什么是 Web 威胁?
Web 威胁的定义
基于 Web 的威胁,又称在线威胁,是网络安全风险的其中一个类别,可通过互联网引发不良事件或行动。
Web 威胁是由最终用户漏洞、Web 服务开发商/运营商或 Web 服务本身造成的。无论是何意图或原因,Web 威胁的后果都可能对个人和组织造成损害。
这个词通常是指,但不限于以下类别的基于网络的威胁:
- 专用网络威胁 - 影响接入更广泛的全球互联网的子网络。典型的例子可能包括家庭 Wi-Fi 或以太网、企业内网和国家内网。
- 主机威胁 - 影响特定的网络主机设备。“主机”一词通常是指企业端点和个人设备,例如手机、平板电脑和传统计算机。
- Web 服务器威胁 - 影响用于 Web 基础设施和服务的专用硬件和软件。
什么是 Web 威胁?
基于互联网的威胁将人和计算机系统暴露在网络风险之中。这一类别会带来各种风险,包括众所周知的网络钓鱼和计算机病毒等威胁。但是,其他威胁(如离线数据窃取)也可以被归入这一类别。
Web 威胁不仅限于在线活动,而是会在使用互联网的某个阶段对系统或用户造成损害。虽然并非所有的 Web 威胁都是蓄意制造的,但很多威胁旨在或有可能造成以下后果:
- 拒绝访问。无法访问计算机和/或网络服务。
- 获取访问权限。未经授权或有害访问私人计算机和/或网络服务。
- 未经授权或有害使用计算机和/或网络服务。
- 未经许可泄露隐私数据,如照片、账户凭据和敏感的政府信息。
- 未经授权或不必要地更改计算机和/或网络服务。
近年来,Web 威胁形势愈发严峻。智能设备和高速移动网络等技术形成了一个始终保持连接状态的载体,让恶意软件、欺诈和其他威胁得以传播。此外,在通信和生产力等领域,Web 技术采用率因物联网 (IoT) 的发展而与日俱增,但用户的安全意识却没有跟上这种发展步伐。
我们在日常生活中越来越依赖 Web,这项技术的采用将继续呈指数级增长,从而成为恶意攻击者觊觎的攻击目标。Web 使用的便利性和用户不够谨慎都是最令人担忧的问题,不断给隐私和安全带来新的风险。
虽然目标通常都基于计算机,但人类才是最终受害者,会受到 Web 威胁的长期影响。
Web 威胁是如何运作的?
Web 威胁的出现往往伴随着某些条件的作用,使其成为关注的焦点。
也就是说,任何 Web 威胁都有几个基本组成部分:
1. 威胁动机是指故意制造威胁的主体实施恶意行为的理由或目标。有些威胁主体不是故意或自主行动,因此可能缺乏动机。
2. 威胁主体是指任何可以产生负面影响的人或事物,这些主体将互联网作为威胁载体或目标本身。
3. 漏洞包括任何人类行为弱点、技术系统或其他可能导致破坏性攻击或事故的资源。
4. 威胁结果是指威胁主体针对一个或多个漏洞采取行动所产生的负面结果。
当这些组成部分相互作用时,威胁就变成了对计算机系统的攻击。威胁动机可能包括以下任何一种:金钱、监视、信息、报复、蓄意破坏等。
威胁主体通常是有恶意意图的人。广义上的主体也可能是任何被操纵的、做出有利于幕后主使的行为的事物。然而,有些威胁主体,比如破坏性的自然事件,完全不涉及人为干预。
- 威胁主体的类型包括:
- 非人类主体:例如恶意代码(病毒、恶意软件、蠕虫、脚本)、自然灾害(气象、地质)、公用设施故障(电力、电信)、技术故障(硬件、软件)和物理危害(过热、渗水、冲击)。
