类似“冲击波”、“I love You”的“大”病毒越来越少了,取而代之的是无声无息的Web 威胁。近年来,针对Web网站发现攻击呈现规模化、隐蔽化趋势,并将攻击目标锁定为知名合法网站。进入2009年11月以来,Websense安全实验室监测一场大规模恶意代码注入活动正在蔓延,数万合法网站已经受到攻击,数亿网民受到影响。而对于Web安全,用户或多或少存在认识上的误区,无论是对它的危害程度还是企业应该采取的保护方法上都需要有一个清醒的认识。
第一件事:Web威胁的目标是数据和攫取利益
面对来势汹汹的Web威胁,绝大多数企业并没有真正意识到其中的危机。一方面,恶意网站以600%的年增长速度在迅速增加;另一方面,77%带有恶意代码的Web网站是被植入恶意攻击代码的合法网站。如果把前者比作明枪还可以避免的话,那么作为暗箭的后者可以轻而易举地攻击无辜Web用户,进而危及企业网络中的数据。
Web攻击是目前数据窃取的主要途径。Websense安全实验室的监测结果显示当前57%的数据窃取攻击是经由Web而实现。由于基于Web2.0的威胁具有定向性、隐蔽性和区域性爆发等特点,越来越多的合法网站被挂马、被注入,对此不知情的员工对互联网的依赖性使得企业网络比以往更加容易受到攻击,使得一次普通的浏览网页也变成了一件具有很大安全风险的事情。Web威胁可以在用户完全没有察觉的情况下进入企业网络,从而对公司数据资产、行业信誉和关键业务构成极大威胁。即便是一些看上去并不重要的信息片段,一旦被偷窃者汇集并归纳,其后果可能导致公司内部机构设置、战略合作伙伴关系、核心客户等重要信息被泄露。
Web攻击的最终目标是企业数据和获取商业利益。Ponemon研究机构的一项研究也在证明这一点:数据泄露、丢失等破坏行为的平均开销正在逐年增加。并直接给企业带来业务损失,损失占到企业总花费的69%。Forrester同样在名为“计算安全信息泄密代价”的调查中发现:三分之一以上的企业都曾遭遇到数据泄漏事件,其中一半公司在数据泄漏事件付出了惨痛代价。与员工上班玩游戏、炒股、聊天、下载等行为造成工作效率下降、带宽资源紧张相比,Web攻击造成的损失就是数据泄漏,直接给企业造成经济损失,因而成为当前企业面临的最紧迫的安全问题。
第二件事:传统防护手段难以防范Web威胁
对付Web威胁,传统的防护模式是否能够有效化解呢?答案是否定的。越来越多的Web攻击者将合法网站做目标,77%带有恶意代码的Web网站是被植入恶意攻击代码的合法网站,google、sina等知名网站也时常有网页被挂马,用户不能因噎废食,利用上网行为管理产品整体封锁对整个网站的访问。此外,尽管大多数Web 2.0 网站自身都会采取防挂马、防注入等保护措施,但是研究结果显示:65%到75% YouTube和BlogSpot所采用的社区驱动型安全工具在保护Web用户避开不良内容以及安全风险方面是无效的。
面对来势汹汹的新型Web威胁,传统安全措施无法跟上Web内容不断变化的步伐。一方面恶意软件也可能出现在声誉良好、受到大家信任的网站上,就像出现在其它网站恶意上一样容易;另一方面网络应用程序越来越多,传统的防护模式已经力不从心,即便是如今已经运用的非常成熟的“病毒特征码查杀”技术,随着病毒爆发的生命周期越来越短,其传统的安全系统防御模型更是滞后于病毒的传播,用户只能处于预防威胁-检测威胁-处理威胁-策略执行的循环之中。即使利用市场上现有最快速的反病毒系统和服务机制,企业仍然不能防范最新的威胁,因为服务方往往无法及早和完整地介入整个新病毒事件。
第三件事:Web安全+防信息泄露实现企业自我保护
Web 2.0 改变了企业使用互联网的方式。通过诸如 Facebook 和Twitter之类的网站,员工可以自己创建内容并迅速与数千人分享。这些网站中的内容是动态的,传统的安全系统无法控制。为了在工作中使用 Web 2.0,企业需要采用新的方式来保护重要信息。
什么才是最有效的防范Web威胁和防止数据泄漏的安全解决方案呢? Websense建议用户将Web安全与防信息泄露有效结合起来,Web安全方案可以有效过滤来自互联网的风险,将数据窃取的企图消灭在萌芽阶段,而防信息泄露方案可以对企业的信息资源进行针对性的保护。
具体来说,Web安全方案提供全面的覆盖范围、可见性和控制,对于“谁能够发送什么信息、在哪里发送、如何发送”全部一目了然。数据泄漏防护方案可以识别, 监视和保护机密数据。通过将Web安全方案与数据泄漏防护方案相结合,企业可以有效控制Web风险,精确防止数据泄漏,保护业务流程。