Facebook攻击刺激对社交网站的安全投入

为应对长期以来发生的来自网络钓鱼、垃圾邮件以及其它网络犯罪的轰炸，Facebook和其它的社交网络纷纷向安全团队诉苦，并部署起新的网络防御措施。

对安全的投资说明社交网站正协同努力打击攻击者，那些攻击者们拼命地攻击这些流行平台以兜售色情和医药产品、散布恶意软件或单单提取其中包含的潜在客户数据。

社交网站部署的主要新技术包括网络流量异常系统，这一系统监测失去控制的Web应用，还有其它的扫描用户生成页面中的恶意内容的安全工具。

Facebook的发言人Simon Axten 说：“对用户来说，这些防御措施中的大多数都不可见，恶意攻击者还在继续攻击网站，你所能看到的实际上只是我们所作出的努力中的很小的一部分。我们建立了庞大的防御设施来抗击网络钓鱼和恶意软件的入侵，其中包括工作在后台的复杂的自动系统，它能够检测和标记有可能受到侵害的Facebook账户。”

Axten说Facebook将其资源集中于监测用户生成的内容并检测进入框架中的Web应用的流量。他说如今，大众社交网站的系统已能够检测短期内非正常的信息激增情况，或发现将用户转入攻击网站的恶意链接，并有能力采取行动应对这些威胁。

Facebook攻击和安全问题映射出那些流行的微博客平台Twitter，它们在2009年处理了大量的大型安全事件。这一年始于Twitter最受欢迎的用户账户劫持事件。黑客使用了暴力攻击来劫持这些账户，其中包括奥巴马、CNN主持人Rick Sanchez，甚至使用劫持的Britney Spears账户向其关注者发布色情信息。

Tweets一直出于监测之中，以防止社交网站中使用短型URLs的钓鱼攻击的发生。但扫描成千上万的用户生成的140字符的Tweets的资源系统在本质上是相当密集的，Twitter的安全研究人员向工程团队透露消息称精明的僵尸网络操作者使用了特殊编码的信息成功躲过了扫描，这一问题在这一年年底受到了广泛关注。

Twitter在如何推进它的安全策略以抗击日益上升的威胁的问题上没有作出回应。

美国加州的安全厂商M86 Security的安全研究领导人Bradley Anstis说“网站经营者所面临的残酷事实是需要尽可能多的实际资产投入。开始的时候，开发资金会投入到吸引更多用户的结构上，然而如今安全成为了事后重头戏。”

著名的应用安全专家Herbert “Hugh” Thompso说，最大的问题是可测量性。他是纽约的安全教育公司People Security的创始人和首席安全策略师，并兼任2010年的RSA会议的项目委员会主席。Thompson说社交网站一直努力和爆炸性增长的用户生成内容保持同步——这也是他们网站中流动的生命之血。

Thompson在邮件中说：“这些网站需要在信息投放的风险方面做好用户的教育工作。Web是互通的；一旦某条消息被放到了网上，它就会被存储在那儿，在多个网站同时发布出来，并被多次复制等，还会有可能被存档并一直保持为可搜索的状态。”

Thompson说，到现在为止，还没有很多刺激社交网站强化安全系统的防御攻击的措施。他说，用户只会在他们遭受到痛苦的时候才会关注安全问题，而且到目前为止，唯一的痛苦体验是诸如Twitter网站遭受停机和无法访问的问题。Thompson说，如果社交网站需要采取措施，账户劫持和假扮是一个应当马上解决的问题。

【编辑推荐】