在当前的Web2.0开放环境中,监控企业数据的泄漏情况和黑客入侵,已经成为CIO一项非常艰巨的任务。当企业采用新的Web应用和围绕新的内容逐步调整企业IT政策时,它们往往会采购新的一套能够反映当前企业员工行为的灵活工具,比如URL过滤系统、上网行为管理或者Web安全网关。
威胁障眼法
赛门铁克声称,2008年60%已知恶意软件是新增的,而这一趋势在2009年并未得到遏制。各式各样的新威胁,充斥在互联网世界中。而且,ActiveX plug-ins作为一种常见的RIA技术,使得攻击变得更加容易。
为了窃取用户资料、账户和密码,现在很多网络钓鱼网站都开始通过富互联网应用系统(RIA)来建立,它们看上去与正规的网站非常相像,即使是颇具经验的用户老手和早期的安全解决方案都无法识别它们。因为它们攻击的方式是打一枪换一个地方,所以很难跟踪查找到攻击者。
正规的RIA功能非常强大,因为它能穿透防火墙,把大量的程序下载到用户的客户端。而这种可执行程序的客户端就常常被黑客利用,成为恶意代码的承载体。
为了迷惑网民,黑客通常会施展障眼法,架设一种可以通过SSL激活的Web服务器,它能够仿造出看上去很正规的网银网址。当用户收到一封电子邮件,然后点击一个他认为是自己网络银行的网址时,没有安装终端安全防护软件的用户往往就会中招。
正是钓鱼网站和恶意软件的疯狂增长,以至于让传统的以URL过滤为核心的安全设备厂商开始思考,如何帮助企业建立起更加灵活细致的安全策略,保护用户远离Web应用造成的威胁。
有些厂商在URL分类数据库中完善了“间谍活动/隐私问题”和用来识别生成或分发恶意软件网址的“恶意软件/间谍软件资源”分类。借助这两个分类,IT经理能够实时识别和分析被感染的计算机。试图访问该分类内URL的计算机将被迅速识别,IT经理由此可以缩短隔离可能被感染的计算机的时间。
Blue Coat产品市场高级总监Tom Clare说,Web多媒体应用正在迅速变化,已经成为许多企业的日常应用基础。传统URL分类无法辨识不同类型的多媒体应用,使得企业不得不采取僵硬和严厉的政策。
新分类加强主动保护
记者了解到,Blue Coat为WebFilter特别加入了6项新分类以提供更细致的监控能力,尤其是针对Web上的多媒体应用。这些新的分类包括媒体共享、艺术/文化、网络电话、网络错误、电视/视频流和广播/音频流。
Tom Clare举了一个例子,翻译网站对跨国企业来说非常有用,但也带来了数据意外泄漏的安全风险。借助WebFilter,这些企业可以提醒用户潜在的安全风险,并建议他们不要翻译隐私信息,而不是简单地阻止翻译网站。企业也可以阻止文字翻译而允许全页面翻译。
Blue Coat还将WebFilter加入到WebPulse这朵“云”之中,作为一个基于云技术的群监控环境,能够实现动态链接分析。在该防御体系中包括自定义脚本分析器、沙箱、第三方检测、机械分析和Web相关工具,为人工评估人员提供安全信息以确认Web威胁和内容。
当WebPulse收到一个网址要求时,首先会跟三个云端最顶层的WebFilter持续不断更新的其中一个主资料库进行比对。若主资料库中没有该网址,WebPulse会运用其独特的Blue Coat动态即时分级(DRTR,Dynamic Real-Time Rating)服务来存取网页。利用专利技术分类新的或不熟悉的网站,动态即时分级的分析让WebPulse服务把分类结果(在某些情况,也会有“未分类”评等)回传到ProxySG或其他Blue Coat产品。
WebPulse通过不断与覆盖全球的社区分享威胁数据,处理一个网址要求的平均时间约为100 毫秒。目前全世界有超过6200万用户在其保护之下。值得一提的是,为满足国内客户的需求,WebFilter也支持按汉字对URL进行归类。