【IT168 专稿】网络安全可能是最适用于“木桶效应”理念的IT建设,各个环节都防护到位才能打造一个相对安全的网络环境。而在这种全面防护的要求下,去年的经济危机无疑让很多企业更加头疼。一些企业的IT主管抱怨“又要全面的安全,投入又不断缩减”,这让众多IT主管无不感觉到今年的网络安全建设将遇到更严峻的挑战。
说道云安全2.0,其实圈内人士都明白,任何一种新技术的出现并非一蹴而就。对安全部署而言,目前的云安全2.0体系是从传统的云安全方案中升级而来,通过添加云客户端文件信誉技术、威胁发现管理技术、终端安全管理技术,全新的云安全2.0技术体系对企业用户的终端安全保护与响应更加到位。
云理:云客户端文件信誉技术
图一
此前趋势科技中国区总经理张伟钦在接受本报独家专访时表示,云客户端文件信誉代表了过去 25 年内流行的反恶意软件处理技术的根本性转变。归根结底,这项技术出现的根本原因是为了对付新出现的恶意威胁,也就是海量威胁。
对此,梭子鱼中国区总经理何平介绍说,海量威胁是一种新型威胁,其特点是:数量成指数形式增长,此类新型恶意软件需要由反恶意软件防护解决方案来识别和处理,方可确保用户得到持续保护而又不会影响正常的业务活动。
根据IDC的统计,截至到2009年初,全球大约每小时就会增加850个新的恶意软件。预计到2015年,此数量会持续上升,大约每小时就会有26000个新的恶意软件。
“鉴于此,企业用户迫切需要一种新型的反恶意软件防护基础设施,该设施可以成功对付新出现的海量威胁,避免自身受损,并能将此恶意软件对业务操作的影响降至最低。换句话说,云客户端文件信誉技术就这样应运而生了。”张伟钦如是说。
记者的看法是,当前的云客户端文件信誉还属于一种文件信誉类型,或称之为黑名单拦截机制。这种技术采用传统的反恶意软件的防护措施并在云中定义反恶意软件,以减少采用重复和增加的传输模式对客户网络的影响。
事实上,云客户端文件信誉技术将文件与客户端扫描分开,确保扫描服务可以通过网络来进行模式查找,这样本地云扫描服务或者通过Internet的扫描服务都可以尽可能地发挥作用。这样一来,也解决了将信息更新数量扩展到网络中大量终端系统的问题。一旦新的内容在扫描服务器上进行了更新,所有企业用户就可立即通过扫描服务器获得保护。
总的来看,主流的安全厂商将会拥有多种类型的文件信誉技术,不同产品之间的文件信誉技术也不尽相同,但该技术充分运用了以云安全为基础的威胁防护存储信息和高效的客户端智能过滤,因此所有的文件信誉技术都属于云安全2.0的范畴。
云理:威胁发现管理技术
图二
当前,由于网络安全所受威胁越来越复杂,工作场所数据泄漏的问题层出不穷。一些传统的安全技术,如防火墙、IPS\IDS、VPN等着重防范外部威胁进入企业网络,而不能有效地防御因公司员工浏览受感染的网页、访问Web邮件或使用IM软件导致企业网络被入侵而产生的内部威胁。
根据趋势科技公布的调查报告,截至到今年二季度,全球范围内企业内部的终端用户在工作时间会比在家时更有可能参与高风险在线活动,如打开未知邮件附件或点击恶意链接等。显然,员工在上班时没有正确认识网络安全问题。
此外,根据美国《Network World》的报道,网络访问控制等安全解决方案强调评估、鉴定公司员工端点的初始状态。一旦用户经首次核准,将不再对其进行监控,那么用户同样可以对网络作出恶意行为。如果公司员工未意识到这些恶意行为的危险后果,则有可能违反安全规定,导致数据损失。此外,当今“无界限”的企业可以在全球范围内自由分享员工及合作伙伴的信息,这无疑进一步加重了安全风险。
此前Wedge Networks全球CEO张鸿文博士向记者透露,目前开展安全变革的条件已经成熟。他强调说,如果对入侵原因及其精确位置的能见度不足,企业的信息技术部门就不能确定最适当的补救办法。为了有效地增加覆盖面,安全技术人员需要获取更多信息。