- 蓄意的人类主体:基于恶意意图。可能是内部主体(员工、合同工、家人、朋友、熟人),也可能是外部主体(职业和业余黑客、民族国家行为者和机构、竞争对手公司)
- 意外的人类主体:基于人为错误。与蓄意威胁类似,这一类型包括内部和外部主体。
- 基于疏忽的人类主体:基于粗心大意或疏忽安全的行为。同样,这一类型也包括内部和外部主体。
漏洞是指导致某人或某物被操纵的弱点。漏洞可以被视为 Web 威胁和引发其他威胁的隐患。漏洞通常包括某种形式的人类或技术弱点,这些弱点可能导致系统被入侵、滥用或破坏。
威胁结果可能导致隐私信息被泄露、用户被欺骗、计算机系统无法正常使用或访问权限被窃取。Web 威胁通常会导致的后果包括但不限于:
- 声誉受损:失去客户和合作伙伴的信任、被搜索引擎列入黑名单、蒙受羞辱、诽谤等。
- 业务中断:停工、基于 Web 的服务(例如博客或留言板)被拒绝访问。
- 失窃:金钱、身份、敏感的消费者数据等被盗。
网络犯罪分子几乎会利用操作系统或应用程序中的任何漏洞来实施攻击。然而,多数网络犯罪分子会制造蓄意攻击某些最常用操作系统/应用程序的 Web 威胁,包括:
- Java:因为超过 30 亿台运行各种操作系统的设备都安装了 Java,所以可以通过创建漏洞利用程序,针对多种平台/操作系统上的特定 Java 漏洞发起攻击。
- Adobe Reader:尽管许多攻击都以 Adobe Reader 为目标,但 Adobe 已经采用了保护程序免受漏洞攻击的工具。然而,Adobe Reader 仍然是一个常见的攻击目标。
- Windows 和 Internet Explorer:目前仍然有利用早在 2010 年就发现的漏洞实施攻击的漏洞利用程序,包括 Windows 帮助和支持中心的 MS10-042 以及与 JPEG 文件处理不当相关的 MS04-028。
- Android 设备:网络犯罪分子通过漏洞利用程序来获取 Root 权限,随后便可对目标设备实现几乎完全的控制。
Web 威胁是如何传播的?
最令人担忧的互联网威胁通过 Web 传播,以攻击更多的系统。这些威胁主体往往采用人为操纵加技术指令的方式来达到目标。
这种性质的 Web 威胁利用互联网的诸多通信渠道进行传播。更大规模的威胁会利用全球互联网来进行传播,而更有针对性的威胁可能直接入侵专用网络。
这些威胁一般通过基于 Web 的服务进行分发。恶意行为者更喜欢将这些威胁投放在用户经常能接触到它们的地方。公共网站、社交媒体、基于 Web 的论坛和电子邮件通常是传播 Web 威胁的理想媒介。
当用户点击了恶意 URL、下载了恶意内容,或向网站和消息发送者提供了敏感信息时,就会受到这类威胁的攻击。这种行为也可能导致 Web 威胁传播给其他用户的设备和网络,致其感染。无辜的用户不知不觉中沦为威胁主体的情况并不罕见。
如何识别 Web 威胁
尽管基于 Web 的威胁无穷无尽,但还是可以找出它们的一些普遍特征。然而,识别 Web 威胁需要保持警惕,注意细微之处。
有些 Web 威胁明显与 Web 基础设施硬件有关,比如渗水和过热。这些威胁比较容易发现,但其他威胁需要仔细辨别。每次浏览网站和接收数字消息时,都需要保持高度警惕。
以下是帮助您识别威胁的一些提示:
- 语法:恶意行为者在发起攻击时,可能并不总是精心设计他们的消息或 Web 内容。注意错误的拼写、奇怪的标点符号和不寻常的措辞。
