那 罡

如今Web帶來的安全問題比以往任何時候都更加突出,信息泄露與Web風險之間的關系也越來越緊密。因此,企業(yè)必須從互聯(lián)網(wǎng)網(wǎng)關處入手,防范惡意攻擊,同時阻止信息的意外泄露和惡意竊取。

央視3?15晚會對信息泄露的諸多案例曝光讓很多人恍然大悟:原來木馬制作者可以輕易利用木馬病毒等惡意軟件盜取大量用戶的網(wǎng)上銀行賬號和密碼。互聯(lián)網(wǎng)原來如此不安全!

惡意軟件讓信息泄露

信息安全專家白鷺分析說:“其實,網(wǎng)銀系統(tǒng)是相對來說比較安全的,因為銀行數(shù)據(jù)庫被入侵的可能性非常小,而風險主要集中在用戶的個人電腦上。但是無論信息泄露是無意間發(fā)生的還是惡意行為所致,對于業(yè)務流程、信息處理均嚴重依賴于IT設施的企業(yè)而言,信息泄露事件一旦發(fā)生,企業(yè)將面臨巨大的資產(chǎn)損失和聲譽損失風險。”

大概五年以前,大部分惡意程序還是通過電子郵件的方式傳播,如今大部分惡意程序已經(jīng)采用URL的形式。Websense北京研發(fā)中心經(jīng)理洪敬風透露,全球排名前100位的知名網(wǎng)站,70%曾被植入過惡意軟件,而更多企業(yè)站點已成為惡意軟件傳播的溫床。相對于過去,URL已經(jīng)成為惡意軟件傳播的主要途徑。

保護企業(yè)重要信息不被惡意竊取和破壞,已經(jīng)成為當前商界和IT安全業(yè)界所面臨的最大挑戰(zhàn)之一。造成信息泄露的主要方式包括:文件轉(zhuǎn)移、Web、即時通訊、P2P、郵件、網(wǎng)絡印刷等六種模式。

但是,如今Web帶來的安全問題比以往任何時候都更加突出,信息泄露與Web風險之間的關系也越來越緊密。Websense公司全球副總裁兼中國營運總經(jīng)理鄧曉蓮認為,企業(yè)必須從互聯(lián)網(wǎng)網(wǎng)關處入手,防范惡意攻擊,同時阻止信息的意外泄露和惡意竊取。

傳統(tǒng)的安全產(chǎn)品往往專注于防攻擊方面,或者兼顧防攻擊和防泄密兩個方面,比如防病毒軟件對用戶桌面和網(wǎng)絡的保護,IDS和IPS對入侵攻擊的防護,防火墻對企業(yè)大門的看護。

這些“老三樣”產(chǎn)品在防攻擊方面已經(jīng)做得比較完善,但在防泄密方面主要著力于泄密的網(wǎng)絡管理以及事后審計上,因而達不到理想的效果。因此,Websense、趨勢科技、Symantec和穩(wěn)捷網(wǎng)絡等公司相繼推出Web安全網(wǎng)關(也稱為Web應用防火墻),用于降低用戶面臨的Web風險。部署Web安全網(wǎng)關,似乎已經(jīng)成為企業(yè)有效防范信息泄露的最有效途徑之一。

智慧的蜜罐

Web安全網(wǎng)關用以解決令諸如防火墻一類傳統(tǒng)設備束手無策的Web應用安全問題。與傳統(tǒng)防火墻不同,它工作在應用層,因此對Web應用防護具有先天的技術優(yōu)勢。

基于對Web應用業(yè)務和邏輯的深刻理解,Web安全網(wǎng)關對來自Web應用程序客戶端的各類請求進行內(nèi)容檢測和驗證,確保其安全性與合法性,對非法的請求將予以實時阻斷,從而對各類網(wǎng)站站點進行有效防護。

Thomas Weisel Partners首席安全官Beth Cannon認為:“互聯(lián)網(wǎng)是我們每天都要用來發(fā)展業(yè)務的重要工具之一,但隨著Web2.0的迅猛發(fā)展,Web應用程序和各種應用都有可能被我們的員工使用,我們必須確保這些員工所瀏覽的及他們正在進行的Web應用是安全、有保障的?！彼a充道:“作為一個金融機構(gòu),我們著力制定了嚴格的規(guī)章制度,并致力于確保我們的財產(chǎn)所有權(quán)和客戶的信息和數(shù)據(jù)是安全且不會受到任何威脅的?！?/p>

