Web云安全技術應用篇
近日,整合Web、郵件和數據安全防護解決方案提供商Websense發布了對2009年的安全預測報告。其中值得注意的是,“云安全”技術被濫用、Web應用和Web 2.0應用等被惡意利用的幾率將大幅增加。黑客們充分利用可編寫Web發動攻擊,在2009年,利用Web API服務來獲得信任、竊取用戶的資格證書或機密信息的惡意攻擊將會增加。
同時,隨著允許用戶進行內容編輯的網站越來越流行、數量出現飛躍增長,某些網站很有可能導致Web垃圾和向blog、論壇和社交性網站發送惡意內容的大幅度增加,內容包括搜索引擎麻痹、惡意引誘傳播和網絡欺詐等。此外,這些威脅和攻擊將被數種新的Web攻擊工具所整合,使黑客們可以發現那些存在漏洞、或者允許發布惡意代碼的網站。
而一直以來,針對Web安全保護的技術更是層出不窮,目前此類技術流派已經分成兩大類:第一類以新型的Web安全網關為基礎,第二類以最新的云安全技術為基礎。對用戶而言,無論采用哪種技術,最關鍵的還是安全效果的體驗。
WEB安全定義與共識
當前業內主流安全廠商經過多年的反復爭論,終于在Web安全上達成了共識,統一了Web安全的定義。這的確是一件不容易的事情,要知道不同的廠商側重點不同----URL過濾的、Http過濾的、防病毒的、反垃圾郵件的、Proxy的、端口鏡像的等等----大相徑庭的方案很可能導致用戶對整個Web安全領域的困惑,非常不利于整個產業的成長。
針對Web安全,當前業內的一致看法是,統一的定義不能從廠商的技術上去下,而是要與用戶需求的緊迫程度掛鉤。
從這個角度上分析,Web安全分成兩類應用模式:一類是針對病毒、木馬、間諜軟件、惡意軟件的威脅;另一類著眼于規范用戶行為,比如用URL過濾某些站點、員工上班時間上網控制、對用戶應用協議的控制、對IM應用的記錄與過濾、對P2P軟件的管理與控制、對企業內部的帶寬管理等。
需要注意的是,兩種應用模式并非孤立存在,彼此間是有交叉的。據Anchiva中國區總經理李松介紹,根據經驗,一套完整的Web安全方案,至少需要兩個部分:一臺針對TCP/IP協議二、三、四層應用的安全防御設備(比如防火墻、入侵檢測、UTM),之后串接一臺針對七層內容的安全防御設備,以便解決病毒、IM、P2P、網絡游戲、垃圾郵件、內容審計等應用。
持類似看法的,還有中國民用航空管理局的一位安全管理員。他說:“到目前為止,我所了解的不少同類用戶對于Web安全仍然無法形成最優的配置或共識,但我們有一個最基本的思路,即一套完整的IPS系統+Web安全網關相配合,至少能夠滿足相當多的內部員工對于Web安全的需求。”
說到應用,Hillstone首席軟件架構師王鐘在接受專訪時表示,針對企業的攻擊總是跟隨著應用而來,越來越多的企業應用構建在互聯網之上,而用戶在互聯網上的活動也是越來越頻繁和難以控制。無論是正常的企業應用還是企業員工的個人上網行為,都會成為Web攻擊的對象。從目前來看,多年的積累,使得企業具備一定的網絡攻擊防御能力,而針對新出現的Web活動引發的安全威脅,企業需要根據自身的特點,增強相應的防范手段。
Web安全形勢
之所以當前Web安全成為熱門話題,關鍵還是因為國內外Web安全大環境不容樂觀。根據趨勢科技剛剛發布的《2008年上半年安全威脅報告》的統計,目前針對Web應用的威脅正以爆炸式的速度增長,全球范圍內企業與終端用戶面臨的風險已經到了非常嚴重的地步。
對此,Wedge Networks全球CTO張鴻文博士介紹,無論是美國還是中國,隨著“社會網絡、Web2.0、SaaS”的興起,網絡本身已經成為社會生活的一部分。在這種環境下,與傳統的病毒制造不同,當前各種木馬程序、間諜軟件、惡意軟件等以利益驅動的攻擊手段越來越多。
