Web雲安全技術應用

雲安全技術被濫用、Web應用和Web 2.0應用等被惡意利用的幾率將大幅增加。 駭客們充分利用可編寫Web發動攻擊，在2009年，利用Web API服務來獲得信任、竊取使用者的資格證書或機密資訊的惡意攻擊將會增加。 同時，隨著允許使用者進行內容編輯的網站越來越流行、數量出現飛躍增長，某些網站很有可能導致Web垃圾和向blog、論壇和社交性網站發送惡意內容的大幅度增加，內容包括搜尋引擎麻痹、惡意引誘傳播和網路欺詐等。 此外，這些威脅和攻擊將被數種新的Web攻擊工具所整合，使駭客們可以發現那些存在漏洞、或者允許發佈惡意程式碼的網站。 WEB安全定義與共識當前業內主流安全廠商經過多年的反復爭論，終於在Web安全上達成了共識，統一了Web安全的定義。 這的確是一件不容易的事情，要知道不同的廠商側重點不同----URL過濾的、Http過濾的、防病毒的、反垃圾郵件的、Proxy的、埠鏡像的等等----大相徑庭的方案很可能導致使用者對整個 Web安全領域的困惑， 非常不利於整個產業的成長。 針對Web安全，當前業內的一致看法是，統一的定義不能從廠商的技術上去下，而是要與使用者需求的緊迫程度掛鉤。 從這個角度上分析，Web 安全分成兩類應用模式：一類是針對病毒、木馬、間諜軟體、惡意軟體的威脅;另一類著眼于規範使用者行為，比如用URL過濾某些網站、員工上班時間上網控制、對使用者應用協定的控制、對IM應用的記錄與過濾、 對P2P軟體的管理與控制、對企業內部的頻寬管理等。 需要注意的是，兩種應用模式並非孤立存在，彼此間是有交叉的。 據Anchiva中國區總經理李松介紹，根據經驗，一套完整的Web安全方案，至少需要兩個部分：一台針對TCP/IP協定二、三、四層應用的安全防禦設備(比如防火牆、入侵偵測、UTM)，之後串接一台針對七層內容的安全防禦設備， 以便解決病毒、IM、P2P、網路遊戲、垃圾郵件、內容審計等應用。 持類似看法的，還有中國民用航空管理局的一位安全管理員。 他說：「到目前為止，我所瞭解的不少同類使用者對於Web安全仍然無法形成最優的配置或共識，但我們有一個最基本的思路，即一套完整的IPS系統+Web安全閘道相配合，至少能夠滿足相當多的內部員工對於Web安全的需求。 」說到應用，Hillstone首席軟體架構師王鐘在接受專訪時表示，針對企業的攻擊總是跟隨著應用而來，越來越多的企業應用構建在互聯網之上，而使用者在互聯網上的活動也是越來越頻繁和難以控制。 無論是正常的企業應用還是企業員工的個人上網行為，都會成為Web攻擊的物件。 從目前來看，多年的積累，使得企業具備一定的網路攻擊防禦能力，而針對新出現的Web活動引發的安全威脅，企業需要根據自身的特點，增強相應的防範手段。 Web安全形勢之所以當前Web安全成為熱門話題，關鍵還是因為國內外Web安全大環境不容樂觀。 根據趨勢科技剛剛發佈的《2008年上半年安全威脅報告》的統計，目前針對Web應用的威脅正以爆炸式的速度增長，全球範圍內企業與終端使用者面臨的風險已經到了非常嚴重的地步。 對此，Wedge Networks全球CTO張鴻文博士介紹，無論是美國還是中國，隨著「社會網路、Web2.0、SaaS」的興起，網路本身已經成為社會生活的一部分。 在這種環境下，與傳統的病毒製造不同，當前各種木馬程式、間諜軟體、惡意軟體等以利益驅動的攻擊手段越來越多。 