事实上,如果通过IT技术了解到大部分威胁经由网关产生,则企业应安装适当的网关保护程序。不难看出,企业需要一个“安全预警系统”,以便精确地标识新的已知恶意软件并测量已经发生的损害程度。此外,企业还需要一个能够修补、管理网络威胁的系统,以确保适当、迅速地修复并及时发送报告,确定预防威胁的方法。显然,这些需求都已经被云安全2.0技术体系所包容。
对此张伟钦的看法是,只有引进了威胁发现管理技术,才能满足企业检测、降低并管理网络内部威胁的需求。而通过云计算的平台,企业可以迅速、有效地处理恶意软件,大量减少网络损害控制成本并提高整体安全水平。
据介绍,目前云安全2.0体系中集成的威胁发现管理技术分为三大阶段:第一,发现阶段,检测网络内部安全威胁;第二,管理阶段,利用云安全技术架构进行关联性分析,广谱识别恶意行为,发现威胁根源,追踪并提供威胁分析;第三,反馈阶段,充分利用云安全技术对最新出现的安全威胁进行识别和反馈,通过云端的安全中心,获得详细而及时的防御支持。
记者发现,在当前的体系结构中,威胁探测与威胁发现管理通常配合工作,以便监控网络中的可疑行为,从而检测出传统基于模式匹配而不能发现的恶意软件。新技术可以标记扩散或感染其他用户的恶意软件,包括引起内部资料外泄或从恶意源接收指令(如僵尸网络)的隐藏恶意软件。
此外,云安全2.0体系中涵盖的网络内容检测技术,可以在威胁探测器提供的网络协议与应用程序基础上,检测网络流量。这样一来,新的云安全体系就可以通过网络协议层检测出大量存在潜在破坏性特征的应用程序,同时确保网络服务不受任何干扰。
云理:终端安全管理技术
图三
IDC在今年六月份公布的安全报告中指出,恶意软件已然变成一个复杂的、具有良好组织性的行业,并且以盈利为目的。在企业内部,终端用户最能感受到这一点。大量的黑客认识到,传统的终端安全方法开始无力反击如此之高的威胁数量:企业疲于应付规模更大、更加频繁的特征码更新,而用户则因为企业在处理威胁过程中可用资源的减少而感到失望。这些问题共同构成了一场大风暴,为针对性攻击和数据盗窃提供了一个理想的环境。
基于此,在过去几年中,企业终端安全市场整体上处于飞速发展过程中。然而张伟钦强调,终端产品目前体现出大量的复杂度特征,企业的IT经理会发现他们正在受到安全解决方案的复杂度困扰。
在采访中记者发现,对企业终端安全而言,IT部门在部署和管理大量终端的特征码文件更新时,挑战往往不容忽视。特别是一些移动性强、网络基础架构复杂、以及需要频繁维护的终端管理工作,都使得安全技术的效果大打折扣。
对此,新一代云安全2.0体系把云端与终端的保护与维护进一步提升了效率。云安全2.0体系无需与扫描引擎和特征码共处,它引入了一种新的协议,把在签名数据库中检查文件信息的负担转移至中央服务器,中央服务器可以放在企业网络(本地扫描服务器)中或由IDC进行托管。
记者的看法是,这种技术的改进非常有意义,很大程度上针对服务器的攻击都将会在云端被解决,甚至大量的特征码都无需传输到客户网络中的每一个终端中去,从而节省了大量时间和精力。
云战:面临危胁渡安全难关
去年的全球经济危机还在延续,所以各个企业在IT方面的预算不断缩减,网络安全建设也受到了一定影响。但郑州轻工业学院IT主管程源认为:“网络安全方面不能因为投入减少而松懈。相对于以往全面部署安全产品的情况,目前最需要的是在关键点上部署安全产品,把有限的投入用到关键的地方。”
虽然没有直接受到金融危机的影响,但郑州轻工业学院还是本着预防的态度收紧了银根,这在网络安全建设上就形成了“好钢用到刀刃上”的建设理念。作为全国优异个购买趋势科技Web安全网关—IWSA 5000的高校,郑州轻工业学院的安全需求也十分“实际”:保障安全基本需求,从实用性出发。程源表示:“目前学校在网络安全方面还是比较重视的,尤其是应用效果好,成本又不太高的反病毒系统,学校并没有减少这方面的投入。”
