【IT168 专稿】如果说2009年信息安全产业的热点,毫无疑问“云安全”技术当之无愧。据记者观察,无论是新技术还是新应用,业内众多主流安全厂商都在向“云”靠拢。有意思的是,随着云安全应用的重要性日益凸现,针对云端服务器群组的保护技术也推陈出新。
作为企业网络最基础的构成节点,终端因为其储存着大量敏感数据,因而成为黑客和病毒制造者的攻击目标,同时,因为终端直接面对企业的内部员工,管理困难,导致其成为企业网络中最脆弱的一环。这让企业用户不得不重新思考自己的终端安全!
趋势云安全技术
云安全从1.0升级到2.0,趋势科技用了一年的时间。据全球高级副总裁暨大中华区总经理张伟钦介绍,云安全2.0增加了文件信誉技术和多协议关联分析技术的应用,让文件信誉技术(FRT)与Web信誉技术(WRT)、邮件信誉技术(ERT)实现关联互动,为客户提供更加安全有效的防护盾牌,这对终端系统安全管理及资源释放是一次重大变革。云安全2.0的出现,也将让更多的安全厂商重新思考云安全应该带给用户的核心价值是什么。
图一
据介绍,趋势科技防毒墙网络版OfficeScan 10作为趋势科技的经典拳头产品,成功将云安全2.0中文件信誉技术(FRT),同云安全1.0的Web信誉技术(WRT)进行整合。文件信誉技术依托庞大的云端威胁数据库,用户在访问文件前查询该文件的信誉,阻止恶意文件的下载访问。34000台服务器组成的云端在毫秒间完成查询,帮助企业实现0时差病毒码更新,0时间病毒码部署,0资源占用增长的三“0”防护!
另据记者了解,趋势科技走访了全球1000位CIO,并对其企业网络终端进行安全检查,发现终端的安全状况远低于CIO们的预想。终端不仅是网络威胁攻击的目标,更因其面对企业内部员工,因而在安全防护、管理上都变得难。
而作为此次发布会的核心技术之一,云安全2.0 的多协议关联分析技术可以在近百种常见协议中进行智能分析 ,通过监控企业网络中各种异常的行为,追踪威胁发起者,定位威胁感染源头。基于该项技术开发的趋势科技威胁发现设备TDA从网络层为终端主动构建了一个立体模型,利用威胁关联分析、多协议关联分析迅速定位感染源头,发现企业网络中的“肉鸡”和各种未知威胁或者安全管理问题,并通过同趋势科技监控中心(MOC)的互动,为企业网络提供管理服务,从而形成一套完整的威胁发现系统(TDS),为企业用户第一时间提供应对策略。
趋势科技云安全2.0多层次终端安全解决方案利用趋势科技TDS和OfficeScan 10 的即时保护进行联动,可以阻断病毒进入终端,有效的阻止由病毒爆发、肉鸡、网络挂马、蠕虫爆发、非法入侵等已知和未知的网络威胁。
云安全2.0将大量的防毒功能将从终端迁移至云端,并通过网关和终端产品的智能联动,形成“终端→网关”、“终端→云端”、“网关→云端”多层防御体系,在大幅压缩防护空窗期的同时,简化了应用和管理的难度,提升整个信息系统的工作效率。趋势科技云安全2.0阐释了“简单操作”的含义,将难以驾驭的安全管理变得简单可控,而众多企业因终端安全管理所遭受的痛苦和伤口都将被云安全2.0技术抚平。
趋势科技用3年半的时间进行云安全的研发,共计投入4亿多美金建成34000台服务器组成庞大的云端。现在包括全国最大的银行机构、全球最大的笔记本转轴制造商以及中国重要的政府部门等都已经开始享用趋势科技云安全技术带来的便捷。在51CTO记者看来,云安全2.0的到来,将让更多的企业用户重新思考网络终端的安全防护是否已经足够,如何更好的提高管理效率和提高ROI将成为CIO们思考的重点。
瑞星云安全技术
在瑞星发布2009新品中,“云安全”系统也同步升级到2.0。在监测、查杀木马病毒的基础上,增加了对挂马网站的拦截、监测和封杀功能。迄今为止,瑞星云安全系统共截获2000多万个木马病毒样本,为用户拦截20亿次以上的挂马网站攻击。
