网络安全 频道

WEB安全无忧:云安全快速拦毒

    【IT168 专稿】趋势科技云安全2.0技术(Smart Protection Network)是去年7月趋势云安全技术的升级版,与早先的云安全相比已经可以形成多层次、立体化的防护体系。

 Web信誉技术和邮件信誉技术也采用了类似文件信誉技术的云端评估技术。用户打开邮件或是访问网站时,操作请求都会被趋势科技云端威胁数据库比对一遍,如果发现信誉等级低的或是有威胁时,会提前自动阻拦恶意代码,中止危险行为。

    探索WEB安全定义

    当前业内主流安全厂商经过多年的反复争论,终于在Web安全上达成了共识,统一了Web安全的定义。这的确是一件不容易的事情,要知道不同的厂商侧重点不同----URL过滤的、Http过滤的、防病毒的、反垃圾邮件的、Proxy的、端口镜像的等等----大相径庭的方案很可能导致用户对整个Web安全领域的困惑,非常不利于整个产业的成长。

图一

    针对Web安全,当前业内的一致看法是,统一的定义不能从厂商的技术上去下,而是要与用户需求的紧迫程度挂钩。

    从这个角度上分析,Web安全分成两类应用模式:一类是针对病毒、木马、间谍软件、恶意软件的威胁;另一类着眼于规范用户行为,比如用URL过滤某些站点、员工上班时间上网控制、对用户应用协议的控制、对IM应用的记录与过滤、对P2P软件的管理与控制、对企业内部的带宽管理等。

    需要注意的是,两种应用模式并非孤立存在,彼此间是有交叉的。据Anchiva中国区总经理李松介绍,根据经验,一套完整的Web安全方案,至少需要两个部分:一台针对TCP/IP协议二、三、四层应用的安全防御设备(比如防火墙、入侵检测、UTM),之后串接一台针对七层内容的安全防御设备,以便解决病毒、IM、P2P、网络游戏、垃圾邮件、内容审计等应用。

    持类似看法的,还有中国民用航空管理局的一位安全管理员。他说:“到目前为止,我所了解的不少同类用户对于Web安全仍然无法形成最优的配置或共识,但我们有一个最基本的思路,即一套完整的IPS系统+Web安全网关相配合,至少能够满足相当多的内部员工对于Web安全的需求。”

    说到应用,Hillstone首席软件架构师王钟在接受专访时表示,针对企业的攻击总是跟随着应用而来,越来越多的企业应用构建在互联网之上,而用户在互联网上的活动也是越来越频繁和难以控制。无论是正常的企业应用还是企业员工的个人上网行为,都会成为Web攻击的对象。从目前来看,多年的积累,使得企业具备一定的网络攻击防御能力,而针对新出现的Web活动引发的安全威胁,企业需要根据自身的特点,增强相应的防范手段。

    众观Web安全形势

    之所以当前Web安全成为热门话题,关键还是因为国内外Web安全大环境不容乐观。根据趋势科技刚刚发布的《2008年上半年安全威胁报告》的统计,目前针对Web应用的威胁正以爆炸式的速度增长,全球范围内企业与终端用户面临的风险已经到了非常严重的地步。

    对此,Wedge Networks全球CTO张鸿文博士介绍,无论是美国还是中国,随着“社会网络、Web2.0、SaaS”的兴起,网络本身已经成为社会生活的一部分。在这种环境下,与传统的病毒制造不同,当前各种木马程序、间谍软件、恶意软件等以利益驱动的攻击手段越来越多。

图二

    事实上,随着当前Web应用开发越来越复杂与迅速,攻击者可以很容易地通过各种漏洞实施诸如:注入攻击、跨站脚本攻击、以及不安全的直接对象关联攻击,从而进一步通过各种隐蔽的技术手段盗窃企业机密、用户隐私、信用卡账号、游戏账号密码等能够轻易转化成利益所得的信息。

