浏览器管理有风险
浏览器管理有风险
很重要的风险管理问题是:尽管网络浏览器不安全,我们该如何尽量减小或者预防网络遭到的破坏呢?答案就是需要多管齐下的风险缓解策略,不但需要良好的网络设计,还要包括物理安全、公司使用政策、厂商关系、信息访问安全策略、新软件批准流程、用户培训,还常常需要数据隐私管理及信息访问限制。
规模再小的公司也要遵守一些基本原则。但愿你已限制浏览器只用于工作所需,还安装了内容过滤器。但对于微软更新服务的自动更新,又该怎么办呢?
修补浏览器漏洞是这家软件开发商的责任;而清除这些补丁留下的痕迹却是用户的责任。众所周知,软件更新会对浏览器功能进行重大改动,以至破坏了关键的业务应用软件,这意味着“定期的”更新经常会引发一连串令人讨厌的事件:测试更新版与现有应用程序的兼容状况;部署更新版;而且往往因为忽视了某个隐藏的问题而需要采取变通办法或者恢复方案。
如果你允许自动更新,就要重新考虑这项政策:这是由于微软的IE7自动部署会绕开许多企业的测试流程,破坏许多应用程序。诚然,微软事先已明确告诉我们:IE7会使用自动更新服务来部署,也提供了阻止自动更新的机制和恢复到版本6的指示。但这并不能帮助把时间浪费在恢复安装上的许多IT部门。
微软现处于进退两难的境地:我们一方面责备微软带来了众多的浏览器漏洞;但一旦它采取了措施,自动更新浏览器到更安全的版本,我们又满腹牢骚。这方面的教训就是:自动更新需要便于迅速打上补丁,以应对安全威胁;但同时也表明需要对这些变化一清二楚,还要有主动的集中管理。为此,现在就需要采取以下一些措施:
•落实管理,为迅速响应作好充分准备:在这个零日漏洞和远程网络盛行的时代,只有两款浏览器:IE以及比较次要的Firefox让你可以从中央管理服务器迅速部署及配置软件到所有联网机器、通过群组策略来限制功能、提供细粒度的安装控制,这实在叫人抓狂。
微软免费的IE管理工具包(IEAK)在这方面显得很突出。IEAK出现在几个IE版本中已有一段时日;每出现一个重大版本,这个工具包的功能就会随之变化。如果你在管理IE,IEAK应当是必备工具。实际上,在如今IT预算短缺、人手不足的形势下,IEAK是IE得以在公司桌面系统上继续扮演主角的关键,尽管微软面临反托拉斯纠纷、IE浏览器与操作系统分家、安全问题和开发停滞不前等诸多不利因素。
IEAK有助于建立及提供用户配置文件(user profile)、对网络上使用的浏览器实行版本控制,以及使用策略几乎可以定制各项参数。
惟一声称使用网络安装实用工具、通过策略来实行控制的另一款浏览器是Firefox,这里不得不提及开源项目FirefoxADM。多年来,这个项目停滞不前,缺乏厂商的鼎力支持,而它本该得到这种支持。结果就是,这个产品并不全面支持所有版本的Firefox(包括最新版本)。
咱们实话实说吧:说到企业部署方面,Firefox与IE没法竞争。虽然我们为SourceForge认识到开发这样一种工具的重要性以及为之付出的努力而喝彩,不过对这一点提出了质疑:既然目前没有工具可以把与IE竞争的浏览器部署到网络上并加以控制,为什么要花大量的时间和资金迫使微软让IE 7与操作系统分家、以便有公平的竞争机会呢?
