那 罡

一直以來,云安全存在兩種技術(shù)發(fā)展路徑,一種是依靠海量服務(wù)器、基于搜索引擎技術(shù)的“云架構(gòu)”系統(tǒng),另一種是依靠分布在互聯(lián)網(wǎng)每個(gè)角落的用戶搭建的“云安全”系統(tǒng)。一歲多的云安全,讓眾多用戶和廠商開始重新思考云安全對(duì)用戶終端的意義和核心價(jià)值是什么。

準(zhǔn)確的說,云安全1.3歲了,從一個(gè)看不見的概念到如今可以拿出無數(shù)案例。趨勢(shì)科技、卡巴斯基、瑞星和熊貓安全等安全公司一年多的“云”體驗(yàn),時(shí)間不長(zhǎng),但效果明顯。

木馬猖獗,威脅不止

今年上半年,瑞星“云安全”數(shù)據(jù)中心最新統(tǒng)計(jì)數(shù)據(jù)表明:瑞星“云安全”系統(tǒng)攔截到的掛馬網(wǎng)頁(yè)數(shù)累計(jì)達(dá)2.9億個(gè),共有11.2億人次網(wǎng)民遭木馬攻擊,平均每天有622萬余人次網(wǎng)民訪問掛馬網(wǎng)站;大型網(wǎng)站、流行軟件被掛馬的有35萬個(gè)(以域名計(jì)算),比去年同期有大幅度增長(zhǎng),但第二季度比第一季度有顯著下降(如圖)。

這僅僅是半年來的統(tǒng)計(jì)數(shù)據(jù),網(wǎng)站掛馬的威脅的確十分猖狂。值得注意的是:Web 2.0社交網(wǎng)站的使用率大增,但是網(wǎng)站設(shè)計(jì)中卻存在安全弱點(diǎn),而且用戶對(duì)Web 2.0的認(rèn)識(shí)也不充足。因此,這類網(wǎng)站將成為 Web威脅繁衍的沃土。如今的瀏覽器與其他Web 應(yīng)用程序,已經(jīng)成為黑客攻擊的首要目標(biāo)!

今年3月14日凌晨4點(diǎn)19分,酷狗論壇上就有用戶反饋酷狗被掛馬,直至當(dāng)天中午11點(diǎn)47分仍有類似的帖子出現(xiàn)。惡意網(wǎng)木馬網(wǎng)站的“壽命”越長(zhǎng),傳播和受害面就越廣。尤其是沒有安裝具有網(wǎng)頁(yè)木馬攔截功能軟件的用戶,絲毫察覺不到自己的計(jì)算機(jī)已遭到攻擊、入侵。一旦木馬病毒下載后自動(dòng)運(yùn)行,用戶的信息安全就受到嚴(yán)重威脅。

由于黑客針對(duì)大型網(wǎng)站、流行軟件進(jìn)行掛馬,使得單個(gè)木馬網(wǎng)站攻擊網(wǎng)民的數(shù)量有上升趨勢(shì),據(jù)統(tǒng)計(jì),上半年排行前兩位的木馬網(wǎng)站攻擊網(wǎng)民數(shù)量都超過了145萬,排行第一的木馬感染了177萬人次的網(wǎng)民。同時(shí),傳統(tǒng)的“感染型病毒”逐漸抬頭,病毒制造團(tuán)伙在掛馬網(wǎng)站被封堵的情況下,只好回歸以往高成本的“感染性病毒”(編寫較為復(fù)雜、感染效率低)攻擊方式。

現(xiàn)在,由于互聯(lián)網(wǎng)信息呈爆炸趨勢(shì),每天新出現(xiàn)的數(shù)據(jù)以TB計(jì)算,如此巨量的網(wǎng)頁(yè)、視頻、郵件、文件等數(shù)據(jù),任何一個(gè)商業(yè)公司都無法把它們?nèi)俊?shí)時(shí)地標(biāo)明安全等級(jí),并存儲(chǔ)在數(shù)據(jù)庫(kù)里供用戶進(jìn)行安全查詢,這種思路也是行不通的。正因如此,云安全從概念走向現(xiàn)實(shí)。

云安全的技術(shù)路徑

一直以來,云安全存在兩種技術(shù)發(fā)展路徑,一種是依靠海量服務(wù)器、基于搜索引擎技術(shù)的“云架構(gòu)”系統(tǒng),另一種是依靠分布在互聯(lián)網(wǎng)每個(gè)角落的用戶搭建的“云安全”系統(tǒng)。

以瑞星為代表的“云架構(gòu)”思路是,既然用戶受到的安全威脅來自互聯(lián)網(wǎng),那么傳播方式基本局限于網(wǎng)頁(yè)、郵件、互聯(lián)網(wǎng)文件這三種途徑。如果,把互聯(lián)網(wǎng)上的這三種東西都標(biāo)上安全等級(jí),用網(wǎng)頁(yè)爬蟲去搜索網(wǎng)頁(yè),發(fā)現(xiàn)惡意代碼就標(biāo)上不安全,用戶若企圖訪問這個(gè)網(wǎng)頁(yè),我就返回結(jié)果阻止。同樣,郵件和文件也這樣做,理論上可以阻止網(wǎng)絡(luò)上的所有攻擊。

以趨勢(shì)科技、熊貓安全和思科為代表的“云安全”的思路是,依靠分布在互聯(lián)網(wǎng)每個(gè)角落的用戶,把所有用戶都連接起來,其中一個(gè)受到攻擊,則服務(wù)器收到其上傳的信息之后,把分析結(jié)果返回給網(wǎng)絡(luò)中的所有端點(diǎn)。這樣無論出現(xiàn)多少種網(wǎng)絡(luò)威脅,只要最初遭到攻擊的客戶端及時(shí)上報(bào)信息,則經(jīng)過服務(wù)器的分析處理,返回結(jié)果之后,整個(gè)網(wǎng)絡(luò)可以在最短時(shí)間內(nèi)獲取對(duì)該攻擊的免疫能力。

