网络安全研究中的商业视角:威胁演变与防御技术解析

本文探讨了现代网络威胁(如eCrime)如何采用商业模式运作,分析了动态代码混淆、IFRAME注入等攻击技术,并介绍了安全Web网关(SWG)等实时防御解决方案,强调企业需结合技术创新与商业思维应对安全挑战。

网络安全研究中的商业视角:威胁演变与防御技术解析

随着天气转暖、六月来临,我有幸再次主导BlueHat安全会议(本次在布鲁塞尔举行),并期待与微软团队及欧洲同行交流我最热衷的话题之一:电子犯罪(eCrime)的技术与商业结合。当前,企业面临的安全挑战日益严峻,尤其在Web 2.0应用泛滥而主流安全厂商在移动和动态代码防护创新停滞的背景下,安全鸿沟不断扩宽。

威胁分析:eCrime的商业化运作

eCrime已成为不可忽视的经济力量。其威胁普遍化的原因在于采用了商业化的运营模式,摒弃了早期互联网攻击者的临时性策略。通过优化操作模型和明确投资回报(ROI)目标,eCrime组织成功构建了知识、工具和赃物(如用于牟利的被盗数据)的活跃市场。这种迷你经济体系逐渐发展出超越市场大多数应对措施的威胁模型。

尤其在防护手段高度商品化、并被攻击开发者用于测试的背景下,以下技术成为典型威胁:

  • 动态代码混淆(Dynamic Code Obfuscation):在2007年盛行,成功绕过所有防病毒(AV)工具。
  • IFRAME注入:基于隐藏布局元素嵌入恶意代码的概念。
  • 搜索引擎中的恶意跨站脚本(XSS):以及针对流行网站的攻击(基于最新趋势),以覆盖大量潜在受害者。

eCrime通过激励式分发网络和始终保持领先防护一步的攻击技术,成功将Web威胁定位为最有效的攻击向量,取代了长期主导的电子邮件。此外,eCrime组织高度专注且区域化运作,因为金融欺诈因国家而异。过去12个月,个人“消费者”目标被商品化(可见于黑市中原始消费者信用卡和银行账户的交易量),企业开始成为更有利可图的目标。企业资产如财务报告、文档、通信和计划等备受eCrime青睐,并已被同一市场竞争者所觊觎。

解决方案:安全Web网关(SWG)与技术创新

应对互联网威胁历来是防病毒和Web过滤(或分类)厂商的任务。通过结合两者,新市场细分——安全Web网关(SWG)应运而生,以解决Web传播的威胁。该市场主要借鉴URL过滤厂商,但难以找到传统厂商旧技术与创新方法的正确混合。

URL过滤解决方案厂商逐渐认识到其仅适用于策略管理工具——专注于公司内部生产力和可接受使用规定。防病毒厂商则坚持利用相同旧技术处理可执行威胁,并试图延长此类解决方案的寿命——但在面对更复杂新威胁时成效有限。

SWG市场发展了多种新技术,可在网关上实时处理Web威胁——这是基于动态、自适应代码的威胁向量的深刻需求。随着SWG定义的确立,eCrime似乎终于遇到了对手;尽管基于“正确”解决方案的行业领导力成长仍需时间。

企业应寻找SWG市场中注重前瞻性研究和提供实时网关扫描的产品供应商,这些产品擅长应对现代威胁。此外,企业应寻求超越“下一代防病毒”的解决方案,能够处理与Web 2.0应用控制相关的新威胁,因为URL过滤因网站动态特性和企业控制功能(而非仅站点访问)的需求而不再适用。

未来展望:Web作为操作系统

Web 2.0本身并非真正威胁,它只是一种技术(或多种技术的“伞”)。当Web 2.0技术与可用性结合时,真正的“乐趣”才开始——通常属于操作系统领域的功能逐渐转向Web。Web作为下一代操作系统的概念在过去几年实验室中发展,并开始在实际世界中获得关注,如离线Gmail、ZOHO应用(Web上的办公应用,也可离线使用)、半本地安装的Adobe Air™应用等。这种“浏览器-OS”新范式甚至SWG市场尚无真正答案,更多研究和创新仍需推进。

结语

软件厂商开始意识到自己也是游戏的一部分,并快速适应已出现的威胁类型。执法部门在立法方面也显示出学习与应对eCrime的迹象,针对电子犯罪分子的起诉增多。一旦这两个世界(如厂商和执法机构)在多年临时合作后正式化关系,eCrime将最终面临值得的对手,迫使它退出业务或改变商业模式。考虑到现代安全研究也聚焦商业模式,这意味着消费者和企业将拥有比以往更好的手段应对eCrime。

  • Iftach Ian Amit
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次