- URL:有害链接可能藏匿在充当诱饵的锚文本(显示的可见文本)之下。可以将鼠标悬停在链接上来检查其真正的目标网站。
- 图像质量差:使用低分辨率或非官方图像可能表明存在恶意网页或消息。
Web 安全威胁的类型
如前所述,Web 威胁通常包括以攻击为目的的人为和技术操纵。请注意,Web 威胁之间往往存在重叠,有些可能同时发生。一些最常见的 Web 威胁包括以下几种。
社会工程
社会工程是指欺骗用户,使其在不知不觉中做出危害自身利益的行为。这些威胁通常表现为先骗取用户信任,而后实施诈骗。以这种方式操纵用户的威胁包括:
- 网络钓鱼:冒充合法机构或个人,诱骗受害者泄露个人信息。
- 水坑攻击:通过感染热门网站来欺骗用户,使其暴露于风险之中。
- 网络欺骗:冒充合法接入点的欺诈性接入点。
恶意代码
包括恶意软件和有害脚本(计算机编程命令行),用于创建或利用技术漏洞。社会工程是利用人性弱点实施的 Web 威胁,而恶意代码则是利用技术弱点实施的 Web 威胁。这些威胁可能包括但不限于:
- 注入攻击:将有害脚本插入合法的应用程序和网站。这类攻击包括 SQL 注入和跨站点脚本攻击 (XSS)。
- 僵尸网络:劫持用户设备,以便在由类似于“僵尸”的设备网络中远程自动使用。这种攻击用于加速垃圾邮件传播和恶意软件攻击等活动。
- 间谍软件:跟踪程序,用于监视用户在计算机设备上的操作。最常见的例子是键盘记录器。
- 计算机蠕虫:在不借助相关程序的情况下自主运行、复制和传播的脚本。
漏洞利用程序
漏洞利用程序会故意滥用漏洞,可能导致不良事件。
- 暴力破解攻击:手动或自动尝试攻破安全“门”和漏洞。这类攻击通常会生成私人账户的所有可能密码。
- 欺骗:使用虚假身份来操纵合法的计算机系统。例如,IP 欺骗、DNS 欺骗和缓存投毒。
网络犯罪
网络犯罪是指通过计算机系统进行的任何非法活动。这些威胁经常利用 Web 来实施其计划。
- 网络欺凌:以威胁和骚扰等方式对受害者实施精神虐待。
- 未经授权的数据泄露是指私密信息的泄露,例如电子邮件、亲密照片和重大企业数据泄露。
- 网络诽谤:可能涉及攻击个人或组织的声誉。主要表现为故意传播虚假信息或错误信息。
- 高级持续性威胁 (APT):恶意行为者入侵专用网络并建立持续访问权限。这种手段结合了社会工程、恶意代码和其他威胁来利用漏洞并获得这种访问权限。
通常,Web 威胁是指当您使用互联网时可能针对您实施攻击的恶意软件程序。这些基于浏览器的威胁包括旨在感染受害者计算机的一系列恶意软件程序。造成此类基于浏览器的感染的主要工具是漏洞利用程序包,使得网络犯罪分子有途径感染符合以下条件的计算机:
1. 未安装安全产品
2. 包含常用的易受攻击操作系统或应用程序,因为用户未应用最新的更新,或者软件供应商尚未发布新补丁
卡巴斯基安全软件专家已经识别出参与 Web 威胁的最活跃的恶意软件程序。下面列出了在线威胁的类型:
- 恶意网站。卡巴斯基使用基于云的启发式检测方法确定了这些网站。多数恶意网址检测适用于包含漏洞利用程序的网站。
- 恶意脚本。黑客会将恶意脚本注入安全受到威胁的合法网站的代码中。此类脚本用于执行偷渡式攻击,使网站访问者在不知不觉中重定向至恶意在线资源。
- 脚本和可执行 PE 文件 这些文件通常会执行以下操作:
- 下载和启动其他恶意软件程序
- 执行有效负载,从网上银行和社交网络账户窃取数据,或者窃取其他服务的登录和用户账户的详细信息
