间谍软件、病毒、蠕虫、木马、广告软件及未授权的应用等并非仅是一个电子邮件问题。它们还通过Web浏览渗透到企业网络中。本文特别强调了由恶意软件或恶意Web站点对企业造成的威胁,并分析了因为员工的任意的Web浏览对生产效率及网络带宽的深远影响。本文还定义了一些有效的和易管理的安全要求,这些要求不但可以保护企业免受恶意代码的感染和法律风险,还适应了用户对性能和访问性的需要。
在21世纪过去的几年里,我们可以看到各种新威胁的演进增长,这种增长既体现在速度的改变上,又体现为其恶意企图的不断进化中。6年前的威胁主要是病毒和蠕虫,其设计目的主要是为了破坏网络和搞垮计算机。近一两年的威胁在方法上更加精心设计且更具有攻击性,而且其设计目的主要是为了犯罪分子的经济利益。
在很多单位中,由于对肆意的网络浏览疏于管理,用户可以不受控制地下载资料、在线购物、聊天等。这不但降低了生产效率,更为严重的是会带来间谍软件等恶意代码,这些恶意代码可以窃取银行帐号及口令等关键信息,并可以安装能够远程控制网络主机的程序,从而会给企业造成更大的损失。
对Web的非法利用
大多数中小型企业在其网络防火墙之上并没有防护措施用于检查Web通信。恶意代码的编写者们充分利用网络冲浪者对威胁的低级的认识程度和企业网络内部的不充分的Web安全。恶意软件的编写者们的目标是窃取关键性的信息或者建立僵尸网络,以此来传播间谍软件、病毒、垃圾信息和其它威胁。对系统的注入也是非常轻松─恶意代码可在无任何可见的线索的情况下下载并安装,而这仅仅是因为访问一个Web站点造成的。一些潜在的有害的应用程序,如广告软件和点到点的程序,以及特别普遍的和危险的贸易程序,通常都用于秘密地安装恶意软件。
到目前为止,对Web协议的最不道德的利用体现在HTTP上─因为它是WWW上支持Web浏览的主要协议,也就是说支持计算机与Web站点的连接。HTTPS使用认证证书来确认Web站点,这就对Web的滥用建立了一个重要的壁垒,可以极大地降低感染的风险。与此类似,不太普遍的FTP协议也不是恶意软件传播的有效方法。
威胁的多样性
基于Web的威胁给各个单位的安全造成的极大的挑战,包含系统感染、法律责任和企业管理规则的破坏。下表展示了威胁的不同类型和这些威胁如何损害组织安全。
理论上讲,基于Web的威胁可被分为三类:
行为─例如,恶意Web站点和不需要的应用程序
产品与种类─不恰当的内容
代码─间谍软件和病毒等恶意代码
这种扩展的多样性和复杂性使得我们如果不付出坚持不懈的努力,要想实施互联网令人满意的使用就会日益困难。
不恰当的Web站点很容易通过URL过滤服务(如下文所示)识别。另一方面,恶意代码要狡猾得多,从而更加难于困难。驱动式安装程序是明显的恶意程序,但是BHO等程序可能拥有合法的目的或者恶意的程序。驱动式安装程序可以通过浏览器秘密地打开一个后门,安装一个可以记录关键信息(如在线的银行账号和口令)的键盘记录程序,并偷偷地传输信息。在用户访问一个Web站点时,查看一个电子邮件消息或者单击一个欺骗性的弹出式窗口时,可能会发生驱动式下载(Drive-by downloads)或恶意软件下载;(用户可能会错误地相信,这是一个来自其自己电脑的错误报告或者是个无害的广告弹出窗口)。
BHO属于Microsoft Internet Explorer的插件,可在浏览器每次运行时自动运行。一般来说,一个BHO被另一个软件植入到系统中,而且常作为一个工具栏附件安装。它可以跟踪数据利用并收集显示在Internet连接中的任何信息。恶意的BHO主要是由浏览器劫持程序(能够改变浏览器设置的木马)使用ActiveX控件安装的。它们还可以将浏览器重定向到恶意的站点并将其数据与未知的第三方共享数据。
类似的混乱还可由看似合法、实则恶意的行为引起。这正是钓鱼网站的运行方式。例如,一个看起来相当友好的电子邮件会将用户带到一个看起来如同真实银行的站点。然而,这个Web站点实际上是虚假的而且能够从那些毫无戒备的用户那里收集如银行卡号和口令等关键信息。
对增长威胁的防御策略
