央视3·15晚会对信息泄露的诸多案例曝光让很多人恍然大悟:原来木马制作者可以轻易利用木马病毒等恶意软件盗取大量用户的网上银行账号和密码。互联网原来如此不安全!
恶意软件让信息泄露
信息安全专家白鹭分析说:“其实,网银系统是相对来说比较安全的,因为银行数据库被入侵的可能性非常小,而风险主要集中在用户的个人电脑上。
R>但是无论信息泄露是无意间发生的还是恶意行为所致,对于业务流程、信息处理均严重依赖于IT设施的企业而言,信息泄露事件一旦发生,企业将面临巨大的资产损失和声誉损失风险。“
大概五年以前,大部分恶意程序还是通过电子邮件的方式传播,如今大部分恶意程序已经采用URL的形式。Websense北京研发中心经理洪敬风透露,全球排名前100位的知名网站,70%曾被植入过恶意软件,而更多企业站点已成为恶意软件传播的温床。相对于过去,URL已经成为恶意软件传播的主要途径。
保护企业重要信息不被恶意窃取和破坏,已经成为当前商界和IT安全业界所面临的最大挑战之一。造成信息泄露的主要方式包括:文件转移、Web、即时通讯、P2P、邮件、网络印刷等六种模式。
但是,如今Web带来的安全问题比以往任何时候都更加突出,信息泄露与Web风险之间的关系也越来越紧密。Websense公司全球副总裁兼中国营运总经理邓晓莲认为,企业必须从互联网网关处入手,防范恶意攻击,同时阻止信息的意外泄露和恶意窃取。
传统的安全产品往往专注于防攻击方面,或者兼顾防攻击和防泄密两个方面,比如防病毒软件对用户桌面和网络的保护,IDS和IPS对入侵攻击的防护,防火墙对企业大门的看护。
这些“老三样“产品在防攻击方面已经做得比较完善,但在防泄密方面主要着力于泄密的网络管理以及事后审计上,因而达不到理想的效果。因此,Websense、趋势科技、Symantec和稳捷网络等公司相继推出Web安全网关(也称为Web应用防火墙),用于降低用户面临的Web风险。部署Web安全网关,似乎已经成为企业有效防范信息泄露的最有效途径之一。
智慧的蜜罐
Web安全网关用以解决令诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同,它工作在应用层,因此对Web应用防护具有先天的技术优势。
基于对Web应用业务和逻辑的深刻理解,Web安全网关对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求将予以实时阻断,从而对各类网站站点进行有效防护。
ThomasWeiselPartners首席安全官BethCannon认为:“互联网是我们每天都要用来发展业务的重要工具之一,但随着Web2.0的迅猛发展,Web应用程序和各种应用都有可能被我们的员工使用,我们必须确保这些员工所浏览的及他们正在进行的Web应用是安全、有保障的。“他补充道:“作为一个金融机构,我们着力制定了严格的规章制度,并致力于确保我们的财产所有权和客户的信息和数据是安全且不会受到任何威胁的。“
为此,WebsenseSecurityLabs研究出一套针对Web2.0应用攻击的新型安全系统,被称为HoneyJax。该系统能够模仿用户使用Web2.0时的行为,使得威胁在传播之前就会被发现。目前该系统已经成为WebsenseThreatSeeker技术的一部分,也是基于蜜罐系统的一种新尝试。
记者了解到,WebsenseThreatSeeker网络技术,是一种融合了蜜罐技术和云计算技术的系统,它每天能够解析超过10亿条的网站内容,以此来搜寻网络安全威胁。该新型系统利用全球5000多万个数据收集系统来对Web、邮件和数据进行监测和分类,其中包括各种恶意软件、网站、网络应用、邮件,以及结构化或非结构化数据等。
Websense公司亚太及中东地区技术经理谭伟基说,基于WebsenseThreatSeeker技术的Web安全网关可提供包括各种规则、签名、启发式算法以及应用程序行为在内的分析功能,从而检测并阻止代理规避、黑客站点、低俗内容、僵尸网络、键盘记录程序、钓鱼攻击、间谍软件和很多其他类型的不安全内容。
TollyGroup实验室的研究员指出:“Web安全网关在类似Web2.0的动态网站中,精确监测恶意内容的能力在很大程度上依赖于对于内容的实时分析,而并非仅仅依赖于网站的名誉指标。“
事实上,WebsenseSecurityLabs一直处于高级威胁检测技术的前沿。洪敬风介绍说,除了全新的HoneyJax系统,ThreatSeeker技术采用Honeypots和Honeyclients捕捉针对操作系统和应用的威胁。ThreatSeeker技术向WebsenseWeb安全套件提供风险智能判断,能够在几分钟内帮助企业应对Web安全威胁,自动地通过实时安全更新来实现。
比如,如果一个黑客计划利用某网站发动一个恶意攻击试图获取某企业的信息资料,ThreatSeeker技术就会通过其HoneyJax系统检测到这个威胁,可以使用户能够自动地得到保护。
除了利用Web安全网关之外,邓晓莲认为,防范企业信息泄露还应当从以下三个方面着手。
首先,充分了解企业的IT架构,即了解企业的内部网络与互联网的连接状况。如果企业的内部网与互联网完全连接,则应注重网络访问权限的设定、端口的设置等,选取基于网络的信息泄露防御解决方案;如果企业的内部网与互联网完全隔离,则应选择基于主机的信息泄露防御解决方案,借助对终端数据传输、转移等操作进行监控、阻止的策略来防范信息泄露。
其次,对企业内部的核心数据进行分门别类,并对此类数据选择加密措施和访问权限的策略设定。对企业而言,类似源代码、产品设计图、财务信息、客户资料等核心数据应被列为高度机密资料,因为该类数据丢失的风险最高。
第三,明确设置策略和工作流程。当企业的核心信息重要性等级被清楚评定之后,企业需要设计出流程来对这些核心机密信息的动向、使用和访问行为进行严密监控。一旦发生信息使用的异常状况,该流程可在第一时间内对异常行为做出反应,并生成详细的日志报告,避免信息的最终泄露。