為此,Websense Security Labs研究出一套針對Web 2.0應用攻擊的新型安全系統(tǒng),被稱為HoneyJax。該系統(tǒng)能夠模仿用戶使用Web 2.0時的行為,使得威脅在傳播之前就會被發(fā)現(xiàn)。目前該系統(tǒng)已經(jīng)成為Websense ThreatSeeker技術的一部分,也是基于蜜罐系統(tǒng)的一種新嘗試。

記者了解到,Websense ThreatSeeker網(wǎng)絡技術,是一種融合了蜜罐技術和云計算技術的系統(tǒng),它每天能夠解析超過10億條的網(wǎng)站內(nèi)容,以此來搜尋網(wǎng)絡安全威脅。該新型系統(tǒng)利用全球5000多萬個數(shù)據(jù)收集系統(tǒng)來對Web、郵件和數(shù)據(jù)進行監(jiān)測和分類,其中包括各種惡意軟件、網(wǎng)站、網(wǎng)絡應用、郵件,以及結(jié)構(gòu)化或非結(jié)構(gòu)化數(shù)據(jù)等。

Websense公司亞太及中東地區(qū)技術經(jīng)理譚偉基說,基于Websense ThreatSeeker技術的Web安全網(wǎng)關可提供包括各種規(guī)則、簽名、啟發(fā)式算法以及應用程序行為在內(nèi)的分析功能,從而檢測并阻止代理規(guī)避、黑客站點、低俗內(nèi)容、僵尸網(wǎng)絡、鍵盤記錄程序、釣魚攻擊、間諜軟件和很多其他類型的不安全內(nèi)容。

多層次防御

Tolly Group實驗室的研究員指出:“Web安全網(wǎng)關在類似Web2.0的動態(tài)網(wǎng)站中,精確監(jiān)測惡意內(nèi)容的能力在很大程度上依賴于對于內(nèi)容的實時分析,而并非僅僅依賴于網(wǎng)站的名譽指標?！?/p>

事實上,Websense Security Labs一直處于高級威脅檢測技術的前沿。洪敬風介紹說,除了全新的HoneyJax系統(tǒng),ThreatSeeker技術采用Honeypots和Honeyclients捕捉針對操作系統(tǒng)和應用的威脅。ThreatSeeker技術向Websense Web安全套件提供風險智能判斷,能夠在幾分鐘內(nèi)幫助企業(yè)應對Web安全威脅,自動地通過實時安全更新來實現(xiàn)。

比如,如果一個黑客計劃利用某網(wǎng)站發(fā)動一個惡意攻擊試圖獲取某企業(yè)的信息資料,ThreatSeeker技術就會通過其HoneyJax系統(tǒng)檢測到這個威脅,可以使用戶能夠自動地得到保護。

除了利用Web安全網(wǎng)關之外,鄧曉蓮認為,防范企業(yè)信息泄露還應當從以下三個方面著手。

首先,充分了解企業(yè)的IT架構(gòu),即了解企業(yè)的內(nèi)部網(wǎng)絡與互聯(lián)網(wǎng)的連接狀況。如果企業(yè)的內(nèi)部網(wǎng)與互聯(lián)網(wǎng)完全連接,則應注重網(wǎng)絡訪問權(quán)限的設定、端口的設置等,選取基于網(wǎng)絡的信息泄露防御解決方案;如果企業(yè)的內(nèi)部網(wǎng)與互聯(lián)網(wǎng)完全隔離,則應選擇基于主機的信息泄露防御解決方案,借助對終端數(shù)據(jù)傳輸、轉(zhuǎn)移等操作進行監(jiān)控、阻止的策略來防范信息泄露。

其次,對企業(yè)內(nèi)部的核心數(shù)據(jù)進行分門別類,并對此類數(shù)據(jù)選擇加密措施和訪問權(quán)限的策略設定。對企業(yè)而言,類似源代碼、產(chǎn)品設計圖、財務信息、客戶資料等核心數(shù)據(jù)應被列為高度機密資料,因為該類數(shù)據(jù)丟失的風險最高。

第三,明確設置策略和工作流程。當企業(yè)的核心信息重要性等級被清楚評定之后,企業(yè)需要設計出流程來對這些核心機密信息的動向、使用和訪問行為進行嚴密監(jiān)控。一旦發(fā)生信息使用的異常狀況,該流程可在第一時間內(nèi)對異常行為做出反應,并生成詳細的日志報告,避免信息的最終泄露。