Web風險讓用戶重新思考終端安全

那 罡

一直以來,云安全存在兩種技術(shù)發(fā)展路徑,一種是依靠海量服務(wù)器、基于搜索引擎技術(shù)的“云架構(gòu)”系統(tǒng),另一種是依靠分布在互聯(lián)網(wǎng)每個角落的用戶搭建的“云安全”系統(tǒng)。一歲多的云安全,讓眾多用戶和廠商開始重新思考云安全對用戶終端的意義和核心價值是什么。

準確的說,云安全1.3歲了,從一個看不見的概念到如今可以拿出無數(shù)案例。趨勢科技、卡巴斯基、瑞星和熊貓安全等安全公司一年多的“云”體驗,時間不長,但效果明顯。

木馬猖獗,威脅不止

今年上半年,瑞星“云安全”數(shù)據(jù)中心最新統(tǒng)計數(shù)據(jù)表明:瑞星“云安全”系統(tǒng)攔截到的掛馬網(wǎng)頁數(shù)累計達2.9億個,共有11.2億人次網(wǎng)民遭木馬攻擊,平均每天有622萬余人次網(wǎng)民訪問掛馬網(wǎng)站;大型網(wǎng)站、流行軟件被掛馬的有35萬個(以域名計算),比去年同期有大幅度增長,但第二季度比第一季度有顯著下降(如圖)。

這僅僅是半年來的統(tǒng)計數(shù)據(jù),網(wǎng)站掛馬的威脅的確十分猖狂。值得注意的是:Web 2.0社交網(wǎng)站的使用率大增,但是網(wǎng)站設(shè)計中卻存在安全弱點,而且用戶對Web 2.0的認識也不充足。因此,這類網(wǎng)站將成為 Web威脅繁衍的沃土。如今的瀏覽器與其他Web 應(yīng)用程序,已經(jīng)成為黑客攻擊的首要目標!

今年3月14日凌晨4點19分,酷狗論壇上就有用戶反饋酷狗被掛馬,直至當天中午11點47分仍有類似的帖子出現(xiàn)。惡意網(wǎng)木馬網(wǎng)站的“壽命”越長,傳播和受害面就越廣。尤其是沒有安裝具有網(wǎng)頁木馬攔截功能軟件的用戶,絲毫察覺不到自己的計算機已遭到攻擊、入侵。一旦木馬病毒下載后自動運行,用戶的信息安全就受到嚴重威脅。

由于黑客針對大型網(wǎng)站、流行軟件進行掛馬,使得單個木馬網(wǎng)站攻擊網(wǎng)民的數(shù)量有上升趨勢,據(jù)統(tǒng)計,上半年排行前兩位的木馬網(wǎng)站攻擊網(wǎng)民數(shù)量都超過了145萬,排行第一的木馬感染了177萬人次的網(wǎng)民。同時,傳統(tǒng)的“感染型病毒”逐漸抬頭,病毒制造團伙在掛馬網(wǎng)站被封堵的情況下,只好回歸以往高成本的“感染性病毒”(編寫較為復雜、感染效率低)攻擊方式。

現(xiàn)在,由于互聯(lián)網(wǎng)信息呈爆炸趨勢,每天新出現(xiàn)的數(shù)據(jù)以TB計算,如此巨量的網(wǎng)頁、視頻、郵件、文件等數(shù)據(jù),任何一個商業(yè)公司都無法把它們?nèi)?、實時地標明安全等級,并存儲在數(shù)據(jù)庫里供用戶進行安全查詢,這種思路也是行不通的。正因如此,云安全從概念走向現(xiàn)實。

云安全的技術(shù)路徑

一直以來,云安全存在兩種技術(shù)發(fā)展路徑,一種是依靠海量服務(wù)器、基于搜索引擎技術(shù)的“云架構(gòu)”系統(tǒng),另一種是依靠分布在互聯(lián)網(wǎng)每個角落的用戶搭建的“云安全”系統(tǒng)。

以瑞星為代表的“云架構(gòu)”思路是,既然用戶受到的安全威脅來自互聯(lián)網(wǎng),那么傳播方式基本局限于網(wǎng)頁、郵件、互聯(lián)網(wǎng)文件這三種途徑。如果,把互聯(lián)網(wǎng)上的這三種東西都標上安全等級,用網(wǎng)頁爬蟲去搜索網(wǎng)頁,發(fā)現(xiàn)惡意代碼就標上不安全,用戶若企圖訪問這個網(wǎng)頁,我就返回結(jié)果阻止。同樣,郵件和文件也這樣做,理論上可以阻止網(wǎng)絡(luò)上的所有攻擊。

以趨勢科技、熊貓安全和思科為代表的“云安全”的思路是,依靠分布在互聯(lián)網(wǎng)每個角落的用戶,把所有用戶都連接起來,其中一個受到攻擊,則服務(wù)器收到其上傳的信息之后,把分析結(jié)果返回給網(wǎng)絡(luò)中的所有端點。這樣無論出現(xiàn)多少種網(wǎng)絡(luò)威脅,只要最初遭到攻擊的客戶端及時上報信息,則經(jīng)過服務(wù)器的分析處理,返回結(jié)果之后,整個網(wǎng)絡(luò)可以在最短時間內(nèi)獲取對該攻擊的免疫能力。

