随着越来越多的企业大量地过滤或者限制员工电子邮件和互联网访问，以防止网络钓鱼攻击和其他基于Web的攻击，攻击者们开始寻求其他方式来诱骗用户访问充满恶意软件的网站。

　　举个例子：最近美国外交关系委员会（CFR）的网站遭受可致IE零日攻击的攻击，但最终的攻击目标却并不是CFR。攻击者使用了被称为水坑（watering hole）攻击技术来攻击访问CFR网站的企业用户。攻击者们正在寻求替代办法用以攻击有价值信息的企业，而水坑攻击被证明是一种有效的渗透方法。

　　在这篇文章中，我们将讨论水坑攻击采用的方法，以及企业如何利用虚拟机（VM）的安全性来抵御它们。

　　水坑技术

　　水坑攻击是支点攻击的变体，在支点攻击中，攻击者能够从一个系统（最初受害者）转移到另一个系统（预定目标）。这些攻击主要瞄准的是目标企业的员工可能会访问的合法网站。由于广泛使用，这些网站可能被目标企业以及企业的各种安全工具列入白名单或者通过预先批准。

　　水坑攻击的目标是使用恶意软件感染来自目标企业的用户，从而在该企业的系统或网络站稳脚跟。一旦恶意软件被安装，攻击者就会利用这种访问权限来攻击网络其他部分。据称，水坑方法主要被用于有针对性的间谍攻击，而Adobe Reader、Java运行时环境（JRE）、Flash和IE中的零日漏洞被用于安装恶意软件。

　　虽然水坑攻击方法目前并不常见，但攻击低安全性目标以接近高安全性目标是典型的攻击模式，也是安全部门面临的头痛问题。低安全性目标可能是业务合作伙伴、连接到企业网络的供应商，或者是靠近目标的咖啡店内不安全的无线网络。

　　水坑攻击还可以通过攻击目标网站使用的广告网络来执行。这涉及将恶意网站广告，或者恶意广告（文字或图片）插入到将被传送到不同网站的跳转广告。

　　安全的虚拟机是解决办法吗？

　　标准恶意软件防御是抵御所有类型的水坑攻击的起点，但目标企业还应该部署额外的安全控制，其中最值得关注的防御方法是使用安全的VM。企业可以在虚拟环境中运行他们的web浏览器，在虚拟环境中，只有对其他生产系统的有限的连接，或者使用Invincea虚拟容器等工具来限制对本地系统的访问。这将帮助隔离用于访问不受信任内容的工具或系统，从而降低被不受信任系统感染的风险。这些虚拟环境可以只用于批准的不受信任系统的特定交互，例如浏览可能被用于水坑攻击的网站，或者这些虚拟环境可以扩展为运行完整的VM来执行不受信任的工作，例如打开电子邮件中的附件。完整的VM可以是一次性的VM，每次需要使用时再重建，这样恶意软件就不会保存在该VM中。

　　一旦恶意软件位于浏览器中，请记住，它可能能够访问所有浏览器能够访问的内容，即使是在虚拟环境中。如果受感染的系统访问内部或者外部网站，该恶意软件还可以捕获密码和敏感数据，或者从虚拟环境攻击其他系统。为了防止这种类型的攻击，企业可以删除或者禁用风险系统中最常用的有针对性的软件，包括JRE、Flash、Adobe Reader和IE。

　　为了防止其网站被用于执行这种类型的攻击，企业可以部署流程来确保其网站没有恶意软件。在检查整个网站是否存在恶意软件时，企业可以使用与用于保护Web 2.0应用相同的技术。还有些服务可以每天检查潜在的恶意软件，但由于一些web内容经常变化，每天检查可能并不够。谷歌公司的服务可以检查网站中的恶意软件来帮助保护他们的搜索引擎用户；Comodo、GeoTrust等也提供类似服务。

　　RSA还报告称，被盗的文件传输协议（FTP）证书可用于在受感染网站发布恶意内容。使用FTP来管理企业网站是高风险的，因为用户名和密码在未加密的情况下在网络中传输，而攻击者可能拦截这些密码来发布恶意内容。企业可以对其web服务器进行配置，对提供内容的web服务器使用只读文件系统，但这不会影响数据库驱动的网站，即使用允许发布内容或来自第三方内容的web应用的网站。所有这些方法都需要安全的web服务器，针对该web服务器的漏洞利用不能被用于攻击底层操作系统。

　　总结

　　虽然水坑攻击造成的信息安全风险很低，企业必须时刻做好准备，因为这种有针对性的攻击是相当高效的。攻击者使用各种不同的攻击方法来感染工作站，并在网络中站稳脚跟，为了抵御这些攻击者，企业需要保护其端点，并使用纵深防御的原则。同时，有网站的企业还应该保护其网站安全，因为网站可能用来作为水坑攻击的渠道。