事實(shí)證明,這兩種思路,在不考慮硬件處理能力的情況下,都可以達(dá)到很好的效果。

瑞星一位反病毒工程師說,現(xiàn)在我們不但可以準(zhǔn)確地了解用戶感染了哪些木馬病毒、被哪些掛馬網(wǎng)站攻擊,通過云安全系統(tǒng)對(duì)這些威脅信息的深入挖掘,還可以對(duì)互聯(lián)網(wǎng)安全威脅做準(zhǔn)確的預(yù)估,就像人們通過衛(wèi)星云圖預(yù)告天氣一樣,云安全系統(tǒng)可以準(zhǔn)確預(yù)告互聯(lián)網(wǎng)上的安全大事件。

從某種意義說,以前的工程師有點(diǎn)像中醫(yī),某個(gè)人來看病,根據(jù)個(gè)體信息來診斷、開藥;而現(xiàn)在的反病毒工程師則像在生產(chǎn)疫苗,一群病毒來了之后,分析其中共同的特征,開出針對(duì)這群病毒的疫苗。這些疫苗不僅可以防范已有的病毒,還能防范將來出現(xiàn)的同類病毒。

趨勢(shì)科技已經(jīng)將云安全升級(jí)到了2.0版本,趨勢(shì)科技全球高級(jí)副總裁暨大中華區(qū)總經(jīng)理張偉欽說:“云安全2.0增加了文件信譽(yù)技術(shù)和多協(xié)議關(guān)聯(lián)分析技術(shù)的應(yīng)用,讓文件信譽(yù)技術(shù)(FRT)與Web信譽(yù)技術(shù)(WRT)、郵件信譽(yù)技術(shù)(ERT)實(shí)現(xiàn)關(guān)聯(lián)互動(dòng),為用戶提供更加安全有效的防護(hù)盾牌,這對(duì)終端系統(tǒng)安全管理及資源釋放絕對(duì)是一次重大變革。”云安全2.0的出現(xiàn),也將讓更多的安全廠商重新思考云安全帶給用戶的核心價(jià)值應(yīng)該是什么。

重新思考終端安全

記者了解到,云安全2.0的最大特色是將大量的防毒功能從終端遷移至云端,并通過網(wǎng)關(guān)和終端產(chǎn)品的智能聯(lián)動(dòng),形成“終端→網(wǎng)關(guān)”、“終端→云端”、“網(wǎng)關(guān)→云端”多層防御體系,在大幅壓縮防護(hù)空窗期的同時(shí),簡(jiǎn)化了應(yīng)用和管理的難度,提高整個(gè)信息系統(tǒng)的工作效率。

美國(guó)Osterman Research發(fā)布的《云端客戶端企業(yè)安全防護(hù)影響評(píng)估報(bào)告》顯示,在當(dāng)今威脅環(huán)境下,一家擁有5000名員工的企業(yè),在已經(jīng)部署了傳統(tǒng)終端防護(hù)的情況下,一年內(nèi)依然會(huì)有2/3的端點(diǎn)被感染,企業(yè)會(huì)因此而投入250多萬元的費(fèi)用進(jìn)行威脅清除。與此同時(shí),因?yàn)闊o法定位威脅的感染源頭,病毒會(huì)在企業(yè)網(wǎng)絡(luò)中不斷重復(fù)感染,導(dǎo)致企業(yè)的損失被不斷放大!

終端不僅是網(wǎng)絡(luò)威脅攻擊的目標(biāo),更因其直接面對(duì)企業(yè)內(nèi)部員工,因而在安全防護(hù)、管理上都變得困難。這是大多數(shù)CIO普遍認(rèn)同的。他們面對(duì)著市場(chǎng)上諸多的終端安全產(chǎn)品和復(fù)雜的解決方案,在選擇上的確不易。

信息安全解決方案在功能上的膨脹,已經(jīng)壓得IT管理員喘不過氣來,完全無法從日益復(fù)雜的終端安全解決方案鏈條中解放出來。讓IT管理員更加矛盾的是,終端用戶希望在工作的時(shí)候不用擔(dān)心他們的終端安全解決方案會(huì)占用計(jì)算機(jī)有限的CPU 和內(nèi)存資源。

張偉欽說,云安全2.0 的多協(xié)議關(guān)聯(lián)分析技術(shù)可以在近百種常見協(xié)議中進(jìn)行智能分析 ,通過監(jiān)控企業(yè)網(wǎng)絡(luò)中各種異常的行為,追蹤威脅發(fā)起者,定位威脅感染源頭?；谠擁?xiàng)技術(shù)開發(fā)的趨勢(shì)科技威脅發(fā)現(xiàn)設(shè)備(TDA)從網(wǎng)絡(luò)層為終端主動(dòng)構(gòu)建了一個(gè)立體模型,利用威脅關(guān)聯(lián)分析、多協(xié)議關(guān)聯(lián)分析迅速定位感染源頭,發(fā)現(xiàn)企業(yè)網(wǎng)絡(luò)中的“肉雞”(擁有管理權(quán)限的遠(yuǎn)程電腦)和各種未知威脅或者安全管理問題,并通過同趨勢(shì)科技監(jiān)控中心(MOC)的互動(dòng),為企業(yè)網(wǎng)絡(luò)提供管理服務(wù),從而形成一套完整的威脅發(fā)現(xiàn)系統(tǒng)(TDS),為企業(yè)用戶第一時(shí)間提供應(yīng)對(duì)策略。