论文部分内容阅读
随着基于Web 2.0的社交网络在人际交往中发挥的作用越来越大,其中隐藏的安全隐患也成为安全专家们关注的焦点,社交网络的开放和共享为病毒的滋生和黑客的攻击提供了温床。
社交网络有多大影响力?
如果你还没有意识到这种基于Web2.0的网络应用模式的重要性,那么可以浏览一下YouTube上关于2008年美国总统初选的视频,或访问一下Facebook上美国一些政治团体的主页,候选人和他们的竞选班子正在利用社交网络宣扬竞选理念,希望年轻一代的选民为自己投上一票。
从企业到政府,越来越多的组织机构将社交网络作为个人和团体对内对外交流和共同的渠道。在社交网络成为人们沟通平台的同时,安全专家们开始担忧,Facebook、LinkedIn等社交网络网站(SNS)可能成为恶意软件的传播载体,方便黑客窃取信息、发动有目标的攻击,对企业和其他机构造成严重的安全威胁。
防不胜防
利用ActiveX控件进行攻击是最常见的攻击手段,根据赛门铁克的数据,仅去年上半年,就发现了210个ActiveX漏洞,这是IE成为常见攻击目标的主要原因。在Uploader和Yahoo Music Jukebox漏洞被披露以后,美国国土安全部下属的美国计算机紧急安全救援小组(US-CERT)就建议IE用户禁用ActiveX。
除了利用IE控件,很多攻击者可能还正在竭力设计新的方法,以诱骗用户泄露自己或所在公司的信息。安全专家认为,对日益增多的社交网络公司而言,安全问题只会越来越严重。
在MySpace上,曾经有人把“Sammy是我的大英雄”这条消息植入到了成千上万个用户页面上。而在最近一次黑客通过MySpace进行的攻击中,用户访问一个被修改的网页,就会看到安装Windows更新软件的提醒信息,用户只要点击,就会被带到一个受恶意软件感染的网站。
即使像eBay这样拥有强大财力和技术专长的公司,在截击所有跨网站脚本攻击时尚显得力不从心,那么,像Facebook、MySpace这样网页数量庞大的网站,要找出所有潜藏在页面上的安全威胁,几乎是不可能的。
托管式安全服务供应商ScanSafe公司的产品战略副总裁Dan Nadir说: “全球有1.5亿多个网站,而仅仅MySpace就有约两亿多个网页。任何安全软件厂商都无法遍查所有这些链接并将其放入一个数据库中,用白名单或黑名单这样的方法来保证安全。”
由于恶意软件、广告和垃圾邮件的传播者能够利用这类网站作为传播载体,网络犯罪分子也可以利用从Web 2.0网站的个人简介中获取的信息发起非常有目标的攻击,因此社交网络正在迅速成为一个严重的安全问题发源地。
积极应对
根据Forrester Research最近公布的一份研究报告显示,在150位参与面谈的IT专业人员中,有96%表示,使用社交网络和其他Web 2.0网站非常有价值,但是只有不到5%的人表示,他们已经为使用Web 2.0技术的用户采取了具体的安全保护措施。
“我们已经看到,这些网站受到了极度复杂和设计精良的攻击,大量网页被篡改以欺骗最终用户。社交网络正在成为‘众矢之的’,企业必须认清形势,保护自己。” Web和电子邮件过滤技术厂商Marshal的全球支持副总裁Michael Whitehurst说。
不过,IT部门必须做好准备,以应对使用这类网站可能造成的各种安全威胁,如恶意软件和有目标的网钓欺诈。
“企业需要调整自己的安全策略,以适应今天的Web 2.0世界,他们需要定制自己的互联网使用策略,为使用社交网络网站、博客和所有其他类型网站制订规则,使用策略需要解释清楚并付诸实施。” 网络网关制造商Secure Computing公司的技术宣传副总裁Paul Henry说,“除了上述工作,他们还需要采取保证安全的技术措施,以支持这些策略的执行,但是所有这一切的前景仍相当不乐观。大多数公司目前还只是勉强能对Web 1.0环境提供充分保护。”
社交网络有多大影响力?