瑞星云安全的亮点是,可以像天气预报一样预报病毒的爆发,这一点非常诱人。在“云安全”系统的支撑下,瑞星工程师分析其数据趋势,可以准确地预告互联网上的安全事件。经过对数据的趋势分析,瑞星专家可以准确地了解用户感染了哪些木马病毒,被哪些挂马网站攻击等。瑞星公司工程师唐威说:“目前,黑客以盈利为目的,其在病毒的研发投入上也日益增加,某些病毒由多个模块组成,这一方面说明,病毒产业链上下游分工明确,另一方面也说明,病毒集团高投入就期待着高产出,期待一只病毒能在较长时间内发挥作用,这也给云安全预报病毒带来可能。”
图二
同时,唐威说:“现在市场中存在一个误区,某些产品强调对本机的防护,如主动防护功能、沙箱等,这其实是建立在用户已经被感染的情况下,用户不是要看电脑中杀出多少病毒,而是要保证电脑不被感染。瑞星云安全运行一周年来,起到到了很好的效果,2009年以来,没有大规模的病毒爆发。”
瑞星“云安全”官方给出的定义:通过网状的大量客户端对网络中软件行为的异常监测,截获互联网中的木马、恶意程序的最新信息,然后推送到服务器端进行自动分析和处理,然后再把病毒和木马的解决方案分发到每一个客户端。
上面那句话看着比较官方,不过注意看“通过网状的大量客户端对网络中软件行为的异常监测”这句话。可以看出,瑞星的“云安全”和趋势的“云安全”讲述的并不是同一个概念。趋势“云安全”中的“云”是趋势的服务器群,而瑞星的“云”则是大量用户。在瑞星的云安全当中,瑞星的服务器反倒成了一个Client端。
通过各个客户端对用户计算机进行扫描,然后提取可能是病毒的文件上报,经过瑞星的处理后,升级杀毒软件或卡卡再推送给用户。
瑞星的云安全的实质是一个样本收集处理机制。实现瑞星云安全需要有大量的客户端(卡卡6?),才能组成真正意义上的云,另外需要有对病毒的快速分析处理能力。在瑞星云安全里,由于客户端才是云的组成部分,所以不需要架设那么多服务器。
云安全技术互补
目前业内对“云安全”的技术争论,很大一部分集中在标准的制定上。此前徐学龙向记者表示,“云安全”技术实现的是庞大云端和瘦客户端的结合,所以如何构建有效的智能威胁收集系统、计算云系统、服务云分发系统就变得非常重要。用户在选择的时候一方面要选择在这方面有较深积累的厂商,另一方面要看正在应用的客户群规模,因为一种新技术的成熟离不开长期的开发和大量的客户基础。
图三
事实上,云安全技术由于推出的时间不长,所以技术尚在完善过程中,而且由于网络威胁是动态变化的,所以安全技术永远都处于不断研发、不断前进的过程中。在目前来看,如何有效快速分析和快速递交,仍是大多数厂商需要解决的问题。
从趋势科技‘云安全’技术的推广来看,用户对云端响应的支持模式还是非常容易接受的,而且由于采用本地服务器群响应、缓存支持和企业内部云服务器同步等技术,‘云安全’的性能问题已经得到了解决。而瑞星的云安全特点是能够感知用户计算机上已经存在的未知病毒,思路还是好的,但瑞星是否有能力真正的达到云安全设想的目标,就需要用时间去检验了。
另外,如果从网络与安全的两个层面考虑,李宏凯的看法是,“云安全”是由保护实体和服务网络两部分组成。相对应的,在保护实体部分要有完善的多样化威胁的检测能力,如邮件安全,网页安全,数据安全,系统安全等比较清楚的分类保护选择,这样能让用户对保护实体的安全防御方向和内容有比较清晰的认识。另外,在保护实体和云网络的服务通信方面应该具有一定的可视性,比如邮件安全/系统安全/网页安全等安全套件的云网络连接状态等。
“‘云安全’技术在选择上面临多种需求的压力:第一,一个强壮、安全的‘云安全’方案,是否会影响企业网络本身的性能,甚至带来额外的故障点?第二,很多用户希望能够快速、精准地检测到来自Web的安全威胁,但是用户有没有关心安全设备自身的威胁签名列表数据库容量是否足够大?第三,随着越来越多的安全威胁嵌入到应用程序之中,简单、传统的封包检测是否还能应付?第四,如果厂商不能提供多区域分布数据库的主机服务,拥护是否会面临有云无响应的风险?第五,不同厂商提供的‘云安全’方案横跨终端与网关,应用与更新过程中是否会出现兼容性风险?”。