    另外,通过木马、漏洞控制海量的普通用户主机组成僵尸网络,利用这些“肉鸡”,控制者可以通过多种方式获取利益,比如发起攻击、点击广告、增加流量等行为。

    “从实际的经验看,在一个典型的Web服务架构中,很有可能发生某些攻击行为从Web层面渗透到企业的控制与数据层面,从而引起更大范围的灾难。其实不论是攻击Web站点还是Web服务,恶意Web站点总是能够快速建立起来,并在搜索引擎的推动下袭击无辜的用户。”

    从Wedge Networks全球合作伙伴反馈的信息来看,美国、日本、韩国、英国的企业用户对于Web攻击以及Web应用的脆弱性都有较为充分的了解。在此基础上,那些国家中一些垂直行业与机构,比如公共安全、金融、医疗、交通、能源等企业,对于Web安全保护的技术关注与投入都非常高。

    实际情况是可悲的。根据趋势科技发布的统计数字,从今年二季度开始,国内就有超过1万个大型网站遭受“注入攻击”,这些攻击者的动机几乎都是恶意软件植入、名誉损害、以及数据窃取。

    有用户BBS上留言:“我们重视Web安全造成的损失,但是我不清楚,这部分预算究竟应该分配给谁:是分配给负责网络基础设施的管理团队,还是分配给管理Web服务器和数据库服务器的团队?”无疑,Web安全的挑战被演绎到了技术、应用与企业管理水平的层次上。

    问题已经很清楚了,当前针对Web应用的威胁,企业用户当前的防范措施还远远不够。对此张鸿文博士曾一针见血地指出:“当前国内企业已有的大部分安全设备都是基于TCP/IP协议的三、四层防范,而针对Web应用的威胁是基于协议的七层攻击(应用层攻击),从技术角度来看,传统防火墙、IDS等设备针对应用层的攻击几乎是没有防御效果的。”

    云中拦截病毒

    看完上半部份的文章,让我们了解到现在的病毒基本上都是基于Web途径传播,通过在高流量网页上“挂马”的方式,在用户访问网页时自动下载到本地计算机的信息。最常被用户访问的网站中,有2成左右都含有各种木马病毒。这直接造成了有65%的用户因为在家网上购物受到此类病毒侵害,从而带来经济损失。

    在全球金融危机的大环境下,再遭受账号损失无疑雪上加霜。而对“挂马”防范不利则是造成这种后果的直接原因。也就是Web病毒数量多、传播速度快的特点造成了 “零日”危机。病毒利用防范的“空窗期”大肆入侵。传统的反病毒工作根本无法与病毒在速度上相抗衡。

图三

    但是趋势科技云安全技术改变了这种局面,基于云计算强大的数据处理能力,将人工判别风险转变为计算机判别网页的安全等级模式,通过计算网页的信誉等级,可以将Web威胁遏止于网络之外。例如,当一位云安全用户访问一个网页时,访问请求就被发送到趋势科技的“云”数据库中,对该网页的风险级别进行查询,这个过程仅需几十毫秒,让终端用户丝毫察觉不到,只是在访问含到有威胁的网页时会收到提示。

    如果用户访问的网页在云端数据库中没有记录,用户会顺利地访问此页面。与此同时,趋势科技的2000多部在线服务器就会把网页信息源收集起来,再进行分布式计算,得出网页的信誉等级。这个计算时间最多只需15分钟。此后,第二位访问该网页的云安全用户将会受到云端的保护,从而达到了“让Web世界没有第二位受害者”的成效。

    后记

    据趋势科技介绍,目前企业用户的安全威胁80%来自互联网,20%来自内部终端,而往往内部一台机器的漏洞会导致整个企业网络存在安全隐患。这时,关联分析技术可以动态的分析若干看似没有威胁的单一“动作”,当它们联合在一起构成“危险”动作时,就会判定它为恶意活动——也会与云端进行比对。另一方面,分析可以延展到企业内部的小型“云安全”网络中,以本地化服务器为核心进行云安全部署,使得企业内部网络不会出现安全盲点。

0
相关文章