如果你还没有意识到这种基于Web2.0的网络应用模式的重要性,那么可以浏览一下YouTube上关于2008年美国总统初选的视频,或访问一下Facebook上美国一些政治团体的主页,候选人和他们的竞选班子正在利用社交网络宣扬竞选理念,希望年轻一代的选民为自己投上一票。
从企业到政府,越来越多的组织机构将社交网络作为个人和团体对内对外交流和共同的渠道。在社交网络成为人们沟通平台的同时,安全专家们开始担忧,Facebook、LinkedIn等社交网络网站(SNS)可能成为恶意软件的传播载体,方便黑客窃取信息、发动有目标的攻击,对企业和其他机构造成严重的安全威胁。
防不胜防
利用ActiveX控件进行攻击是最常见的攻击手段,根据赛门铁克的数据,仅去年上半年,就发现了210个ActiveX漏洞,这是IE成为常见攻击目标的主要原因。在Uploader和Yahoo Music Jukebox漏洞被披露以后,美国国土安全部下属的美国计算机紧急安全救援小组(US-CERT)就建议IE用户禁用ActiveX。
除了利用IE控件,很多攻击者可能还正在竭力设计新的方法,以诱骗用户泄露自己或所在公司的信息。安全专家认为,对日益增多的社交网络公司而言,安全问题只会越来越严重。
在MySpace上,曾经有人把“Sammy是我的大英雄”这条消息植入到了成千上万个用户页面上。而在最近一次黑客通过MySpace进行的攻击中,用户访问一个被修改的网页,就会看到安装Windows更新软件的提醒信息,用户只要点击,就会被带到一个受恶意软件感染的网站。
即使像eBay这样拥有强大财力和技术专长的公司,在截击所有跨网站脚本攻击时尚显得力不从心,那么,像Facebook、MySpace这样网页数量庞大的网站,要找出所有潜藏在页面上的安全威胁,几乎是不可能的。
托管式安全服务供应商ScanSafe公司的产品战略副总裁Dan Nadir说: “全球有1.5亿多个网站,而仅仅MySpace就有约两亿多个网页。任何安全软件厂商都无法遍查所有这些链接并将其放入一个数据库中,用白名单或黑名单这样的方法来保证安全。”
由于恶意软件、广告和垃圾邮件的传播者能够利用这类网站作为传播载体,网络犯罪分子也可以利用从Web 2.0网站的个人简介中获取的信息发起非常有目标的攻击,因此社交网络正在迅速成为一个严重的安全问题发源地。
积极应对
根据Forrester Research最近公布的一份研究报告显示,在150位参与面谈的IT专业人员中,有96%表示,使用社交网络和其他Web 2.0网站非常有价值,但是只有不到5%的人表示,他们已经为使用Web 2.0技术的用户采取了具体的安全保护措施。
“我们已经看到,这些网站受到了极度复杂和设计精良的攻击,大量网页被篡改以欺骗最终用户。社交网络正在成为‘众矢之的’,企业必须认清形势,保护自己。” Web和电子邮件过滤技术厂商Marshal的全球支持副总裁Michael Whitehurst说。
不过,IT部门必须做好准备,以应对使用这类网站可能造成的各种安全威胁,如恶意软件和有目标的网钓欺诈。
“企业需要调整自己的安全策略,以适应今天的Web 2.0世界,他们需要定制自己的互联网使用策略,为使用社交网络网站、博客和所有其他类型网站制订规则,使用策略需要解释清楚并付诸实施。” 网络网关制造商Secure Computing公司的技术宣传副总裁Paul Henry说,“除了上述工作,他们还需要采取保证安全的技术措施,以支持这些策略的执行,但是所有这一切的前景仍相当不乐观。大多数公司目前还只是勉强能对Web 1.0环境提供充分保护。”