严格管理分布式浏览器的功能是确保其安全的一个基础。除非Firefox、Netscape和Opera等浏览器的支持者积极采取行动、搞好管理方面的工作,否则IE会继续占有大部分的市场份额。
•随时了解攻击途径和趋势,做到知己知彼:据APWG声称,由于网络钓鱼及相关的犯罪活动每个月都会生成11000个新的非法网站,与往常一样,浏览器正在招致灾难。APWG的成员不但包括安全厂商,如互联网安全系统(ISS)、迈克菲(McAfee)、卡巴斯基和赛门铁克,还包括Adobe Systems、思科、微软和趋势科技。一年前,这个组织开始积极应对针对浏览器的犯罪活动问题,这体现了业界少有的协作精神。APWG在其网站上提供了网络钓鱼报告工具、会议日程表和网络犯罪趋势方面的数字,旨在让IT人员随时知道安全热点。
虽然每家浏览器厂商都使用各自的方式来检测网络钓鱼网站,但汇总起来的数据由APWG负责跟踪分析。汇总数据有助于识别犯罪动向,并且提醒厂商和IT人员留意新的攻击方法——希望它们还造成重大破坏。
有些攻击途径使用外文字符。支持IDN的功能出现在Mozilla和Opera中已有一段时间,微软的IE7也正在迎头赶上。IDN标准让含有非ASCII字符的域名可以使用一种已知算法转换成ASCII字符。目的在于让使用欧洲文字的变音符或者非拉丁文字母的域名改动后可适用于现有的域名空间。
这与安全有什么关系呢?有些攻击者正是利用了非ASCII字符。另外,IDN会带来相似域的问题,这归因于转换算法。普通ASCII字符的非标准编码会导致带来域,就拿“paypal.com”来说吧。其中的“a”可能是国际化字符,但域名看上去与合法网站一模一样。结合IDN和反网络钓鱼浏览器功能也许不能完全阻止这种攻击,但应当可以识别及阻止数量众多的企图钻非ASCII字符空子的网站。
最后,要求每个浏览器窗口都显示地址栏。这可以锁定利用跨域重定向来掩盖来源的弹出广告。
•关注EV SSL证书,但不要孤注一掷:EV证书支持被誉为有助于预防针对最终用户的网络钓鱼攻击。EV证书的目的在于识别网站的所有者,并查明网站所在公司的物理位置。其想法是让证书管理机构(CA)在颁发EV证书之前,核实网站所有者的公司,从而加大安全系数,让用户更清楚这家公司的合法性。
截至2006年10月,数字证书/浏览器论坛列出了20家CA(http://www.cabforum.org/EV_Certificate_Guidelines.pdf)。他们答应在颁发EV证书前,会进行尽职调查。举例说,verisign.com/repository/CPS上比较详细地介绍了VeriSign公司的EV证书。 EV证书是标准的x.509证书,但填有证书策略扩展字段。每个证书颁布方都有一个独特的对象识别符,让浏览器可以拿这个对象识别符与CA记录进行匹配;如果匹配成功、而且CA记录是最新的,那么完善的验证信息就会传送到浏览器供它使用。
虽然x.509证书得到了所有现有浏览器的接受,但IE7是第一款号称EV方面就绪的浏览器,也是最先通过对地址栏标上不同颜色、明确标注这种证书的浏览器。预计其他浏览器会亦步亦趋。遗憾的是,斯坦福大学的研究人员发布了一项调查(usablesecurity.org/papers/jackson.pdf),表明使用这种高可靠性证书未必可以帮助用户识别网络钓鱼企图。画中画的用户界面欺骗攻击仍会得逞;证书有时会提供一种虚假的安全感。
•控制插件:像Acrobat Reader和Flash Player这些组件插件在许多环境下很常见。合法的实用程序有助于工作,但非法插件对管理员和用户而言向来都是恶梦。毫无经验的用户很可能一不小心,就把恶意控件载入到了网络浏览器中,从而危及到系统安全。
最新款浏览器有助于克服这个问题。它们让IT人员可以通过策略或者控制编译过程来指定哪些插件可以装入。它们还让最终用户可以看到浏览器装入了哪些插件,以便用户在需要时,很容易在本地禁用这些插件。这两种方法都代表了这方面的重大进步:万一插件程序出现安全问题,浏览器可以迅速恢复到安全状态。
浏览器现在还可以更有效地清理留下的痕迹。鉴于公共计算机数量众多的事实,用户现在很容易删除浏览历史、清空缓存内容。实际上,比较新的浏览器可能会定期清空两者内容,而不会提示用户。这可以防止下一个使用的人看到别人浏览过的网站,或者检索保留信息(比如cookie),搜寻密码和账号等类似信息。
网友评论