- 木马下载程序。这类木马病毒向用户的计算机输送各种恶意程序。
- 漏洞利用程序和漏洞利用程序包。漏洞利用程序会攻击漏洞并尝试避开互联网安全软件的监控。
- 广告软件程序。通常,当用户开始下载免费软件或共享软件程序时,广告软件也会同步安装。
- 下载和启动其他恶意软件程序
- 执行有效负载,从网上银行和社交网络账户窃取数据,或者窃取其他服务的登录和用户账户的详细信息
Web 威胁示例
Web 威胁有很多种形式,以下是比较常见的例子:
WannaCry 勒索软件
2017 年 5 月,WannaCry 勒索软件传播到许多网络,并锁定了无数台 Windows 电脑。这种威胁具有蠕虫功能,可以完全自主传播,因此危害极大。WannaCry 利用 Windows 中的本地通信语言来传播此恶意代码。
名人 iCloud 网络钓鱼
一种鱼叉式网络钓鱼攻击,导致众多名人的 iCloud 账户被攻破。这种攻破最终导致这些账户中的无数私密照片被擅自公布。
虽然攻击者最终被抓到并被起诉,但受害者仍因其亲密照片未经允许就被公开而痛苦不已。这已经成为近十年来最广为人知的网络钓鱼攻击之一。
如何防范 Web 威胁
大多数威胁能够得逞主要是利用了两个弱点:
- 人为错误
- 技术错误
要全面防御 Web 威胁就需要找到弥补这些弱点的方法。
最终用户和 Web 服务提供商应遵循以下几点一般建议:
1.始终创建备份:所有重要数据都应安全复制和存储,以防发生事故时数据丢失。网站、设备驱动器甚至 Web 服务器都可以备份。
2.启用多重身份验证 (MFA):MFA 允许在传统密码的基础上添加额外几层用户身份验证保护。组织应该为用户启用这种保护,而最终用户必须启用该功能。
3.扫描恶意软件:定期扫描感染情况将确保计算机设备始终安全。个人设备都可以通过反病毒解决方案(例如,卡巴斯基全方位安全软件)来获得保护。企业端点计算机和计算机网络也应使用这类保护产品。
4.及时更新所有工具、软件和操作系统:如果计算机系统编程中的漏洞未被发现,因此没有得到修复,则它们会更容易受到攻击。软件开发商定期检测漏洞并发布修复漏洞的更新。请下载这些更新来更好地保护自己。
网站所有者和服务器运营商等服务提供商才是保障全面安全的第一道防线。这些相关方需要采取预防措施,为用户提供更强大的保护。他们可以采取以下措施:
1.监控 Web 流量,评估正常流量和模式。
2.启用防火墙,过滤并限制未经允许的 Web 连接。
3.网络基础设施分布,将数据和服务分散到不同节点。比如,将各种资源备份和地理服务器轮换等。
4.内部检测,查找未修复的漏洞。其中可能包括使用 SQL 注入攻击工具进行自我攻击。
5.确保正确的安全配置,以便进行访问权限和会话管理。
用户应采取以下措施加强自我保护:
1. 扫描下载内容中是否隐藏恶意软件。
2. 点击链接前先仔细检查,仅在确信目标网站安全可信时才点击链接。
3. 设置安全的强密码,避免不同账户使用同一密码。使用安全的密码管理器,帮助您管理所有账户和密码。
4. 超过允许的尝试次数后触发账户锁定,限制登录尝试次数。
5. 注意短信、电子邮件和其他通信中的网络钓鱼危险信号。
卡巴斯基安全软件曾荣获 AV-TEST 的 2021 年互联网安全产品最佳性能和最佳保护两个奖项。在所有测试中,卡巴斯基安全软件都表现出卓越的性能和针对网络威胁的防护能力。
相关链接:
什么是 Web 威胁?
Kaspersky