事實證明,這兩種思路,在不考慮硬件處理能力的情況下,都可以達到很好的效果。

瑞星一位反病毒工程師說,現(xiàn)在我們不但可以準確地了解用戶感染了哪些木馬病毒、被哪些掛馬網(wǎng)站攻擊,通過云安全系統(tǒng)對這些威脅信息的深入挖掘,還可以對互聯(lián)網(wǎng)安全威脅做準確的預(yù)估,就像人們通過衛(wèi)星云圖預(yù)告天氣一樣,云安全系統(tǒng)可以準確預(yù)告互聯(lián)網(wǎng)上的安全大事件。

從某種意義說,以前的工程師有點像中醫(yī),某個人來看病,根據(jù)個體信息來診斷、開藥;而現(xiàn)在的反病毒工程師則像在生產(chǎn)疫苗,一群病毒來了之后,分析其中共同的特征,開出針對這群病毒的疫苗。這些疫苗不僅可以防范已有的病毒,還能防范將來出現(xiàn)的同類病毒。

趨勢科技已經(jīng)將云安全升級到了2.0版本,趨勢科技全球高級副總裁暨大中華區(qū)總經(jīng)理張偉欽說:“云安全2.0增加了文件信譽技術(shù)和多協(xié)議關(guān)聯(lián)分析技術(shù)的應(yīng)用,讓文件信譽技術(shù)(FRT)與Web信譽技術(shù)(WRT)、郵件信譽技術(shù)(ERT)實現(xiàn)關(guān)聯(lián)互動,為用戶提供更加安全有效的防護盾牌,這對終端系統(tǒng)安全管理及資源釋放絕對是一次重大變革?！痹瓢踩?.0的出現(xiàn),也將讓更多的安全廠商重新思考云安全帶給用戶的核心價值應(yīng)該是什么。

重新思考終端安全

記者了解到,云安全2.0的最大特色是將大量的防毒功能從終端遷移至云端,并通過網(wǎng)關(guān)和終端產(chǎn)品的智能聯(lián)動,形成“終端→網(wǎng)關(guān)”、“終端→云端”、“網(wǎng)關(guān)→云端”多層防御體系,在大幅壓縮防護空窗期的同時,簡化了應(yīng)用和管理的難度,提高整個信息系統(tǒng)的工作效率。

美國Osterman Research發(fā)布的《云端客戶端企業(yè)安全防護影響評估報告》顯示,在當今威脅環(huán)境下,一家擁有5000名員工的企業(yè),在已經(jīng)部署了傳統(tǒng)終端防護的情況下,一年內(nèi)依然會有2/3的端點被感染,企業(yè)會因此而投入250多萬元的費用進行威脅清除。與此同時,因為無法定位威脅的感染源頭,病毒會在企業(yè)網(wǎng)絡(luò)中不斷重復感染,導致企業(yè)的損失被不斷放大!

終端不僅是網(wǎng)絡(luò)威脅攻擊的目標,更因其直接面對企業(yè)內(nèi)部員工,因而在安全防護、管理上都變得困難。這是大多數(shù)CIO普遍認同的。他們面對著市場上諸多的終端安全產(chǎn)品和復雜的解決方案,在選擇上的確不易。

信息安全解決方案在功能上的膨脹,已經(jīng)壓得IT管理員喘不過氣來,完全無法從日益復雜的終端安全解決方案鏈條中解放出來。讓IT管理員更加矛盾的是,終端用戶希望在工作的時候不用擔心他們的終端安全解決方案會占用計算機有限的CPU 和內(nèi)存資源。

張偉欽說,云安全2.0 的多協(xié)議關(guān)聯(lián)分析技術(shù)可以在近百種常見協(xié)議中進行智能分析 ,通過監(jiān)控企業(yè)網(wǎng)絡(luò)中各種異常的行為,追蹤威脅發(fā)起者,定位威脅感染源頭?；谠擁椉夹g(shù)開發(fā)的趨勢科技威脅發(fā)現(xiàn)設(shè)備(TDA)從網(wǎng)絡(luò)層為終端主動構(gòu)建了一個立體模型,利用威脅關(guān)聯(lián)分析、多協(xié)議關(guān)聯(lián)分析迅速定位感染源頭,發(fā)現(xiàn)企業(yè)網(wǎng)絡(luò)中的“肉雞”(擁有管理權(quán)限的遠程電腦)和各種未知威脅或者安全管理問題,并通過同趨勢科技監(jiān)控中心(MOC)的互動,為企業(yè)網(wǎng)絡(luò)提供管理服務(wù),從而形成一套完整的威脅發(fā)現(xiàn)系統(tǒng)(TDS),為企業(yè)用戶第一時間提供應(yīng)對策略。