如何缓解网络传播恶意软件的风险

2015-01-31  来源：网络  字号：大 中 小  我要评论 收藏本文

 　　现在，很多人使用网络作为其日常生活的自然延伸。无论是与朋友聊天、关注时事新闻、进行专项研究还是看电影，他们都需要使用网络。我们知道，坏人肯定也知道。

　　IT风险经理经常向最终用户讲授标准web安全建议：不要随意点击、卸载插件、定期更改密码、使用杀毒软件等，但这似乎并不奏效。所以，网络已经成为恶意软件头号传播媒介并不意外。再加上技术领域的进步，新的网络传播攻击已经开始崛起。所幸的是，我们有一些办法可以缓解与网页浏览相关的风险，特别是被恶意软件感染的风险。

　　网络传播的恶意软件：分离和隔离

　　对于恶意软件，需要记住的是：它必须运行才具有破话性。这意味着，攻击者必须在内存中部署一个程序来利用驻留系统的CPU执行其恶意行为。考虑到这一点，就不难认识到，恶意软件驻留在哪个系统对确定恶意软件破坏程度是至关重要的。企业应该将这个程序与其他生产服务分离开来，以帮助减少破坏。

　　分离是技术风险管理领域降低风险的长期技术，隔离是其更严格的形式。军方通常利用单个物理系统的“空间间隙”或有时候分离虚拟机来分离机密系统和非机密系统。企业很早就开始使用防火墙和其他网络设备来分离网络。为了满足支付卡行业数据安全标准或PCI-DSS、合规，企业通常会利用令牌化来在数据水平分离范围外系统。

　　此外，所谓的情境分离的一种方法是沙箱。沙箱是指隔离(通常是虚拟的)环境，它限制了计算程序或进程，限制或防止它与其他程序或进程进行交互。有时候，沙箱被用作各种“鱼缸”来观看和评估可疑软件活动。还有些时候，它被用在生产环境中，运行重要功能(例如网上银行应用程序)或者其他不太重要的具有很高风险的重要功能。在上述的一种或者两种情况下，从操作环境分离浏览器可以最大限度地降低恶意软件的影响。

　　网络传播的恶意软件：托管浏览器

　　鉴于这种情况，分离能够很好地帮助用户安全地浏览网页。在网络上一种越来越受欢迎的分离形式是托管浏览器，这通常在完全独立的物理系统中运行，该物理系统负责与前端的网络交互，完成到用户的连接—通过映射活动到后端的用户设备。与终止连接的安全的web网关相比，托管浏览器会运行一些分析，然后转发批准的数据包(原始格式)到最终用户，托管浏览器转换这种内容，并通过专有协议(与用于桌面虚拟化的远程桌面协议或RDP类似)将其传递给最终用户。托管浏览器提供与上述沙箱类似的优势，不过是以网络的形式。现在，这是对分析型沙箱的补充，这将带来更多威胁研究和响应功能。这种优势是显而易见的：如果恶意软件程序只能访问浏览器驻留系统上的资源，我们可以分离该系统与高价值资源，从而限制恶意软件危害的能力。

　　此外，托管浏览器提供匿名功能，即为每个会话提供干净的浏览环境。

　　提供这种功能的产品包括Check Point的WebCheck、Authentic8的SILO、Light Point Security的Light Point Web和Spike Security的AirGap。

　　网络传播的恶意软件：转折点

　　我们正处于信息安全的转折点，我们必须意识到，传统的技术在保护用户抵御Web传统的恶意软件方面很有限。现在是时候部署其他措施来降低风险，减少或消除用户的参与，同时保护用户。分离模型很好理解，现在技术已经取得改进足以提供这种功能