信息安全策略专题之降低基于网络的风险篇

　　曾经有一段时间，针对来自“下流”网站的页面基本内容和网站ＵＲＬ地址进行过滤就属于非常有效的网络威胁防范措施了。然而，现在人们所面临的现实情况已经发生了很大变化；网络犯罪分子逐步意识到，仅仅利用已知恶意网站来传播恶意软件只能接触到数量极少的网络社区。他们还发现，利用受欢迎的合法网站（或者广告网络）来传播自己窃取金钱的恶意软件将更为有利可图（在许多情况下也相当容易）。最新的研究结果显示，仅仅一天当中就会有近２００００家恶意网站被发现。而在这些恶意网站中，有五分之四属于遭到入侵的合法网站。当前网络上传播的恶意软件中，有超过７０％利用的是合法网站，属于公司员工在工作时间定期访问的情况。多态和隐身传播网络攻击（尤其是偷渡式下载）的日益增加正在使传统网络防御措施逐步变得无用化。对于公司信息安全团队来说，应当采取什么措施才能让自身内部数据和网络所面临的基于网络的风险得以有效减轻呢？

停止使用过时的网站ＵＲＬ地址过滤以及网络ＩＰ地址黑名单技术

　　对于自动化程度越来越高的恶意软件来说，网站ＵＲＬ地址过滤以及网络ＩＰ地址黑名单之类无法扩展的技术都已经属于毫无用处的史前级破烂。在即将到来的ＩＰＶ６协议迁移浪潮中，类似网络ＩＰ地址黑名单（它是完全基于ＩＰｖ４协议的）之类技术将不会再起到任何作用。基于网络的现代威胁防护技术必须采用分层综合模式，以达到利用多种技术对基于网络的流量进行快速准确评估的目标。这其中，就需要包含网络安全网关、端点保护套件、网络行为分析或数据泄漏预防等方面的工具。

安装网络安全网关（或网页内容过滤产品）

　　很多新版本的网络安全网关产品都已经开始利用云技术来提供实时安全信息。来自安全信息共享社区的实时连续威胁数据让识别和应对新威胁的速度变得更快。为了防范偷渡式下载，有些网络网关已经可以做到利用行为分析或者启发模式来对已知漏洞和相关迹象进行全面监控。

认识到仅仅依靠网关恶意软件扫描工具并不能保证绝对安全

　　最新发表的分析报告显示，接近７０％的新恶意软件仅仅公开出现过一次。对于仍然依靠传统基于签名的扫描模式的老式安全解决方案来说，这就意味着实际工作难度将变得大到无法有效应对。因此，人们希望获得的是可以针对页面上所有内容（而不仅仅是网站ＵＲＬ地址）进行真正有效分析的下一代网络解决方案。不过，在针对页面上的所有元素以及来源（举例来说，ＪａｖａＳｃｒｉｐｔ、广告和窗口小部件等等）进行分析方面，恶意软件识别和阻止网络组件还有很长的路要走。

确保浏览器插件／附加组件等项目能够定期获得更新　

　　很多基于网络的攻击都会尝试利用浏览器插件中的已知漏洞。而这些未打补丁的插件让偷渡式下载的成功率迅速上升。相比依靠员工自觉对使用的浏览器插件进行定期更新，更好的作法还应该是利用应用程序和浏览器插件的更新机制进行集中管理。随便说一句，我个人最喜欢的就是火狐浏览器的Ｎｏ－Ｓｃｒｉｐｔ插件。除非获得了使用者的明确许可，否则它就可以禁止所有跨站点脚本的运行。

开发时遵循公司网站安全编码实践规则

　　由于所采用的编码技术非常低劣，因此无数网站都很容易遭遇到ＳＱＬ注入攻击、跨站点脚本（ＸＳＳ）、跨站点请求伪造（ＣＳＲＦ）　以及一系列其它方面安全漏洞的攻击。总而言之，公司现在要做的工作就是让网络犯罪分子针对自家网站的攻击变得　更加难于获得成功。除非攻击网站变得得不偿失的情况，否则公司所面临的情况只会更加严峻。因此，绝对不要让自己成为问题的组成部分；防止公司网站成为恶意软件的传播途径。而确保网络团队遵循安全编码规范就属于最佳的做法。

　　由于合法网站遭受入侵的趋势越来越明显，这就意味着对抗恶意软件的任务将仍然非常困难。因此，对于技术团队来说，应当做的工作就是明确自身面对的具体目标。它并不应该是防范所有的恶意软件进入公司，而应该是将基于网络的恶意软件对公司造成的威胁尽力减少到最低限度。