论文部分内容阅读
加入信誉服务后的趋势科技安全防御图
2007年上半年,Web威胁呈现爆炸性增长,弱点攻击工具套件的供应,加上僵尸网络的增长,使得Web威胁形势日益严峻。
Web威胁的特点
目前,全球因特网用户已达13.5亿,大部分用户利用网络进行网上购物、银行转账和软件下載。趋势科技通过调查发现:Web 2.0 的各种技术频频采用下载式触发 (drive-by-download),使用者只要登录恶意网站便可能遭受感染。由于新一代的Web威胁具备混合型、定向攻击和区域性爆发等特点,加上员工对互联网的依赖性,使得公司网络比以往更加容易受到攻击。因此,普通的浏览网页都带有极大安全风险。病毒的“趋利性”已经成为其产生的核心原因,90%的病毒是通过HTTP方式传播。对于通过HTTP方式传播或邮件方式传播的病毒,企业原有的传统防御系统是无法抵御这种新的攻击模式的,如国内爆发的PE_LOOKED病毒、熊猫烧香病毒。这类新型的病毒均呈现出以下Web威胁的特点:1)40%的病毒自我加密或采用特殊程序压缩;2)平均病毒文件大小为71KB;3)90%的病毒以HTTP为传播途径;4)60%的病毒以SMTP为传播途径;5)都与病毒自动下载行为有关;6)50%的病毒利用开机自动执行或自动连上恶意网站下载病毒;7)产生其他病毒文件 (Drop File);8)造成应用程序或操作系統运行不正常,以及邮件服务器繁忙或网络流量增加。
企业动态防范
网络罪犯逐渐将Web作为从事恶意活动的新途径,而传统防护手段却显得力不从心。因为,Web威胁会采用多种形态,甚至是复合形态,比如病毒、蠕虫、特洛伊、间谍软件、僵尸、网络钓鱼电子邮件、漏洞利用、下载程序、社会工程、rootkit和黑客,其结果可能导致用户信息受到危害,或者用户所需的服务被拒绝和劫持。
虽然URL过滤和内容检查等解决方案在防范已知来源的已知风险方面非常有效,但是这种防护技术在本质上是被动的,而且需要不断更新静态特征文件,对未知的Web威胁不能有效防范。用户必须要采用动态的防护技术来保证企业网络的安全,并提供持续动态的更新和全面的URL访问防护。
趋势科技北方区技术经理刘政平认为,在防范Web威胁方面,用户需要根据现在所面对的网络环境和攻击方式,及时调整信息系统的安全策略,改变原有“安全三大件”—防火墙、入侵检测以及网络版防病毒软件组成的防御体系,采取全方位的新防御模式,从安全管理的三个角度出发,提升“技术、流程、人员”的防御水平,从而整体提高企业的信息安全水平。从技术角度看,越来越多的互联网攻击是通过Web和Mail方式来进行,因此企业有必要在Web和Mail的信息流出入口设置安全闸门,把安全威胁隔离在企业网络之外。从流程角度看,企业对于随时可能发生的安全威胁需要一套预警和响应流程,在关键时刻能够得到专业安全厂商的技术支持服务,通过建立有效的预警和响应流程确保企业业务的连续性。从人员角度看,许多安全问题与用户的行为密切相关,企业需要给予员工安全意识培训,通过提高用户安全意识,有效降低安全风险。
随着Web威胁的持续发展和新安全技术的不断应用,专门针对Web威胁的Web安全网关防护产品将拥有更多市场机会。到2011年,为了应对Web威胁而部署Web安全网关的企业用户,将由现在的20%增长为80%。
新的信誉服务
在动态、主动防范Web威胁方面,Web信誉服务是目前较为有效的方法之一。借助Web信誉服务,嵌有恶意程序的网站一出现,趋势科技就可以通过防护技术保护用户的访问不受侵害,有效拦截出现在每个区域的Web威胁。
趋势科技产品技术顾问徐学龙表示,趋势科技可以为每个URL提供一个信誉分值,它根据该网站的存在时间长短、地理位置变化和历史情况等诸多因素计算出来。通过信誉分值的比对,就可以知道某个URL潜在的风险级别。当用户访问具有潜在风险的网站时,就可以及时获得系统提醒或阻止。Web信誉服务可以帮助用户快速地确认目标网站的安全性。
目前,趋势科技将Web信誉服务加入到网络版安全套件OfficeScan 8.0、互联网网关安全设备IWSA3.1、邮件安全网关IMSA7.0以及Interscan网关安全设备IGSA1.5中,分别针对客户端和网关处进行防护。OfficeScan 8.0加入了WRS信誉服务后,在用户访问某个URL地址时,首先确认该URL的安全级别,阻止恶意URL的访问,能够更精准地防止使用者不小心下载到恶意程序。IWSA3.1通过Web信誉服务的实施,帮助企业从网关处由被动抵御上升到主动防御。IWSA3.1经过技术升级后,Web信誉服务技术可以进行本地缓存,用户访问的地址越多,使用的时间越长,IWSA的防护效率就会更高更快。IMSA7.0针对邮件内容中URL地址进行安全级别分析,及时组织嵌有恶意URL的邮件内容侵入。IGSA1.5针对中型企业用户加入Web信誉服务技术,可以基于域名分析和URL信任评价为网站确定“信誉”,从而有助于打破感染链。此技术可以在网络威胁到达网络之前进行防范。
漏洞公告:VMware Workstation存在漏洞
受影响系统:VMWare Workstation 6.0。
描述:VMware Workstation是一款非常流行的虚拟PC机软件。它的vmstor-60驱动中存在缓冲区溢出漏洞,本地攻击者可能利用此漏洞提升自己的权限。如果向该驱动发送的IOCTL代码FsSetVoleInformation的子代码FsSetFileInformation设置了很大的缓冲区,但将其最大长度报告为1024字节的话,就可能触发这个溢出,导致以内核权限执行任意指令。
建议:在设备管理器中禁用vstor-ws60驱动。
厂商补丁:目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://www.vmware.com。 (来源:赛迪网)