面向Web和浏览器的安全威胁趋势分析

　　互联网在面向商用开放的短短几年时间里，就已从根本上改变了企业在全球业务开展的本质。互联网应用提高了企业的业务生产力，丰富的应用及便捷的部署提高了应用部署的效率，基于浏览器的用户友好界面降低了使用成本。通过内联网、外联网和互联网接入，Web已经将企业内和企业对企业(B2B)流程的速度和效率提升到一个全新的、过去连想都不敢想的水平。例如：集成的供应链从产品到推向市场的周期已从过去一度需要几个月的时间缩短为几个星期——甚至几天。如今，人们可以在全球进行实时且近乎即时的通信和信息交换。但似乎与此同时潘多拉的盒子也被打开。

　　互联网应用打开潘多拉的盒子?

　　Web 和基于 Web 的普遍应用也同时为公司接入打开一道新的后门。它的连通性为企业与行业联盟共享信息奠定了基础，却也为恶意或者无意的未经授权的访问以及向未获授权的人泄露机密信息提供了契机。

　　与此同时，员工通过访问或下载不明来源的文件，也可能会暴露企业联网的计算机，使之快速传播病毒或其他恶意或有害代码。而且，与过去旨在入侵单个计算机的病毒不同，最新一代的病毒充分利用了联网计算机和 万维网的快速传播特点。Melissa、Explore.zip 和 LoveLetter 等病毒已经清楚地向我们证明这些威胁可以在几分钟之内传遍整个网络。

　　因此，最新全球安全的威胁也随之发生着重大的变化。Web以及通过Web相关的插件传播和注入攻击，已经成为2009年最为主要的黑客攻击和入侵手段。首先，看几组来自赛门铁克2010年4月发布的2009年全球威胁报告的数据。

　　图1统计了2009年全球受到攻击次数最多的TOP5漏洞，其中针对Web浏览器和其插件相关的攻击就占了4项(BID:35759, 33627, 35558, 34169)，而2008年的统计中更多是针对操作系统和软件的漏洞。

▲图1 2009年全球受攻击次数最多的漏洞TOP5

源自：2009年Symantec全球威胁报告

　　另据微软和赛门铁克发布的报告，被披露的软件漏洞数量正在逐步减少，这迫使网络罪犯更多地对第三方浏览器组件采取有针对性的攻击。如下这组数据更清晰地说明了这个问题：2009年Firefox被利用的漏洞数目多达169个，比2008年增长近一倍;Safari则为94个，比2008年增长一倍以上。由于Chrome发布时间为2008年9月，因此2009年的数据与2008年的数据并没有太大的比较意义，但仍可以看出其增长态势。(图2)

▲图2 2009年Web浏览器漏洞

源自：2009年Symantec全球威胁报告

　　随着Web应用的发展，Web的可交互性越来越强，并且可交互性已成为新一代Web应用——Web2.0的一个显著特点，即广大网民不再仅仅是信息的接受者，同时还是信息的发布者。社交网络就是Web2.0中一个非常成功的例子。越来越多的用户加入了社交网络当中，并享受着其带来的巨大的信息便捷，然而非法信息发布者利用社交网络散布的如钓鱼网站、恶意网站等非法信息同样得到了极快速的扩散。据赛门铁克2009年全球安全报告显示，2009年用户误入恶意网站超过51M次，利用社会工程学进行攻击的次数超过30.5M次，零日攻击攻击比2008年增长25%，2009年Symantec规则条目数比2008年增加近50%(如图3所示)。种种迹象表明，随着Web2.0的发展，网络攻击将更容易被扩散。

▲图2 2009年Symantec引擎规则个数

源自：2009年Symantec全球威胁报告

　　Symantec于2008年在互联网威胁报告中公布了面向Web的七大主流攻击方式，我们发现这种方式正随着互联网的发展而被广泛传播。越来越多的企业面临的主要威胁不是来自病毒，不是来自邮件，不是来自DDoS攻击，而是互联网。互联网威胁的隐蔽性、复杂性让人防不胜防。

▲图3 2008年互联网面向Web的七大主流攻击方式