用户桌面传统上被当作对抗间谍软件、病毒和其它恶意程序的主战场。然而,依靠桌面防御给本地资源带来极大的负担,并且在桌面防御失效之后,会忽视这些威胁对网络带宽的影响。要获得最佳的安全,企业应该在网关和端点两个层次上安装防御系统,将威胁阻止在网络大门之外;并且扫描用户桌面以检查那些通过其它途经(访问PDA、U盘等)进入的威胁,这种方法已被证明对于基于电子邮件的威胁是相当高效的,而且对于围绕着Web的其它威胁也是同样有效的。
目前网关上的Web安全技术
一种有效的Web安全方案必须要处理两个方面的问题:一是用户碰到的威胁,二是对快速、高效的Web浏览的需要。实质上,这种解决方案应该提供一个统一的策略架构,用以阻止危险的内容、扫描潜在的、危险性的和有害的内容,并优化可信任内容的性能和有效性。目前有两种主要的Web安全方法:URL过滤和反病毒扫描。
●URL过滤
如果重视企业的生产效率问题,就需要实行URL过滤。根据其内容,URL过滤依赖于对复杂的和资源密集的Web站点的分类,然后为每一种类提供“黑白”策略和规则,控制雇员可访问的网址,阻止或限制对不合需要的内容的访问。虽然这个方案自身在速度方面是高性能的,但也存在着极大的安全风险,因为一个被允许的站点可能没有被扫描。
●反病毒扫描
反病毒扫描基于扫描Web的内容,而不管站点的种类;反病毒被认为是一个优于URL过滤的方案。纵然如此,反病毒方案可能会导致过度的内容扫描,降低网络性能并会消极地影响最终用户的体验。反病毒扫描需要消耗大量的时间进行管理。
企业面临的挑战
这两种方案都有其优点,但对IT管理人员来说,这意味着要么牺牲安全性以换取性能并在网络防御体系中留下潜在的漏洞,要么管理分离的方案以求获得更大的总体上的保护。
由上述的不足和复杂性引起的结果是,公司并不经常部署其网关方案,而使端点不得不面临着自我保护的压力。不幸的是,这是一种不完全的方法;IDC得出结论认为,75%的公司桌面都感染了某种特定类型的间谍软件,而这会导致更高的感染率、更大的带宽消耗,并且清除它们需要花费更大的努力。企业的IT人员日益担心:这会搞垮公司现有的Web架构。
有效Web安全的检查列表
面对Web安全的这种日益严重的脆弱性,企业应该做些什么呢?应该实施哪些措施呢?
如上所述,一个健壮的Web安全方案应该包含如下的列表组合:
●一种用来增强可接受的使用策略的过滤器
●一种快速的内容扫描器,用以对抗间谍软件、病毒、恶意代码及其它有害的应用程序
●一个易于将URL过滤和扫描结合起来的策略框架
其它的关键部件有一个用于单结点访问的Web代理服务器和一个用于更快速访问Web页面的Web高速缓冲存储器。还需要简易的管理工具用于策略管理和报告,以及对于厂商会立即可靠地部署最新的防护任何新威胁的信心。
有较多预算的大公司可以提供复杂的、昂贵的网络优化方案。然而,对于小型企业可用的补丁方案已被证明实施和协调起来是极端困难的。公司可能会部署一个基于网关的反病毒扫描器或者一个URL过滤器(不超过45%的公司),但是,由于它们都独立工作,因此都不能在满足上述列表的需求。基于网关的反病毒方案会漏掉许多新的威胁种类(例如,驱动式下载器),而URL过滤器技术典型地都缺少相关的威胁的足够覆盖范围。
维持几个不同的单独的Web安全方案不仅意味着需要调整多个部件,还增加了扫描的执行时间,并在总体上通过增加数据采集成本和部署成本、管理负担等而增加业主总成本。
IT管理员需要高级的方法让其可以维持紧密的安全和更高的网络性能,而这种方法需要依靠维持和交互的绝对最小化来实现。为了通过最少的努力来实现安全有效的Web通信,这样一种方案需要使管理人员理解、设置并管理一个连续性的策略。
结束语
Web通信正日益频繁地被用于商业利益,由此会导致机密信息的丢失和公司网络的恶化。作为一个核心的商业平台,Web浏览需要更多的安全和保护用于电子邮件网关和端点。那些期望保护自身免受日益增长的脆弱性的企业,需要一个将强有力的URL过滤、扫描特性与有效管理结合起来的方案。同时,终端用户对速度、效率的需要和期望也应该得到满足。任何无法满足这些安全性和性能需要的方案最终会对企业造成消极的影响。