对于绝大多数的系统管理员来说,防范基于Web的安全攻击是一件棘手的事,这类安全威胁与传统安全威胁有着明显的不同,这使得大量已有的安全防范手段变得苍白无力。在惯有思维模式下,几乎所有的安全技术人员都了解应该在网络边界设置隔离和过滤设施,然而由于Web内容趋于动态化,这些辛苦兴建的保护墙正在迅速地沦陷。
　　IDG的调查报告显示,全球绝大多数安全供应商所担忧的问题正在成为现实,由于国际金融危机的广泛影响,企业的成本和收益压力大增,安全正在被企业用户忽视。Web 2.0应用带给企业高质量和高容量的信息交换,全球企业对Web 2.0应用的部署速度正在不断加快。但与之形成鲜明对比的是,与这些技术相对应的安全准备工作却远远落后于实际需要。
　　由于大量的企业运营依赖于Web技术,使得攻击者可以堂而皇之地通过Web通道进入企业内部,将敏感和有价值的信息打包带走,前提只是这些攻击者要将自己装扮得合法而已。企业在面临更加受限的资源投入时使新兴应用不要成为安全隐患,这无疑将成为未来一段时间内信息安全领域的热点。
　　
　　利用公众好奇心开展恶意攻击
　　
　　信息技术领域中社交工程的常规定义,是指以影响力、说服力等骗取他人的信任,从而获取有价值的信息。一个非常明显的发展趋势在于,社交工程已经成为恶意攻击中一个不可或缺的组成部分。其最典型也是应用最为普遍的形式,就是利用名人特别是明星所具有的吸引力,对数量庞大的访问者开展欺骗活动。瑞星云安全网络在近期的检测结果中显示,NBA新旧赛季交叠阶段的大量新闻事件,给姚明、科比·布莱恩特、德文·韦德等广受中国球迷关注的NBA明星的中文官方网站带来了巨大的访问流量,挂马团体因此将触角伸向了这些网站。这就造成了相当数量用户在访问这些被挂马团体恶意攻击过的网站时受到了感染。与早期的利用社交工程手段广泛传播的库娃病毒一样,这是典型的利用公众对明星的关注和好奇心所开展的恶意攻击行为。
　　这种攻击模式在眼下正达到一个新的高峰,多家安全厂商检测到了假冒美国有线新闻网(CNN)报道迈克尔·杰克逊去世消息的垃圾邮件,其中包含了指向恶意网址的链接。更有甚者,一些不法用户利用了互联网用户的猎奇心理,通过散布杰克逊的死因中包含谋杀等阴谋,来诱骗MSN用户感染恶意软件病毒。事实上,社交工程攻击成为对万维网用户威胁越来越大的一种安全问题。假扮用户信任的人或组织发送信息、利用用户感兴趣的信息乃至利用用户的恐慌来传播信息,从心理学角度来说,这些方式都会或多或少地降低用户的警惕性。
　　
　　基于云安全的Web地址检测
　　
　　正如McAfee安全实验室的Dave Marcus所说:“只要报纸上刊登了什么消息,坏分子们就会利用其发送基于社交工程的垃圾邮件、网络钓鱼地址和其他信息。”用户想要避免这类安全问题,首先要树立正确的信息获取观念,比如从名人代言的产品未必就是好产品推论出与名人相关的信息未必就是安全的信息。
　　操作系统平台提供了日益强大的功能而恶意软件技术也在不断精良化,攻击者们之所以如此看重Web作为攻击活动的新兴途径,无非就是追求用户那一次足以“致命”的点击。也许不点击可疑的链接而总是将链接手动键入地址栏这种方式确实有效,但无疑是一种退化式的、委曲求全的解决方案。从目前的情況来看,基于云安全技术的Web地址检测正在有效提高终端用户的防护能力。毫无疑问,用户仍需要更多、更完善的安全技术,来阻止通过Web生效的各种安全攻击。