多重Web安全威胁下的全面防护

Web安全、Web应用安全依然是2010年的安全焦点，笔者就Web应用安全相关问题采访了Blue Coat大中华区产品市场经理申强先生。

专访嘉宾介绍

申强先生作为Blue Coat大中华区产品市场经理，主要负责Blue Coat大中华区（包括中国大陆、香港和台湾）的产品市场工作。申强先生拥有超过10年的IT行业工作经验，曾先后就职于BOE group、TownSky、Nortel Networks和Citrix Systems等国内外著名网络设备和应用解决方案公司，工作内容涉及技术市场及合作伙伴市场等领域，专注于技术咨询、解决方案整合，并且在应用交付网络（ADN）、系统安全和融合应用方面积累了深厚的专业知识。

Web威胁已经成为当今企业和个人面对的首要的安全风险。根据国家计算机病毒应急处理中心的报告，早在2008年，Web木马，就已经超过电子邮件病毒和U盘病毒，成为计算机被感染的主要途径。

根据Blue Coat的统计，去年网络木马攻击的数量更是比2008年翻了一番，钓鱼攻击的数量增加了600%。据第三方不完全统计，2009年全球由于Web安全威胁造成的损失超过1000亿美金。

与前几年相比，今天Web威胁的目的性更明确了-“攫取经济利益”。几年前，在国内我们还经常见到以单纯炫耀黑客技术的“无破坏性的”木马，或者弹出广告、劫持主页的“流氓软件”。但是今天，网络木马已经成为网络犯罪产业。特别是随着近两年网银、网游、网购的普及，虚拟的网络已经和真金白银结合在一起。大量Web木马和钓鱼的目的直指盗窃网银、网游、网购的帐号。而这类Web威胁都非常“低调”。计算机被侵入后，没有任何“异常”表现，只是潜伏在计算机中伺机盗窃帐号。部分用户甚至误认为Web威胁减少了。这种误解是非常危险的。

那么Web应用安全防护的重点在哪里，Web应用安全防护的难点又是什么？Blue Coat与大量企业就Web安全防护进行过深入探讨，并帮助国内外大量企业部署了安全防护解决方案。随着Web安全威胁的不断演化以及企业网络应用日益深入，我们总结出以下几点企业共同面临的挑战，

·互联网信息传播的迅捷性要求快速的防护

热门网站一旦被挂马,一天就可能有成百上千万的用户访问,因此,木马的传播速度远远超过传统病毒。根据Blue Coat安全实验室的统计，有一类快速变种的网络木马平均每4小时就变化一次。防病毒软件或防病毒网关一般是每天甚至每周更新病毒库，显然这种反应是不能抵御当今Web威胁快速传播，快速变化的特性的。

·创新的网络应用要求新型防护

Web2.0技术被众多网站大量使用，因此，每个用户都可能在网上将自己的信息发布在网上供他人访问。黑客也利用这种方式，将木马挂接在有漏洞的Web2.0网站上。另外，在过去的一年，互联网发展最快的是社交网站(SNS)，人们在社交网络中与好友交换信息。黑客利用社交网络的用户之间的朋友信任关系，把木马或钓鱼链接伪装成好友发来的链接，诱骗用户点击。这些新技术和新应用，正式Web威胁迅速增长的土壤。

·分布式企业和移动办公要求全覆盖防护

今天企业的分布范围越来越广，员工的移动性越来越强。根据PC厂商的统计，全球笔记本的出货量已经超过台式机。虽然很多企业在局域网上部署了各种安全设备，但是员工仍然不断出现计算机被木马病毒侵害的情况，正式由于很多移动办公用户在离开单位，脱离企业安全设备保护的情况下，计算机被感染，进而又把感染的计算机带回单位，连接在内网上。因此，今天企业需要的安全，一定是可以全面覆盖局域网和移动办公用户的。

·多种安全威胁要求多层防护

Web安全威胁形式繁多。既包括木马，病毒，钓鱼，非法内容等可能进入企业的不良内容，也包括由于后门或员工主动或无意泄露的企业敏感信息。如果分别利用不同的设备、不同的解决方案去解决每一种问题，企业的安全系统就会变得复杂、缓慢、难于管理、难于相互配合。因此，在一套解决方案中，能够全面地解决各种Web威胁，是企业的理想选择。

