeeker? Network每天将分析8500万的站点，每周分析5.95亿站点。ThreatSeeker技术采用适应性安全技术和处理过程可持续监控 Internet 变化和出现的威胁，并可将安全智能应用于我们的 Web 安全、通讯安全和数据丢失预防解决方案中。

　　三.目前，很多企业比较头疼网络中的HTTP防御和Web服务器漏洞保护问题，贵厂商如何看待此类问题？有何技术加以解决？

　　Web应用的多样化、Web安全威胁的日益增多都让越来越多的企业期望找到简单易用的Web防御方案，让管理变得简单、让互联网访问更加安全。Websense也是不断适应客户的需要，从最早的Web Filter方案发展到Web Security解决方案、Web Security Gateway方案，来适应用户不断发展的网页内容管理、Web安全防御，而这些解决方案的基础这是上述ThreatSeeker?为基础的，这样我们可以方便的为客户提供最新的网页内容分类信息、安全威胁网站信息。同时，我们也利用我们安全实验室的工具，为Websense的注册用户提供免费的站点看护、品牌看护、网站扫描等网页服务器保护服务。

　　四.基于URL或应用程序协议控制，是否是防御Web威胁的良好出路？

　　现阶段URL和应用程序的协议控制是对Web威胁防御比较有效和可行的方式，不论从内容过滤的性能和效果来说都可以获得很好的防御控制效果。当然，随着新兴网络应用的不断出现以及黑客技术的发展，Web威胁防御也需要有更新的技术和手段，Websense也正在不断的研究和开发适合新兴威胁的最佳防御之路，例如，面对最新的Web2.0安全威胁、SSL Proxy代理回避技术，Websense即将发布的Web Security Gateway将就采用最新的动态恶意程序分析引擎、自动未知网站实时分类、动态Web2.0网站自动实时分类技术、SSL加密/解密技术等，我们可以预见实时网站分类、实时内容分析将成为未来防御Web威胁的主流技术。

　　五.对于Web安全防御中的性能损耗问题，目前很多用户似乎对此有些担心，贵厂商如何看待？有何技术可以解决？

　　目前的Web安全防御方案，主要采用的是旁路监听方式和结合网关设备的方式。如果是采用旁路监听的方式，因为我们仅通过复制出口流量来进行内容分析，只有在发现异常数据时才会通过相关组件发送阻断指令，阻断不良、恶意连接，这样的方式是完全不会造成任何网络延迟的；相对于旁路监听方式来说，结合网关设备的方式则利用网关设备和Web安全防御方案联动的方式进行，客户的请求将由网关设备转交给Web安全防御产品处理，再决定用户的请求是否被允许，这样的工作方式的确可能造成一定的互联网访问的延迟，但是因为目前主流的Web安全防御方案还是主要采用URL匹配的方式来发现恶意的网站，而不是本地分析整个网页的内容，因此，匹配过滤的速度还是相当快速的。另外，我们也建议如果用户采用网关设备结合部署，我们可以尽量采用Proxy设备及硬件缓存设备来进行结合，因为这类网关设备可提供本地的缓存能力，可以为用户提供更快速的内容缓存和页面内容过滤的缓存。

　　六.近一年来，云计算的模型被大量信息安全厂家所接受。相对于云安全的理念，贵厂商如何理解，是否有所采用？相对而言，贵厂商如何看待未来Web安全网关的发展？

　　是的，Websense作为Web安全技术最前沿的厂商也加入了这股新的技术浪潮之中。我们注册专利的ThreatSeekerTM技术就主要利用云计算的特征充分运用到恶意代码手机以及应急响应方面，我们在全球范围内部署蜜罐、号召我们全球超过50,000的企业用户也加入到该网络中，利用网格计算机密结合，可以及时应对网络中不断出现的新型安全威胁攻击、漏洞利用，为其规则库的及时更新提供了有力支持。

　　在未来的web安全网关的发展这个问题上，我们都知道随着信息技术的发展，网关安全与网络周边的结合是势在必行，有消息称，新一代的安全网关技术的整合是一大趋势，包括网关安全与路由、语音、视频、内网控制和IPv6的融合，确实，从目前web安全网关的发展趋势来看，安全网关技术的融合是一个不可避免的趋势，web安全网关将在这些技术的融合过程中扮演重要的角色和提供更好的支持。另外，我们再从防火墙的市场上的发展来看，同时也考虑到目标用户的实际需求，我们认为基于内容过滤的web安全防护将成为防火墙市场一个必不可少的功能模块。

　　七.国内信息安全厂商有一种看法，“安全的问题要本地化，本土应用、本土威胁要本土厂商来解决”，对此，贵厂商如何评判？

　　当然，我们应该承认国内信息安全厂商对理解国内用户需求和适应中国文化上具备一定的优势，但是我们也应该看到的是，现在Web上的安全威胁、互联网上的安全威胁是全球范围的，它并没有国界，而且在我们纵观整个互联网安全威胁的分布和发展，我们都可以清楚的看到，很多安全威胁都是从国外首先发起然后蔓延全球，而国内的很多本土恶意网站也借助了国外的恶意工具箱量产生成，我们不应该刻意的强调产品开发团队的地域所属，而应该注重其技术的领先性、适用性，对未来安全威胁的可用性。

　　八.总结国内外经验，贵厂商认为用户在面对Web安全防御中存在哪些挑战？

　　从近几年的互联网安全威胁发展来看，未来黑客会更多的去利用攻陷“好名声”的知名网站来攻击用户，而不是自己去架设专门的恶意网站，其形式会更加复杂和难以识别，这就对仍然采用传统安全防御手段的企业用户面临的巨大挑战。

　　黑客也仍然会利用可用户自创建内容的站点和Web2.0应用来进行恶意数据的传播和攻击，他们的攻击也更加具有针对性和倾向性，他们会针对有特定爱好和相同特性的人群进行定制攻击，这也要求未来的Web安全防御重点之一就是Web2.0内容的检测。

　　最后，我们也希望能够强调其实单一的Web安全防御、邮件安全过滤方案来应对现在的各种混合的安全威胁是不足够的，企业应该将眼光聚焦在以数据保护为中心的安全解决方案上，Websense也真是在这种理念下，为用户提供完整的关键信息保护（Essential Information Protection）解决方案，把网页安全、数据安全、邮件安全都融入到统一的防护方案中。

　　九.贵厂商希望和国内读者分享的安全经验或建议

　　首先，我们认为一定要加强安全防范意识，根据Websense近期的报告和研究来看，大量著名的门户网站、购物网站和社区论坛等成为攻击者的利用工具，这使得我们在进行正常的互联网使用和浏览时，很有可能会在不经意间给企业的安全带来风险。因此，强化企业员工的安全防范意识非常重要，对员工进行互联网安全风险培训和教育，从内部杜绝安全隐患。

　　针对当前企业所面临的各种风险来看，机密核心数据资料的丢失和被窃已成为令企业管理者头痛的一大难题，针对目前市场上林林总总的各种DLP解决方案和Web过滤解决方案，我们建议企业进行设备或软件的选择时，一方面充分考虑企业所面临的实际问题，另一方面，要选择具备雄厚的研发实力基础的供应商，这样才能迅速、积极、主动的化各种风险于无形，也才能真正有效解决安全隐患问题。