企业如何防御浏览器中间人攻击

日期: 2011-07-07 来源:TechTarget中国 英文

  MitB攻击首先是利用恶意软件(通常是像Zeus或者SpyEye那样的木马程序)在表面上无害的网站上引诱用户。当访问者来到这个网站的时候,这个恶意软件就控制用户的网络浏览器并且修改网页、内容或者显示给这个用户的交易数据。

  所有这些都是在用户完全不知情的隐蔽情况下完成的。根据浏览器的使用目的,MitB攻击能够让攻击者悄悄地窃取从登录证书到账户号码或者金融信息等任何信息。由于浏览器进程中通常包含电子邮件系统、虚拟专用网(VPN)和云服务(如云CRM)的登录细节,在不影响性能的情况下锁定这些进程是非常重要的。移动设备的爆炸式增长和许多人能够远程访问企业资源使这个情况更加严重。

  员工被这种网站感染或者成为偷渡式(drive-by)感染的受害者并不困难,因为每一天都会创建出许多欺骗性的网站。犯罪分子甚至使用搜索引擎优化技术提升这些网站在搜索列表中的排名。但是,许多合法的网站也受到感染。像最近的LinkedIn网站的电子邮件钓鱼促销活动那样,许多设计好的攻击用来伏击个人用户并且安装Bugat和Clampi等高级的恶意软件。

  这种现代的恶意软件旨在躲过传统的杀毒软件解决方案的雷达,绕过令牌或者网络接入控制系统等强大的身份识别技术。接下来,这种攻击捕捉浏览器处理的所有数据并且把这些数据传送给犯罪分子。所有这些都是在不引起报警的情况下完成的。

  我们最近破解了Zeus木马程序对流行的思杰接入网关的攻击,说明了犯罪分子正在设法在安全控制方面领先一步。

  为了保护自己的SSLVPN产品阻止键盘记录恶意软件的攻击,思杰允许企业客户化这个登录页,包括一个替代物理键盘的一个虚拟键盘。不用使用物理键盘输入口令,使用鼠标点击屏幕上显示的按键从理论上说可以绕过键盘记录器。

  但是,我们最近破解的一个Zeus2.0木马程序包括如下代码:

  用英语解释,“@”意味着当点击鼠标左键时,捕捉鼠标附近的文本的截屏图像。“*/citrix/*”具体指明当这个文本“*/citrix/*”出现在浏览器地址栏的时候,捕捉这个截屏图像。

  这个Zeus木马程序片段是专门为打败虚拟键盘设计的。通过捕捉在点击鼠标时鼠标指针附近的截屏图像,Zeus木马程序能够读取在点击鼠标时随着鼠标指针点击的按键的顺序显示出来的用户的口令。

  如果安全行业要在阻止网络攻击的浪潮中取得任何进展的话,我们需要解决在这个进入点解决这种危险。这个新的攻击点已经变成了浏览器。

  当前的解决方案不能有效地解决这种威胁。NAC(网络接入控制)依靠杀毒攻击。这些攻击已经被证明是没有效的,在检测Zeus等高级木马程序的有效率最多是77%。SSLVPN系统使用的令牌和其它身份识别设备很容易被绕过,因为这个恶意软件是实时工作的并且在一个连接经过身份识别之后立即采取行动。

  保护浏览器进程安全的一个方法是在用户的设备中创建一个“虚拟防火墙”。这个包含轻型安全软件的防火墙能够在浏览器访问企业网络或者企业应用程序的时候启动,因此是透明的。通过把浏览器进程与这台计算机上的其它活动隔离开,它就能够阻止恶意软件劫持在企业中受保护的Web进程。

  这个虚拟防火墙还能够根据与浏览器相关的行为检测是否存在恶意软件。当一个被恶意软件感染的机器设法与这个企业沟通的时候,这个虚拟防火墙就会识别出来这个恶意软件并且采取杀毒措施。如果不成功,在这个恶意软件自由之前,这个恶意软件将被禁止访问所有的企业系统。

  此外,这个虚拟防火墙技术将提供强大的敲击键盘加密,防止键盘记录程序拦截登录证书和账户号码等保密的数据。虚拟防火墙将保护浏览器与网络或者应用程序之间的通讯以防止非授权的修改并且提供API(应用程序编程接口)封锁以阻止非授权访问。

  正如优秀的教练说的那样,最佳的防御是很好的进攻。要打败MitB攻击,企业需要在他们的新的进入点——浏览器——与犯罪分子展开斗争。这需要采取多层次的安全方法,首先要保持系统使用安全补丁并且是最新的安全补丁,通过教育增强最终用户的安全在线行为的需求,实施强大的身份识别标准以及使用虚拟防火墙等新的浏览器保护机制。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