2005年对企业网络的最大威胁是什么?间谍软件成为头号公敌。在与之抗击的同时,我们应该去寻找网络 安全的源头。
网上钓鱼,欺诈性网站,间谍软件……这些网络威胁迫使企业电脑安全问题的关注点由外向
内转 移。浏览网站被盗取密码,网上聊天被窃取机密,互联网为人们带来远程办公便利的同时,也为信息泄露增添了更多的机会。
2006年,Webroot反间谍软件公司报告显示,经过了2005年的回落之后,2006年间谍软件 的感染率又达到了2004年以来的顶点。
造成这种趋势的原因包括:新的间谍软件传播途径、复杂性增强和用户多半依赖免费的反间谍程序。
这个报告还发现,间谍软件找到了一些新的温床,比如MySpace等社会性网络网站。
与此同时,垃圾邮件发送者们也将间谍软件列为了他们谋取钱财的一个手段,诱惑受害者的间谍软件 (Spyware)网站数量正在增长。
威胁,可能来自内部
互联网威胁监视公司Websense9月份发布的安全公告称,一种假冒的电子邮件鼓励收件人安装一个修 复微软在MS05-039安全公告中介绍的一个Windows安全漏洞。
Websense公司称,因为这个电子邮件利用人们对自己系统的安全漏洞的担心,因此可能会取得一些成 功。他说,人们仍容易上这个当。黑客很容易利用人们的恐惧心理。
这个欺骗活动比早些时候欺骗人们在计算机中安装特洛伊木马程序的做法在技术上有了改进,因为这次的欺骗 活动是以微软修复的一个真正的安全漏洞为背景的。
除了垃圾邮件,间谍软件也对网络安全构成很大的威胁。
间谍软件的一个共同特点是,能够附着在共享文件、可执行图像以及免费软件当中,并趁机潜入用户的系统, 而用户对此毫不知情。
间谍软件的主要用途是跟踪用户的上网习惯,有些间谍软件还可以记录用户的键盘操作,捕捉并传送屏幕图 像。间谍程序总是与其他程序捆绑在一起,用户很难发现它们是什么时候安装的。
一旦间谍软件进入计算机系统,要想彻底清除它们就会十分困难,而且间谍软件往往成为不法分子手中的危险 工具。
间谍软件不仅可以窃取口令、信用卡号,而且还可以偷走各种类型的身份信息,用于一些更加险恶的目的。如 捕捉和传送Word和Excel文档,窃取企业秘密等。如果间谍软件打开通向用户桌面系统的通道,那么用户面临的危险将是不可预料的。
在国外安全公司Watch Guard的调查中,有67%的IT专业人士抱怨,认为在2005年,对他们的网络来说,间谍软件是最大的安全威胁。如图所示。
构筑防线
强制使用安全策略是防止间谍软件的一道防线,具体措施包括:使用微软的域名安全策略来配置桌面浏览器和 Outlook;阻断ActiveX和其他可执行文件;管理脚本文件;通过HTTP代理来过滤Web内容。
如果员工不需要使用Internet来完成自己的工作,还可以断开他们的网络连接。
此外,对员工进行培训,使他们知道如何在Web上安全冲浪,在培训中需要注意以下几点:不要下载对等程 序或任何无法确定其安全性的程序;不要点击来历不明的图片;在咨询IT部门之前,不要下载免费软件;最关键的原则是,如果工作不需要,就不要点击无关内 容。
即使用户已经实施了上述策略,间谍软件仍有可能乘虚而入。过滤软件厂商Web sense推出了一种被称为客户端策略管理(CPM)的产品,并在其中增加了一些全新的反间谍软件功能。
该组件可以作为插件安装到Websense Enterprise集中管理器,能在间谍软件进入网络中的计算机之前拦截它们。如果一些间谍软件通过了这道屏障,CPM也可以利用内核中的过滤驱动程序 阻止其执行。
这一驱动程序可以对间谍程序进行分类查找,并阻止间谍软件离开。通过这种方式,Web sense可以找到那些穿过防线的间谍软件。Web sense还可以通过报告机制通知管理员应当对哪些计算机采取措施。
除了Web sense CPM外,赛门铁克也推出了针对网关的网络安全产品Symantec Web Security2.0,它能够对病毒、恶意代码和不适当的Web内容提供一次性扫描,从而在HTTP/FTP网关上防护Web流量,预防已知和未知病毒 及与业务不相关Web站点造成的危害。
利用商业工具和一些免费软件,也能减小电脑感染间谍软件的概率。杀毒软件能够阻止部分间谍软件发作,桌 面工具也可以清除机器上的间谍软件。但可以肯定的是,Web过滤是较有效的办法,它可以将大部分的间谍软件拒之门外。
趋势
网页过滤(Web Filtering)目前正向两个主要方向发展:1.内容实时分析;2.URL过滤。
内容实时分析过滤是指在访问Web内容时,对内容进行实时扫描,根据已知的敏感关键字/词、图片和页面 构成特点,分析是否含有禁止访问的内容。只要建立一个完全的关键字库就可以完全杜绝对不良信息的访问。
但是,应用内容实时分析过滤技术却受到网络延迟、法律法规、文化道德、维护更新等多方面因素的限制。
首先,该类产品对分析算法要求很高,并且要有相应运算能力的设备支持。
其次,此类产品需要人工维护更新一个庞大的关键字数据库,不断将新的禁止访问的内容关键字添加进去。还 有,内容实时分析过滤需要将网页内容下载到本地才能进行分析,对系统资源和带宽资源都造成了一定的占用。
URL过滤是最近才兴起的一种网页过滤方法,其原理是:通过对互联网上各种各样的信息进行分类,精确地 匹配URL和与之对应的页面内容,形成一个预分类网址库。在用户访问网页时,将要访问的网址与预分类网址库中的地址进行对比,以此来判断该网址是否被允许 访问。