与日俱增的安全风险不仅拖垮了防火墙,也拖垮了防病毒系统。IDC安全产品服务部门的研究总监Charles Kolodgy表示:“基于特征码的传统恶意程序检测方法已不能满足要求。用户的行为在改变,威胁也在不断演变,然而恶意程序检测技术却没有跟上步伐。”
安全的新思路
安全厂商们急需一个新的思路解决这一问题,这时候被看做网络安全未来方向的云安全来了,与之对可以抗衡的Web安全网关也来了。二者的共性是能够抵挡来自互联网的风险,区别就在于:云安全的安全服务位置在“云”端并配以安全网关相互呼应,Web安全网关的安全服务位置在企业网络边界。这种面向“端”点的整合趋势已经逐渐清晰。
最近两个月以来,趋势科技、熊猫、McAfee等安全厂商纷纷宣布“云安全”技术和产品,推动着网络安全逐步向“云”时代过渡。在“云”时代,趋势科技和熊猫的做法是,将病毒资料库放在“云”端,与客户端通过网络相连,当“云”在网络上发现不安全链接的时候,可以直接形成判断,阻止其进入用户机器,从根本上保护机器的安全。
虽然这两种方法对待应用安全威胁弥补了“老三样”的不足,但是现在的云安全和WEB安全网关,应该说都还处在一个起步的阶段,目前被业界所认可的云安全公司只有趋势科技和熊猫,他们提供着各式各样的云安全服务,不局限于病毒防范,甚至延伸到URL过滤,文件过滤和电子邮件过滤。而能够提供WEB安全网关的安全厂商也只有稳捷网络、Bluecoat、思杰、绿盟科技和F5。
趋势科技资深产品技术顾问徐学龙说,传统的恶意程序检测依赖于安装在用户计算机上的威胁特征码数据库,这意味着,每台计算机上的威胁特征码数据库只有在更新并包括新威胁的特征码之后才能提供最新的防护。因此,当某个新威胁首次出现后,所有计算机必须等待一段时间才能防护此新威胁。
不难发现,云安全的计算方式将病毒资料库放在“云”端,与客户端构成的防御体系可以通过网络直接阻断病毒和木马的传播路径,保护终端机器安全。
盼达信息安全技术有限公司总经理金锴介绍说,云计算防病毒技术不再需要客户端保留病毒库特征,所有的信息都将存放于互联网中。当全球任何角落的终端用户连接到互联网后,与云端的服务器保持实时联络,当发现异常行为或病毒等风险后,自动提交到云端的服务器群组中,由云计算技术进行集中分析和处理。之后,云计算技术会生成一份对风险的处理意见,同时对全世界的客户端进行统一分发。客户端可以自动进行阻断拦截、查杀等操作。
其实,云安全就像云计算一样,虽然“云”很容易被理解。但是一旦同“安全”联系起来,它的意义就扩展了,而且开始变得模糊起来。有些信息安全业内人士把云安全理解为防病毒的升级版——基本上就是互联网上提供的众多服务器,实现所谓的“互联网就是防病毒”的概念。
据悉,趋势科技的云安全可以支持平均每天55亿条点击查询,每天收集分析2.5亿个样本,资料库第一次命中率就可以达到99%。借助云安全,趋势科技现在每天阻断的病毒感染最高达1000万次。
尽管云安全的出现给用户带来了很大希望,但是从目前来看,它并非想要替代防火墙或者防病毒系统。据悉,趋势科技已将云安全技术架构融入公司全线产品中:网关安全设备IWSA、客户端产品OfficeScan 、中小企业产品Worry Free5.0以及个人消费类产品网络安全专家(TIS)等。为此,趋势科技云安全已经在全球建立了5大数据中心,几万部在线服务器。
熊猫公司将云计算服务称为“Collective Intelligence”(综合人工智能),通过云端的主机群收集并存储终端用户和互联网中的应用程序的行为模式、档案记录和新的恶意程序样本。每天通过监测上千万个网站,分析采集超过8TB的资料内容,目前已经得到正式使用。
由于Web安全网关工作在应用层,因此对Web应用防护具有先天的技术优势。WEB安全网关基于对Web应用业务和逻辑的深刻理解,对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。稳捷网络首席技术官张鸿文说,WEB安全网关可以放置于防火墙后端,有效拦截HTTP与FTP数据,检测、拦截、抵御病毒、间谍软件、特洛伊木马与蠕虫攻击。
稳捷网络首席技术官张鸿文说,目前国际上标准的WEB安全网关在高传输性能与低扫描延迟的条件下,还应当具备三大特性:
1、恶意软件过滤:针对进出桌面、网站服务器与移动设备的双向互联网流量过滤恶意软件 (特洛伊木马、病毒、间谍软件等)。
2、应用程序控制:细致的、基于策略的控制基于网络的应用程序,为桌面浏览器、网站服务器与数据库用户提供保护,保证这些用户免受互联网攻击与数据泄漏的侵扰。使用高级模式匹配与关键字目录来满足监管需求。
3、网址过滤:使用已知分类网站地址数据库,增强网址过滤的可接受程度、降低安全风险。