近年来,随着互联网的普及,Web威胁愈发严重。新的恶意软件被不断地从Web自动下载。从发现恶意软件样本,到制作病毒特征码,再到用户更新病毒库,用户网络安全的“空窗期”不断延长,面临威胁的几率也大大增加。这些威胁给像郑州轻工业学院这样的学校带来了两方面的不良影响,一是业务方面的影响。比如恶意威胁会阻塞网络,让带宽降低,让系统响应变慢等;二是政策方面的影响。比如被黑客篡改网页,传播不良信息等。为了阻挡恶意威胁侵入校园网络,郑州轻工业学院考虑采用当前比较流行的网关拦截方案。一个偶然的机会,郑州轻工业学院接触到了趋势科技的IWSA产品,经过考察、对比、测试,最终决定部署,期望从网关端杜绝Web威胁入侵网络。
图四
硬件安全网关产品IWSA作为趋势科技的拳头产品,不仅仅采用了非常先进的云安全技术,而且不占用客户的网络资源。虽然郑州轻工业学院只有5位网络安全管理员,但面对大量的网络威胁,并没有凸显人员不足的问题。在部署IWSA之后,每天要处理的病毒事件大量减少。IWSA不仅简化了部署与日常管理的工作,同时也大大缓解了网络安全管理员的压力,降低的因网络安全而产生的人力成本。同时,由于IWSA的恶意网页对比是在云端完成,因此大大减少了病毒代码下载的数量,从而降低了因下载、分发病毒代码而对企业网络资源、硬件设备的占用。可以说,应用了IWSA,在做好防范病毒的同时,也为学院节省了人力、物力的投入。
云用:云安全打造全面防护
安全防护不仅仅是安全产品的责任,对于应用的人来说,也需要担负一定得责任。在趋势科技提出的云安全核心技术之一WRT(Web信誉技术)理念中,网页根据自身的50多种属性被划分为不同的安全等级。在访问这些网站时,用户都会得到是否安全的提示,并自行阻断对恶意网页的访问。不过程源认为,仅仅对网站分级是不够的,还应该对访问的人也进行分级。对于经常中毒的终端,应该降低其访问的带宽。这样就可以阻断对外攻击的发生。程源谈到:“安全是存在于各个环节之中的,用户端桌面防护、局域网对外部的防护、局域网内的防护、对特殊服务器的防护等都是不可少的。防护要形成体系,不能只做单一的一点。而云安全就是一种很好的避免‘单兵作战’的方式。”
图五
程源的想法现在借助云安全理念正在得到逐步实现。目前,郑州轻工业学院目前所部署的IWSA和OfficeScan8.0都支持的云安全技术正是利用分布式的安全理念,将安全防护的“点”转化到了“面”上,从客户端防护、服务器防护,延伸至网关防护,完善各个节点的防护,最终形成了全面防护。趋势科技“云安全”已经全面超越了传统的病毒代码比对方法,是趋势科技历时2年半,耗资3亿美金,并于2008年6月在全球率先发布的新一代网络安全技术。通过部署在全球的5大威胁数据中心和34000台云端服务器,将手工制作特征码所需的至少2小时时间,利用云计算技术压缩到几秒钟,大大缩短了“空窗期”。据了解,趋势科技的“云安全”技术,每天可处理2.5亿个样本,阻止20,000支新病毒入侵网络,并保证云端查询在毫秒间完成,不会给用户造成延时困扰。
程源介绍:“虽然安全方面的投入有所缩减,但是我们如果加强人员的培训,提升应用水平,形成良好的互联网使用习惯和强烈的安全防范意识,就会让有限的安全产品发挥出更大的价值。这也算是应对经济危机的一招吧。”在部署了趋势科技的Web安全网关IWSA、防毒墙网络版OfficeScan、内置反垃圾功能的邮件系统等等一些列安全解决方案后,郑州轻工业学院已经打造出了一个立体的防护系统,在面对来势汹汹的Web威胁时,可以高枕无忧了。
束语
随着未来的每个厂商技术的不断发展,用户具体需求的细化,云安全的未来,会有一个更完善的发展。现在外部信誉是最突出的需求,未来随着网络威胁的变化,用户应用和需求的不断变化,云安全一定是以用户需求为导向,最终满足用户的安全防护需求。