最近，安全软件厂家AVG技术宣称基于WEB的恶意攻击现在很普遍，黑客把他们打造成为“秘密的，短期的，快速移动的”形式。这是个可接受的论述,但是为什么突然转变？是因为更加积极和开放的攻击不再成功或者不再值得一提？不完全是。让我们探究一下为什么黑客这么做，他们怎样做到，以及企业如何抵御短期WEB恶意软件。

　　游移无常是关键

　　自从传统传递方式像软盘，email附件和文字处理器文档的到来，恶意软件的传递已经变异。在过去，这些方式耗费时间、耐心而且成功率很低。那段时间，恶意软件可能潜伏数天或数周，等待像系统重启或特定文件执行的特别行动或触发。虽然很多相同类型的恶意软件今天仍在使用（例如，蠕虫，木马，后门等），但越来越复杂的WEB传递使攻击被反病毒签名或启发式检查捕获到的可能性减到最小。

　　今天的威胁并不需要文件的执行。现代的恶意软件能通过“靠下载驱动”感染，不需要用户的点击或操作就可以安装和偷窃数据。这种短暂性不像以往的恶意软件那样，需要上面提到的某种形式的用户操作。隐蔽的行为往往使黑客不被注意，迅速感染并转向其他目标。他们采取这种方式的原因是相当清楚的，但是安全专家必须知道他们如何是做到的，以便妥善防范。

　　快速，保密而又崭新

　　使用狡猾和快速移动的操作方式，黑客采取很多种方式攻击系统。据AVG报道，黑客“只是简单的建立了数百个已嵌入感染的貌似合法的网站，宣传他们一，两天，然后关闭他们，从此消失。”这些行动可以使黑客逃避进入黑名单，也能避开追踪非法网站的WEB软件。AVG在进一步的报告中说，他们看到过在一天内新增的感染网站达到300,000个。

　　AVG观察到的另一种游移无常的方式是利用恶意广告，也就是malvertising。合法网站是WEB广告攻击的首要目标。因为他们的高流量提高了黑客的潜在成功率；广告出现的次数越多，感染一个毫无戒心的访客的可能性就越大。在我前面的关于WEB广告攻击的文章中，我概述了黑客如何利用malverting攻破系统，以及企业如何防范它们。黑客用聚焦于近期事件来吸引用户，使得这些攻击变得越来越有效了。

　　任何大家都感兴趣的话题，从新闻头条到政治事件再到假期礼物想法，都能协助黑客尝试恶意的攻击。因为像这样的事件对每个人都有很强的吸引力，黑客可以成倍增加他们的效力。例如，最近很多攻击都集中在金融危机，努力寻求那些想从政府获得经济刺激基金的人。黑客可以利用被攻破的广告网络，在数千合法站点上放置装载恶意软件的横幅。为了产生更好的效果，他们可能还会制造上千个关注于他们信息(经济，头条新闻或者其他)的站点，并通过最大化特定的关键词试图在谷歌搜素查询中占有高排名。这样，当用户搜索获得刺激金钱的办法或具体事件的新闻头条的时候，他们就可能偶然点击到链接到恶意站点的搜索结果。通过使用不同的新闻头条和新的搜索引擎查询，黑客可以继续用这种办法建立网站并利用被攻破的广告网络。

　　应对不断变化的WEB威胁

　　反击包含恶意软件的新创建站点的最好的办法之一，是使用某种代理或WEB过滤来拒绝对还没有被扫描并分类（例如，商业，投资，新闻，社会网络等）的新站点的访问。尽管这些策略将有助于防止新网站攻击你的系统，但不能在默认情况下允许的合法网站被攻克的时候起作用。对于那些站点，最好的办法是确保已经安装企业安全产品被配置来打击整个WEB威胁环境，包括在将站点提供给用户之前进行实时分析。

　　因为没有WEB过滤产品能提供十全十美的解决方案，所以准备积极对策也是当务之急。我曾在我的security beyond compliance指南中提到过一些，像日志分析，出口流量监控和白名单。在这些之外，创建一个蜜标（一个巧妙命名的不应该被访问的文件，一旦被访问就报警）或者用IDS签名来在不应访问因特网的服务器尝试访问Web的时候警告管理员。在很多情况下，恶意软件会尝试“回拨电话”来下载额外的文件，多半是为了做更邪恶的行为。

　　经常重新评估用户可以访问的网站也是个好主意。我坚定地相信只把工作需要的资源供人使用。让所有用户通过访问所有网站是个特权；所以需要控制及限制。可能现在最容易被盯上也最容易被攻破的网站是社交网络网站。如果确实需要内部协调，那就建立一个只供员工和合作伙伴访问的内部网平台。这样做不仅能降低风险，还能避免“不小心”将泄露私有或者官方的信息给Web上的所有用户。

　　恶意软件作者在不停地寻找新的创新的方式来靠近毫无戒备的受害者，而这些短命的、快速移动并带有恶意软件的网站看起来是个越来越常见的攻击方式。这些攻击在可以预见的未来会变得更加显著。不过，通过限制没有经过Web过滤或者带有实时分析网站合法性的代理的网站，企业可以成功地降低这些正在发展的威胁。