本刊記者 李明

2011年4月20日，Web安全和廣域網(wǎng)優(yōu)化解決方案領(lǐng)導(dǎo)廠商Blue Coat系統(tǒng)公司日前發(fā)布了2011年Blue Coat網(wǎng)絡(luò)安全報(bào)告，對Web行為進(jìn)行了全面分析，并調(diào)查了用戶最常接觸到的惡意軟件。

報(bào)告中最出乎我們意料的一些Web應(yīng)用趨勢包括：

（1）社交網(wǎng)絡(luò)成為新的通信平臺：個(gè)人頁面/博客、聊天/即時(shí)通訊和電子郵件在最受歡迎的社交網(wǎng)絡(luò)亞分類中分別排在第二、第三和第四位。與此同時(shí)，網(wǎng)絡(luò)郵件從 2008年的第五位和2009年的第九位跌落至2010年的第17位。之所以在流行程度上持續(xù)下跌，主要是因?yàn)閴旱剐远鄶?shù)的互聯(lián)網(wǎng)用戶轉(zhuǎn)向使用社交網(wǎng)絡(luò)，將其作為通信平臺。

（2）Web行為更加專注于商業(yè)：由于全球用戶都面臨高失業(yè)率和持續(xù)金融危機(jī)的挑戰(zhàn)，因此，作為Web行為驅(qū)動(dòng)力的個(gè)人欲望更加趨于商業(yè)化。Blue Coat發(fā)現(xiàn)，對于約會/交友、色情和成人類別的網(wǎng)絡(luò)內(nèi)容的需求在2010年顯著下滑。這些類別在 2009年十大最受歡迎的類別中分別排名第四、第五和第八；而在2010年，音頻/視頻剪輯、新媒體和參考等類別占據(jù)了前十名。

基于 Web的威脅變得愈加復(fù)雜和精密，網(wǎng)絡(luò)罪犯利用技術(shù)與多階段的組合來發(fā)動(dòng)攻擊。以下幾點(diǎn)就是2010年最大的轉(zhuǎn)變：

（1）社交網(wǎng)絡(luò)成為惡意軟件載體：2010年，網(wǎng)絡(luò)犯罪活動(dòng)成功利用朋友之間的信任關(guān)系來迅速感染并利用新用戶。社交網(wǎng)絡(luò)釣魚和點(diǎn)擊劫持攻擊是 2010年通過社交網(wǎng)絡(luò)發(fā)起的兩個(gè)最常見的攻擊類型。網(wǎng)絡(luò)釣魚攻擊轉(zhuǎn)向社交網(wǎng)絡(luò)的主要驅(qū)動(dòng)因素是：犯罪分子試圖獲得用戶憑證，通過這些憑證，還可進(jìn)入共用一個(gè)密碼的銀行、金融及其它網(wǎng)絡(luò)賬戶。

（2）合法網(wǎng)站成為攻擊基礎(chǔ)的組成部分：2010年的威脅環(huán)境中，最顯著的一個(gè)轉(zhuǎn)變就是：攻擊基礎(chǔ)從免費(fèi)域名遷移到具有良好聲譽(yù)并可接受用途類別評級的知名網(wǎng)站。通過侵入可信賴網(wǎng)站，網(wǎng)絡(luò)犯罪分子可在擁有良好聲譽(yù)的網(wǎng)站上托管攻擊基礎(chǔ)。

（3）惡意軟件隱藏在可接受的網(wǎng)絡(luò)類別中：以前，惡意軟件曾經(jīng)隱藏在傳統(tǒng)上被可接受的使用政策所阻止的類別中。然而，2010年，在托管惡意軟件的網(wǎng)絡(luò)名單上分別排在第二和第六位的在線存儲和開放/混合內(nèi)容是增長速度最快的。托管惡意軟件的在線存儲網(wǎng)站新增了13%，而托管惡意軟件的開放/混合內(nèi)容網(wǎng)站則新增了 29%。對大多數(shù)企業(yè)來說，這兩類通常都屬于可接受的使用政策。

根據(jù)調(diào)查結(jié)果，報(bào)告提供了一些企業(yè)可以加以利用的經(jīng)驗(yàn)，以便更好地保護(hù)自己的員工和機(jī)密數(shù)據(jù)。其中包括：

（1）動(dòng)態(tài)防御是防止惡意軟件的關(guān)鍵：利用動(dòng)態(tài)鏈接，網(wǎng)絡(luò)犯罪活動(dòng)可構(gòu)建攻擊的基礎(chǔ)，只變化可交付的惡意軟件的位置。要想阻止惡意軟件交付、call home嘗試、欺詐和網(wǎng)絡(luò)釣魚，需要一個(gè)可動(dòng)態(tài)響應(yīng)的防御措施，以便對新的未知內(nèi)容進(jìn)行評級，并分析逐漸成為惡意軟件組成部分的動(dòng)態(tài)鏈接。

（2）實(shí)時(shí)評級是成功網(wǎng)絡(luò)防御的關(guān)鍵：不能實(shí)時(shí)分析網(wǎng)絡(luò)請求并立即提供評級的防御措施會讓用戶面臨有可能持續(xù)數(shù)小時(shí)的攻擊。

（3）更少依賴信譽(yù)評級：為避免被發(fā)現(xiàn)，越來越多的網(wǎng)絡(luò)犯罪開始劫持具有良好信譽(yù)評級的合法網(wǎng)站，并利用這些網(wǎng)站來托管攻擊基礎(chǔ)設(shè)施。只利用信譽(yù)評級的防御措施將使用戶面臨這類攻擊。

（4）保護(hù)遠(yuǎn)程用戶：訪問網(wǎng)絡(luò)是一種普遍行為，因此，無論在何處，網(wǎng)絡(luò)都必須保障24×7的全天候安全。

（5）惡意軟件導(dǎo)致的數(shù)據(jù)損失：沒有任何數(shù)據(jù)監(jiān)管或自動(dòng)防御措施能夠阻止通過惡意軟件所造成的數(shù)據(jù)損失，因此，企業(yè)必須轉(zhuǎn)向動(dòng)態(tài)網(wǎng)絡(luò)防御，它可識別命令和控制服務(wù)器并阻止試圖向這些服務(wù)器發(fā)送數(shù)據(jù)的請求。