張昕楠

對于絕大多數(shù)的系統(tǒng)管理員來說,防范基于Web的安全攻擊是一件棘手的事,這類安全威脅與傳統(tǒng)安全威脅有著明顯的不同,這使得大量已有的安全防范手段變得蒼白無力。在慣有思維模式下,幾乎所有的安全技術人員都了解應該在網(wǎng)絡邊界設置隔離和過濾設施,然而由于Web內(nèi)容趨于動態(tài)化,這些辛苦興建的保護墻正在迅速地淪陷。

IDG的調(diào)查報告顯示,全球絕大多數(shù)安全供應商所擔憂的問題正在成為現(xiàn)實,由于國際金融危機的廣泛影響,企業(yè)的成本和收益壓力大增,安全正在被企業(yè)用戶忽視。Web 2.0應用帶給企業(yè)高質(zhì)量和高容量的信息交換,全球企業(yè)對Web 2.0應用的部署速度正在不斷加快。但與之形成鮮明對比的是,與這些技術相對應的安全準備工作卻遠遠落后于實際需要。

由于大量的企業(yè)運營依賴于Web技術,使得攻擊者可以堂而皇之地通過Web通道進入企業(yè)內(nèi)部,將敏感和有價值的信息打包帶走,前提只是這些攻擊者要將自己裝扮得合法而已。企業(yè)在面臨更加受限的資源投入時使新興應用不要成為安全隱患,這無疑將成為未來一段時間內(nèi)信息安全領域的熱點。

利用公眾好奇心開展惡意攻擊

信息技術領域中社交工程的常規(guī)定義,是指以影響力、說服力等騙取他人的信任,從而獲取有價值的信息。一個非常明顯的發(fā)展趨勢在于,社交工程已經(jīng)成為惡意攻擊中一個不可或缺的組成部分。其最典型也是應用最為普遍的形式,就是利用名人特別是明星所具有的吸引力,對數(shù)量龐大的訪問者開展欺騙活動。瑞星云安全網(wǎng)絡在近期的檢測結果中顯示,NBA新舊賽季交疊階段的大量新聞事件,給姚明、科比·布萊恩特、德文·韋德等廣受中國球迷關注的NBA明星的中文官方網(wǎng)站帶來了巨大的訪問流量,掛馬團體因此將觸角伸向了這些網(wǎng)站。這就造成了相當數(shù)量用戶在訪問這些被掛馬團體惡意攻擊過的網(wǎng)站時受到了感染。與早期的利用社交工程手段廣泛傳播的庫娃病毒一樣,這是典型的利用公眾對明星的關注和好奇心所開展的惡意攻擊行為。

這種攻擊模式在眼下正達到一個新的高峰,多家安全廠商檢測到了假冒美國有線新聞網(wǎng)(CNN)報道邁克爾·杰克遜去世消息的垃圾郵件,其中包含了指向惡意網(wǎng)址的鏈接。更有甚者,一些不法用戶利用了互聯(lián)網(wǎng)用戶的獵奇心理,通過散布杰克遜的死因中包含謀殺等陰謀,來誘騙MSN用戶感染惡意軟件病毒。事實上,社交工程攻擊成為對萬維網(wǎng)用戶威脅越來越大的一種安全問題。假扮用戶信任的人或組織發(fā)送信息、利用用戶感興趣的信息乃至利用用戶的恐慌來傳播信息,從心理學角度來說,這些方式都會或多或少地降低用戶的警惕性。

基于云安全的Web地址檢測

正如McAfee安全實驗室的Dave Marcus所說:“只要報紙上刊登了什么消息,壞分子們就會利用其發(fā)送基于社交工程的垃圾郵件、網(wǎng)絡釣魚地址和其他信息。”用戶想要避免這類安全問題,首先要樹立正確的信息獲取觀念,比如從名人代言的產(chǎn)品未必就是好產(chǎn)品推論出與名人相關的信息未必就是安全的信息。

操作系統(tǒng)平臺提供了日益強大的功能而惡意軟件技術也在不斷精良化,攻擊者們之所以如此看重Web作為攻擊活動的新興途徑,無非就是追求用戶那一次足以“致命”的點擊。也許不點擊可疑的鏈接而總是將鏈接手動鍵入地址欄這種方式確實有效,但無疑是一種退化式的、委曲求全的解決方案。從目前的情況來看,基于云安全技術的Web地址檢測正在有效提高終端用戶的防護能力。毫無疑問,用戶仍需要更多、更完善的安全技術,來阻止通過Web生效的各種安全攻擊。