事實上，隨著當前Web應用開發越來越複雜與迅速，攻擊者可以很容易地通過各種漏洞實施諸如：注入攻擊、跨站腳本攻擊、以及不安全的直接物件關聯攻擊，從而進一步通過各種隱蔽的技術手段盜竊企業機密、使用者隱私、信用卡帳號、 遊戲帳號密碼等能夠輕易轉化成利益所得的資訊。 另外，通過木馬、漏洞控制海量的普通使用者主機組成僵屍網路，利用這些「肉雞」，控制者可以通過多種方式獲取利益，比如發起攻擊、點擊廣告、增加流量等行為。 「從實際的經驗看，在一個典型的Web服務架構中，很有可能發生某些攻擊行為從Web層面滲透到企業的控制與資料層面，從而引起更大範圍的災難。 其實不論是攻擊Web網站還是Web服務，惡意Web網站總是能夠快速建立起來，並在搜尋引擎的推動下襲擊無辜的使用者。 」從Wedge Networks全球合作夥伴回饋的資訊來看，美國、日本、韓國、英國的企業使用者對於Web攻擊以及Web應用的脆弱性都有較為充分的瞭解。 在此基礎上，那些國家中一些垂直行業與機構，比如公共安全、金融、醫療、交通、能源等企業，對於Web安全保護的技術關注與投入都非常高。 實際情況是可悲的。 根據趨勢科技發佈的統計數字，從今年二季度開始，國內就有超過1萬個大型網站遭受「注入攻擊」，這些攻擊者的動機幾乎都是惡意軟體植入、名譽損害、以及資料竊取。 有使用者BBS上留言：「我們重視Web安全造成的損失，但是我不清楚，這部分預算究竟應該分配給誰：是分配給負責網路基礎設施的管理團隊，還是分配給管理Web伺服器和資料庫伺服器的團隊?」 無疑，Web安全的挑戰被演繹到了技術、應用與企業管理水準的層次上。 問題已經很清楚了，當前針對Web應用的威脅，企業使用者當前的防範措施還遠遠不夠。 對此張鴻文博士曾一針見血地指出：「當前國內企業已有的大部分安全設備都是基於TCP/IP協定的三、四層防範，而針對Web應用的威脅是基於協定的七層攻擊(應用層攻擊)，從技術角度來看，傳統防火牆、 IDS等設備針對應用層的攻擊幾乎是沒有防禦效果的。 」雲安全15分鐘建立防線 破壞入侵成為歷史看完上半部份的文章，讓我們瞭解到現在的病毒基本上都是基於Web途徑傳播，通過在高流量網頁上「掛馬」的方式，在使用者訪問網頁時自動下載到本地電腦的資訊。 最常被使用者訪問的網站中，有2成左右都含有各種木馬病毒。 這直接造成了有65%的使用者因為在家網上購物受到此類病毒侵害，從而帶來經濟損失。 在全球金融危機的大環境下，再遭受帳號損失無疑雪上加霜。 而對「掛馬」防範不利則是造成這種後果的直接原因。 也就是Web病毒數量多、傳播速度快的特點造成了 「零日」危機。 病毒利用防範的「空窗期」大肆入侵。 傳統的反病毒工作根本無法與病毒在速度上相抗衡。 雲計算強大的資料處理能力，將人工判別風險轉變為電腦判別網頁的安全等級模式，通過計算網頁的信譽等級，可以將Web威脅遏止于網路之外。 例如，當一位雲安全使用者訪問一個網頁時，訪問請求就被發送到趨勢科技的「雲」資料庫中，對該網頁的風險級別進行查詢，這個過程僅需幾十毫秒，讓終端使用者絲毫察覺不到，只是在訪問含到有威脅的網頁時會收到提示。 如果使用者訪問的網頁在雲端資料庫中沒有記錄，使用者會順利地訪問此頁面。 雲安全技術的應用是互聯網發展的新變革，我們相信，雲肯定會給目前乾涸的網路領域帶來希望的雨水。 【編輯推薦】 淺析網路安全技術 3D安全打造安全新維度 安全使用網路 隱私防護的三大準則【責任編輯：liyan TEL：（010）68476606】 原文：Web雲安全技術應用 返回網路安全首頁