如果企业网络中存在多种经过编译的脚本语言,再加上一些未知的浏览器设置,这时企业网就会面临不可控制的安全风险。
无论是IT管理者还是普通员工都不认为在午餐时间浏览网站会对企业网络构成安全威胁,但是最 近发生的许多攻击事件已经证明,插入Web会话的恶意代码并不需要攻击者亲自启动,启动这些恶意会话的正是上网浏览的用户。由于越来越多的攻击利用微软IE浏览器中的安全漏洞,一些安全专家强烈建议用户改用其他浏览器,如Mozilla的Firefox浏览器。然而,这类建议不能解决根本问题。
为了对付层出不穷的网络威胁,市场上出现了很多软件产品,专家们也给出了很多建议。尽管这些产品和建议使用户在上网浏览时会错误地产生安全感,但是却无法解决应用层的安全漏洞问题。Web浏览器集成在系统当中,需要依靠共享的基础组件工作,这种类似IE浏览器和Windows操作系统之间的关系加剧了浏览器的安全风险,其弱点很可能被不法分子加以利用。
Web技术缺乏多样性IE浏览器在桌面浏览器技术中已经占据统治地位。浏览器的同质化对于系统的兼容性也许是好事,但是对于网络安全却不是好事,浏览器的缺陷直接影响到数量巨大的用户。一旦不法分子利用浏览器中的安全漏洞实施攻击,由于多数企业网络的安全措施只有简单的用户名和密码,企业网络都将面临灭顶之灾,后果不堪想象。
不断教育用户是防范浏览器攻击的最有效方法,但是用户对安全威胁的防范意识远远低于攻击的泛滥程度。许多不知情的用户在漏洞被利用的过程中起着“推波助澜”的作用。最具破坏力的攻击往往是由不知情或不够谨慎的用户打开恶意邮件或者浏览不安全的网站而造成的,攻击中的任意代码可能包含禁用本地防护措施的指令,例如关闭杀毒软件或企业管理代理程序等。
浏览器的漏洞被利用在过去几年里,有关IE和其他浏览器的重大漏洞经常被公布,这为不法分子发动攻击提供了可乘之机。利用漏洞和系统弱点的基本方法都很相似,即通过缓冲区溢出或可信域获得执行任意代码的访问权,使用编译的脚本语言(JavaScript、ActiveX等)作为传递方法,然后攻击者就可以实施攻击代码。以下是常见的利用漏洞的攻击方法。
欺骗浏览器和用户:最近出现的一些安全攻击主要依靠欺骗用户或浏览器等伎俩。其中有一种被称为“防冒”欺骗技术,即利用合法网站的内容建立一套欺骗性的网站,并利用假网站将用户链接到恶意的内容中。还有一种攻击方法是将恶意脚本代码注入合法内容中,引诱用户上当受骗。
协同式的攻击行为:并不是通过访问恶意或有问题的网站才会使浏览器漏洞被不法分子所利用,目前的趋势是,网络攻击已经融入了很多全新的攻击方法。在2004年6月,一种称为JS.Scob.Trojan的攻击方式利用普通的浏览行为,同时发动协调一致的大规模攻击,当用户将浏览器链接到某些常用网站时,恶意代码通过被入侵的微软IIS服务器,利用正常配置的IE浏览器中的漏洞,来取得恶意软件组件,如果所有的恶意软件组件都被植入用户的系统中,这说明黑客在发动攻击之前已经进行了周密计划。
给管理员的建议无论是企业用户还是其他机构都应当对员工加强培训,让员工认真阅读浏览器对话框中的提示信息,及时将遇到的问题通报给网管员。员工最常见的致命错误就是在认真阅读提示信息之前,就点击了“确定”。企业应当让员工知道如何验证内部企业或外部伙伴站点所提供的安全证书的真实性,让员工了解如何针对潜在的攻击行为做好准备。
企业可以考虑部署Web代理服务器系统和过滤系统,集中管理的Web代理服务器使企业能够有效管理和加强浏览器使用策略,进行安全控制和内容过滤。
此外,及时测试并安装软件厂商的补丁,及时更新防病毒软件,这些基本的管理措施都可以有效防范潜在的安全威胁。
只要有不法分子利用Web技术传播恶意代码,浏览器的安全问题就不容忽视。要想真正解决这一问题,我们需要从技术和社会工程两方面入手。无论是重新评估浏览器安全设置,还是加强员工培训,都是行之有效的保护手段。
网友评论