当高风险的Web威胁来到时,我们已经无法再提前预知它将以何种方式出现。极光(Aurora)、超级工厂病毒(Stuxnet)和僵尸网络(Zeus)等现代混合威胁都是通过使用多个攻击策略和载体的进行混合攻击的方式进入企业内部的。而钓鱼、攻击合法网站、社交网络是可用来窃取机密数据的绝妙搭配。因为在网络犯罪的世界中,数据就等同于金线。Websense在其最新报告中指出2010年发生的大多数攻击均是以窃取数据为目的,而商业和基础架构则是其主要攻击目标。与此同时,Websense安全实验室还预计,2011年将有更多以内容为目标的攻击会借由愈加复杂混合载体发起,其中大部分可能倾向于使用民族主义和经济网络恐怖主义等具有政治色彩的噱头。
Websense 2010年威胁报告中的所有结论是根据Websense安全实验室的研究人员的分析结果产生。他们使用Websense ThreatSeeker Network每小时扫描4千多万个Web网站和1千多万封电子邮件,以查找不当内容和恶意代码。根据2010年的攻击事件和各种指标显示,网络犯罪分子以及他们的正在使用的混合攻击目前正在疯狂地利用防火墙、反病毒和简单的URL阻断工具等传统安全技术的漏洞。
报告对当今的威胁环境做了充分的描述,并指出传统的防御已经不再胜任。也许我们都安装了防病毒、防火墙和代理协议等安全手段,但这些都是远远不够的。当今的威胁不再只由附件发送的二进制文件,而是基于脚本的攻击,并且被嵌入到Flash等大量的媒介中,通过社交网络迅速扩散。基于信誉过滤的安全工具在面对由Google、Facebook和YouTube等知名“合法”网站带来的威胁时,所能提供的安全系数就变成了零,而当今80%的Web流量是以它们为目的地。
网络犯罪分子清楚地传统技术只是简单地排查那些已知信息(签名)或信誉以找出那些已被确认的威胁,这就为什么他们可以轻易地攻击那些原有的防御系统。今天的各种混合攻击又被称为0-day攻击,它们一般在之前从未被发现。而犯罪分子在将其释放之前已经将它们不断地发展,并在常用的反病毒产品上进行测试。所以这些威胁一帆风顺地通过防火墙和一些开放的通道。
Websense中国区技术经理陈纲表示:“有组织的网络犯罪团伙在不断增多,有针对性的先进的恶意软件威胁也在不断出现,这是当前我们看到的最令人关注的趋势。安全需要永远走在攻击者前面,精确地进行内容的分类以阻止各类攻击。简单的二进制访问控制和固步自封的安全手段已经不能应对我们今天所看的种种复杂攻击。而Websense在搭建其安全产品时已精确地将当前的各种先进攻击和混合攻击纳入了思考范围。”
2010年,网络罪犯分子调整了其战略以攻击社交网络和那些允许用户生成内容的动态网站。现下的攻击更具混合性,更加复杂,并且更有针对性。大多攻击在传播时会使用各种新的花招和手段。基于脚本的攻击、混合的电子邮件攻击,以及SEO(搜索引擎优化)中毒攻击在2010年变得非常常见。而且即使是最容易被检测到的威胁和僵尸网络也被成功地改变用途或演变,成了那些过时的防御系统眼皮下漏网之鱼。不过,在2010年发生的绝大多数攻击都是以窃取数据为目的。
在2010年的Websense威胁报告中的各种重大发现说明了,尽管大范围的威胁继续泛滥,但具有明显针对性的攻击也正在上升。调查结果包括:
从2009年到2010年恶意网站数量增长了111.4%。
79.9%含有恶意代码的网站是遭到攻击的合法网站。
52%的数据泄露攻击由Web发起。
34%的恶意Web / HTTP攻击包括数据窃取代码。
当前阶段89.9%的垃圾邮件中包含的垃圾站点链接/或恶意网站链接。
2010年,美国和中国继续成为世界上两个最大的犯罪软件发源地和被窃取数据接收处,荷兰在进入了前五名。
搜索热门新闻可能遭遇风险的机遇是22.4%,而搜索非正当内容时是21.8%。
23%的实时娱乐内容搜索会指向某个恶意链接。
Facebook中40%的状态更新含有链接,而其中10%不是垃圾信息就是恶意软件。
Websense在报告中还对近期的发生重大攻击进行了分析,例如极光、超级工厂病毒,和僵尸网络等,以及更多其他恶意代码和数据窃取代码的载体。同时也对五大主流数据窃取代码进行了数据统计,对社交Web内容和威胁以及主要社交网络的链接进行了深度解析。
Websense公司中国区总经理穆军:“无论是公司的敏感财务信息,还是你的社交网络,或网上银行证书,这些内容都具有巨大价值。在今天这么多Web载体相互交织的情况下,控制威胁就需要我们可以有方法同时兼顾入站和出站内容安全。为了防止今天的各类混合的复杂攻击,企业需要将分布在同位置的单点安全解决方案移到一个统一的安全架构以保护其的内容安全。”
在这份报告中,Websense安全实验室还预测2011年的威胁趋势。预测中对未来动态Web上的混合威胁、恐怖主义、和数据泄露进行了分析,并指出2010年可能发生极具针对性的网络恐怖主义攻击。