三件事洞悉Web安全
隨著Web2.0時代的降臨,網絡安全也越來越具備時代特點。類似于“沖擊波”之類的大病毒越來越少,而取而代之的是無聲無息的Web安全威脅。
近年來,針對Web網站發現攻擊呈現規模化、隱蔽化趨勢,并將攻擊目標鎖定為知名合法網站。進入2009年11月以來, Websense安全實驗室監測一場大規模惡意代碼注入活動正在蔓延,數萬合法網站已經受到攻擊,數億網民受到影響。而對于Web安全,用戶或多或少存在認識上的誤區,無論是對它的危害程度還是企業應該采取的保護方法上都需要有一個清醒的認識。
第一件事:Web安全威脅的目標是數據和攫取利益
面對來勢洶洶的Web安全威脅,絕大多數企業并沒有真正意識到其中的危機。一方面,惡意網站以600%的年增長速度在迅速增加;另一方面,77%帶有惡意代碼的Web網站是被植入惡意攻擊代碼的合法網站。如果把前者比作明槍還可以避免的話,那么作為暗箭的后者可以輕而易舉地攻擊無辜Web用戶,進而危及企業網絡中的數據。
Web攻擊是目前數據竊取的主要途徑。Websense安全實驗室的監測結果顯示當前57%的數據竊取攻擊是經由Web而實現。由于基于Web2.0的威脅具有定向性、隱蔽性和區域性爆發等特點,越來越多的合法網站被掛馬、被注入,對此不知情的員工對互聯網的依賴性使得企業網絡比以往更加容易受到攻擊,使得一次普通的瀏覽網頁也變成了一件具有很大安全風險的事情。Web安全威脅可以在用戶完全沒有察覺的情況下進入企業網絡,從而對公司數據資產、行業信譽和關鍵業務構成極大威脅。即便是一些看上去并不重要的信息片段,一旦被偷竊者匯集并歸納,其后果可能導致公司內部機構設置、戰略合作伙伴關系、核心客戶等重要信息被泄露。
Web攻擊的最終目標是企業數據和獲取商業利益。Ponemon研究機構的一項研究也在證明這一點:數據泄露、丟失等破壞行為的平均開銷正在逐年增加。并直接給企業帶來業務損失,損失占到企業總花費的69%。Forrester同樣在名為“計算安全信息泄密代價”的調查中發現:三分之一以上的企業都曾遭遇到數據泄漏事件,其中一半公司在數據泄漏事件付出了慘痛代價。與員工上班玩游戲、炒股、聊天、下載等行為造成工作效率下降、帶寬資源緊張相比,Web攻擊造成的損失就是數據泄漏,直接給企業造成經濟損失,因而成為當前企業面臨的最緊迫的安全問題。
第二件事:傳統防護手段難以防范Web安全威脅
對付Web安全威脅,傳統的防護模式是否能夠有效化解呢?答案是否定的。越來越多的Web攻擊者將合法網站做目標,77%帶有惡意代碼的Web網站是被植入惡意攻擊代碼的合法網站,google、sina等知名網站也時常有網頁被掛馬,用戶不能因噎廢食,利用上網行為管理產品整體封鎖對整個網站的訪問。此外,盡管大多數Web 2.0 網站自身都會采取防掛馬、防注入等保護措施,但是研究結果顯示:65%到75% YouTube和BlogSpot所采用的社區驅動型安全工具在保護Web用戶避開不良內容以及安全風險方面是無效的。
面對來勢洶洶的新型Web安全威脅,傳統安全措施無法跟上Web內容不斷變化的步伐。一方面惡意軟件也可能出現在聲譽良好、受到大家信任的網站上,就像出現在其它網站惡意上一樣容易;另一方面網絡應用程序越來越多,傳統的防護模式已經力不從心,即便是如今已經運用的非常成熟的“病毒特征碼查殺”技術,隨著病毒爆發的生命周期越來越短,其傳統的安全系統防御模型更是滯后于病毒的傳播,用戶只能處于預防威脅-檢測威脅-處理威脅-策略執行的循環之中。即使利用市場上現有最快速的反病毒系統和服務機制,企業仍然不能防范最新的威脅,因為服務方往往無法及早和完整地介入整個新病毒事件。
第三件事:Web安全+防信息泄露實現企業自我保護
Web 2.0 改變了企業使用互聯網的方式。通過諸如 Facebook 和Twitter之類的網站,員工可以自己創建內容并迅速與數千人分享。這些網站中的內容是動態的,傳統的安全系統無法控制。為了在工作中使用 Web 2.0,企業需要采用新的方式來保護重要信息。
什么才是最有效的防范Web威脅和防止數據泄漏的安全解決方案呢? Websense建議用戶將Web安全與防信息泄露有效結合起來,Web安全方案可以有效過濾來自互聯網的風險,將數據竊取的企圖消滅在萌芽階段,而防信息泄露方案可以對企業的信息資源進行針對性的保護。
具體來說,Web安全方案提供全面的覆蓋范圍、可見性和控制,對于“誰能夠發送什么信息、在哪里發送、如何發送”全部一目了然。數據泄漏防護方案可以識別, 監視和保護機密數據。通過將Web安全方案與數據泄漏防護方案相結合,企業可以有效控制Web風險,精確防止數據泄漏,保護業務流程。
【編輯推薦】