事實上,隨著當前Web應用開發越來越復雜與迅速,攻擊者可以很容易地通過各種漏洞實施諸如:注入攻擊、跨站腳本攻擊、以及不安全的直接對象關聯攻擊,從而進一步通過各種隱蔽的技術手段盜竊企業機密、用戶隱私、信用卡賬號、游戲賬號密碼等能夠輕易轉化成利益所得的信息。
另外,通過木馬、漏洞控制海量的普通用戶主機組成僵尸網絡,利用這些“肉雞”,控制者可以通過多種方式獲取利益,比如發起攻擊、點擊廣告、增加流量等行為。
“從實際的經驗看,在一個典型的Web服務架構中,很有可能發生某些攻擊行為從Web層面滲透到企業的控制與數據層面,從而引起更大范圍的災難。其實不論是攻擊Web站點還是Web服務,惡意Web站點總是能夠快速建立起來,并在搜索引擎的推動下襲擊無辜的用戶。”
從Wedge Networks全球合作伙伴反饋的信息來看,美國、日本、韓國、英國的企業用戶對于Web攻擊以及Web應用的脆弱性都有較為充分的了解。在此基礎上,那些國家中一些垂直行業與機構,比如公共安全、金融、醫療、交通、能源等企業,對于Web安全保護的技術關注與投入都非常高。
實際情況是可悲的。根據趨勢科技發布的統計數字,從今年二季度開始,國內就有超過1萬個大型網站遭受“注入攻擊”,這些攻擊者的動機幾乎都是惡意軟件植入、名譽損害、以及數據竊取。
有用戶BBS上留言:“我們重視Web安全造成的損失,但是我不清楚,這部分預算究竟應該分配給誰:是分配給負責網絡基礎設施的管理團隊,還是分配給管理Web服務器和數據庫服務器的團隊?”無疑,Web安全的挑戰被演繹到了技術、應用與企業管理水平的層次上。
問題已經很清楚了,當前針對Web應用的威脅,企業用戶當前的防范措施還遠遠不夠。對此張鴻文博士曾一針見血地指出:“當前國內企業已有的大部分安全設備都是基于TCP/IP協議的三、四層防范,而針對Web應用的威脅是基于協議的七層攻擊(應用層攻擊),從技術角度來看,傳統防火墻、IDS等設備針對應用層的攻擊幾乎是沒有防御效果的。”
云安全15分鐘建立防線 病毒入侵成為歷史
看完上半部份的文章,讓我們了解到現在的病毒基本上都是基于Web途徑傳播,通過在高流量網頁上“掛馬”的方式,在用戶訪問網頁時自動下載到本地計算機的信息。最常被用戶訪問的網站中,有2成左右都含有各種木馬病毒。這直接造成了有65%的用戶因為在家網上購物受到此類病毒侵害,從而帶來經濟損失。
在全球金融危機的大環境下,再遭受賬號損失無疑雪上加霜。而對“掛馬”防范不利則是造成這種后果的直接原因。也就是Web病毒數量多、傳播速度快的特點造成了 “零日”危機。病毒利用防范的“空窗期”大肆入侵。傳統的反病毒工作根本無法與病毒在速度上相抗衡。
但是趨勢科技云安全技術改變了這種局面,基于云計算強大的數據處理能力,將人工判別風險轉變為計算機判別網頁的安全等級模式,通過計算網頁的信譽等級,可以將Web威脅遏止于網絡之外。例如,當一位云安全用戶訪問一個網頁時,訪問請求就被發送到趨勢科技的“云”數據庫中,對該網頁的風險級別進行查詢,這個過程僅需幾十毫秒,讓終端用戶絲毫察覺不到,只是在訪問含到有威脅的網頁時會收到提示。
如果用戶訪問的網頁在云端數據庫中沒有記錄,用戶會順利地訪問此頁面。與此同時,趨勢科技的2000多部在線服務器就會把網頁信息源收集起來,再進行分布式計算,得出網頁的信譽等級。這個計算時間最多只需15分鐘。此后,第二位訪問該網頁的云安全用戶將會受到云端的保護,從而達到了“讓Web世界沒有第二位受害者”的成效。
【編輯推薦】
