如何缓解网络传播恶意软件的风险
现在,很多人使用网络作为其日常生活的自然延伸。无论是与朋友聊天、关注时事新闻、进行专项研究还是看电影,他们都需要使用网络。我们知道,坏人肯定也知道。
IT风险经理经常向最终用户讲授标准web安全建议:不要随意点击、卸载插件、定期更改密码、使用杀毒软件等,但这似乎并不奏效。所以,网络已经成为恶意软件头号传播媒介并不意外。再加上技术领域的进步,新的网络传播攻击已经开始崛起。所幸的是,我们有一些办法可以缓解与网页浏览相关的风险,特别是被恶意软件感染的风险。
网络传播的恶意软件:分离和隔离
对于恶意软件,需要记住的是:它必须运行才具有破话性。这意味着,攻击者必须在内存中部署一个程序来利用驻留系统的CPU执行其恶意行为。考虑到这一点,就不难认识到,恶意软件驻留在哪个系统对确定恶意软件破坏程度是至关重要的。企业应该将这个程序与其他生产服务分离开来,以帮助减少破坏。
分离是技术风险管理领域降低风险的长期技术,隔离是其更严格的形式。军方通常利用单个物理系统的“空间间隙”或有时候分离虚拟机来分离机密系统和非机密系统。企业很早就开始使用防火墙和其他网络设备来分离网络。为了满足支付卡行业数据安全标准或PCI-DSS、合规,企业通常会利用令牌化来在数据水平分离范围外系统。
此外,所谓的情境分离的一种方法是沙箱。沙箱是指隔离(通常是虚拟的)环境,它限制了计算程序或进程,限制或防止它与其他程序或进程进行交互。有时候,沙箱被用作各种“鱼缸”来观看和评估可疑软件活动。还有些时候,它被用在生产环境中,运行重要功能(例如网上银行应用程序)或者其他不太重要的具有很高风险的重要功能。在上述的一种或者两种情况下,从操作环境分离浏览器可以最大限度地降低恶意软件的影响。
网络传播的恶意软件:托管浏览器
鉴于这种情况,分离能够很好地帮助用户安全地浏览网页。在网络上一种越来越受欢迎的分离形式是托管浏览器,这通常在完全独立的物理系统中运行,该物理系统负责与前端的网络交互,完成到用户的连接—通过映射活动到后端的用户设备。与终止连接的安全的web网关相比,托管浏览器会运行一些分析,然后转发批准的数据包(原始格式)到最终用户,托管浏览器转换这种内容,并通过专有协议(与用于桌面虚拟化的远程桌面协议或RDP类似)将其传递给最终用户。托管浏览器提供与上述沙箱类似的优势,不过是以网络的形式。现在,这是对分析型沙箱的补充,这将带来更多威胁研究和响应功能。这种优势是显而易见的:如果恶意软件程序只能访问浏览器驻留系统上的资源,我们可以分离该系统与高价值资源,从而限制恶意软件危害的能力。
此外,托管浏览器提供匿名功能,即为每个会话提供干净的浏览环境。
提供这种功能的产品包括Check Point的WebCheck、Authentic8的SILO、Light Point Security的Light Point Web和Spike Security的AirGap。
网络传播的恶意软件:转折点
我们正处于信息安全的转折点,我们必须意识到,传统的技术在保护用户抵御Web传统的恶意软件方面很有限。现在是时候部署其他措施来降低风险,减少或消除用户的参与,同时保护用户。分离模型很好理解,现在技术已经取得改进足以提供这种功能