【IT专家网独家】观点:E-mail过去曾经是PC威胁的实际携带者,但是现在却是浏览器。安全软件正在据此进行调整。
回顾3到4年之前的安全方面的新闻,你会看到“每周蠕虫”现象在起作用。四处散播mailware,创建僵尸网络,通过电子邮件消息。这些电子邮件消息都带有附件以及引诱用户运行附件的社会工程陷阱。
这种方式现在相对很少使用了,我认为大部分原因是它不再那么有效了。部分原因是用户们更加警觉不去点击附件,并且还有部分原因是安全软件能够更好地拦截它们。即使是电子邮件程序也足够聪明,在默认情况下,它们大部分时间会拦截可执行附件。你还是可以看到恶意的附件——Storm蠕虫大多使用这种方式——但是它们不是主要的攻击方式。
近些年来,感染PC的威胁不是直接来自邮件,而是间接的。你可能会受到很多的垃圾邮件,其中带有网络链接,还有一些文字试图让你去点击它们。通过很多这样的方式,点击链接,然后网站将会试图通过浏览器,Windows,Java,无论什么,的各种各样的弱点来感染你的PC。最后,如果没有后门攻击可用,他们就会试图让你运行可执行文件。
其它常见的malware方式是让你运行它们的程序来毒害搜索引擎,导致链接到感染页面上去,通常是在受到危害的合法网站上。
通过很多浏览器弱点攻击,常规的PC安全软件毫无帮助。毫无迹象,直到你重新启动你的电脑,它才会中毒。许多通过这种方式完成的攻击,当它们的文件接触文件系统的时候,都可以被PC安全软件发现,但是你不能假设它可以,特别是当基于签名的防御由于攻击的新的变种而失败的时候。
Larry Seltzer认为浏览器面对的真正的安全问题是运行老版本的人们。
对于采用其它方式的安全软件来说,答案就是保护浏览器。许多程序都在年前开始这样做了,整合通常已知的内容为HIPS(主机入侵保护软件)。
HIPS的设计是一旦程序通过系统安全的外层并且开始执行了,它就是开始工作。它监控系统可疑行为的执行。通常他们会寻找一些缓存溢出,因为它们总是错误的,并且通常是试图危害系统的信号。Windows HIPS系统通常特别关照浏览器,特别是IE,因为攻击总是从这里开始。
赛门铁克公司的诺顿防病毒(Norton Antivirus)和诺顿因特网安全产品的2008版中使用的浏览器防御技术就是浏览器HIPS的例子。他们特别关注从IE代码到ActiveX控制的调用,这是攻击的一种常用方式,因为很多这样的控制都有弱点。赛门铁克实际上还为这些攻击写了一个新的定义系统。
保护浏览器的一种更好的方式就是Exploit Prevention Labs(防止探测试验室)所采用的方式,这家实验室刚刚被AVG软件收购。他们的LinkScanner产品监控网络流量,在恶意软件执行之前找到它们。攻击的本质决定了它们通常是HTTP流量。
在哪里实施最好,LinkScanner会在IP或者域名级别阻塞链接,这一点对于防御快速流量网络(fast flux networks)非常有用。但是大多数情况下,它们是使用签名和启发的方式在恶意行为进入系统之前发现它们。
由于它是运行在执行环境之外的,所以它可以作为HIPS的补充,而不必要与它竞争。分层通常都是保护安全的一种良好方式,因为没有任何一种方式是完美的。
Grisoft非常出名,因为它的免费防病毒软件非常流行,但是它们是一家非常大的公司,有6千万的活跃用户。现在他们拥有一个非常好的工具来为他们的用户提供因特网安全体验的品质提升。拦截也提高了。
IT专家网原创文章,未经许可,严禁转载!