在当前的云时代环境下，Web应用安全也正在呈现新的特性。传统的企业网络是以“边界安全”作为防御的手段。云时代里，互联网应用更多更充分地被企业使用，换句话说，互联网成为了企业的数据中心的一部分，所有用户都和互联网连接。企业原有的“边界”逐渐消失了。这导致用户面临的更多的Web威胁。

Web威胁的花样不断翻新。我们看到很多IT部门为了应对这些威胁疲于奔命。今天遇到木马，就给企业上一个防木马的设备，明天遇到病毒，就上一个防病毒的设备，后天遇到一个员工访问非法内容，就上一个上网过滤设备，大后天遇到僵尸网络，就上一个防僵尸的设备。很显然，以一个企业的一己之力，对抗整个Internet上不断翻新的所有威胁，企业需要多少资金、人力、物力和专业安全人员的投入啊！显然这是不现实的。

所以，当今最可行的防御一定是云安全方案——用云安全保护云的安全。利用云安全所有使用者可以分享防御的能力，一个用户发现了新的Web威胁，这个信息立刻透过云安全服务，分发到所有用户，使所有用户都对这个威胁产生抵抗能力。

前一段时间在著名的Facebook (全球排名第一的社交网站)上曾经出现过一个称为KoobFace的恶意攻击，造成了巨大的损失。而Blue Coat的用户却安然无恙。根据Blue Coat安全实验室的事后分析，在法国的一位Blue Coat的用户是所有Blue Coat用户中第一个访问这个木马网址的，Blue Coat的产品检测到这是一个Web攻击，除了帮助该用户抵御了这个威胁，Blue Coat还立即利用它的云安全系统，把这个恶意网站的信息在Blue Coat的6千2百万用户中分发。几分钟后，Blue Coat的6千2百万用户全都知道了该网址是一个恶意网站，Blue Coat设备自动阻拦了所有用户到该网址的访问。最终统计，有上百万次对该网址的访问被Blue Coat阻止。从而确保了Blue Coat的用户免受这种攻击的侵害。

今天市场上有众多的安全解决方案，用户经常感觉到眼花缭乱，无从选择。其实可以从以下几个类别加以区分。

·防火墙、IDS/IPS是从网络层面保护企业网络的安全，它们对企业网络是必不可少的，但是，不足够解决所有的安全问题。因为他们对应用层的威胁，例如病毒、木马、钓鱼、非法内容没有抵御能力。因此，企业除了需要这类网络安全设备，还需要Web安全设备；

·防病毒网关或防毒墙，这类产品对病毒有良好的防御能力，但根据前面的介绍，这类产品对当今快速传播、快速变化的Web威胁显得力不从心。另外，这类解决方案缺少对非法内容，以及企业敏感信息丢失的保护能力;

·UTM是防火墙、IPS和防病毒网关等产品功能的组合体；

·Web应用防火墙，放置在网站前面保护网站服务器不被入侵、挂马的设备；

·Web安全网关，为上网用户提供防木马、防钓鱼、防病毒、防非法网络内容、防信息泄露的设备。

因此，Web安全网关是当今企业防御Web安全威胁重要的安全系统

什么样的Web安全网关适合企业部署呢？根据前面所讲，为了全面解决企业面临的Web安全挑战，Web安全网关应该具备以下特征

·实时更新威胁信息，而不是采用定期更新或定期升级，从而能随时抵御随时出现的新威胁。

·能够对Web2.0和社交网络的内容进行准确的分析，避免这些网络威胁“重灾区”中的木马病毒威胁用户的安全。

·既能保护局域网、也能保护SOHO和移动办公用户，无论用户身处何处，都能得到相同级别的保护。

·在一套解决方案中，能够全面地解决木马、病毒、钓鱼、非法网络内容、企业敏感信息泄露等各种Web威胁。

·把加速技术与安全技术紧密结合在一起，不会因为安全而牺牲性能，做到又快又安全。

Web安全行业在国内正处于蓬勃发展的阶段。在网络安全技术相对成熟的欧美，Web安全网关已经成为大部分企业网络安全的标准配置。特别在大中型企业中，已经被广泛部署。单就Blue Coat而言，在全球财富500强中，已经有89%的企业正在使用Blue Coat的Web安全网关。