云安全2.0:螞蟻如何戰(zhàn)勝大象
美國頂級的安全專家Mark S.Kadrich在其《終端安全》一書中,就明確指出終端安全是影響信息系統(tǒng)安全的根源。而被攻擊的大多數(shù)終端都是企業(yè)普通員工,這些員工的安全防范知識貧乏、安全意識淡薄,與之相應(yīng)的“團隊攻擊者”來說簡直就是螞蟻和大象的對抗。在螞蟻軍團中,任何一個終端軟件都有可能成為攻擊目標(biāo)。因此,終端用戶似乎已經(jīng)成為一個迷失的流浪者,他該向誰求助?
* 終端安全不應(yīng)由“螞蟻”負責(zé)
終端既是信息產(chǎn)生的起點,又是信息銷毀的終點,是企業(yè)業(yè)務(wù)的控制點,也是支撐點。但對于一個網(wǎng)絡(luò)管理員來說,雖然終端資產(chǎn)的數(shù)量是最大的,但其重要性級別和關(guān)照程度往往被大幅降低,通常低于網(wǎng)絡(luò)中承載ERP、CRM等與業(yè)務(wù)直接關(guān)聯(lián)的服務(wù)器。作為企業(yè)網(wǎng)絡(luò)最為基礎(chǔ)的構(gòu)成節(jié)點,終端與這些服務(wù)器直接進行信息溝通,因而成為黑客和病毒制造者的攻擊目標(biāo)和跳板。同時,因為終端用戶基本上就是企業(yè)業(yè)務(wù)運行的支撐者,很多時候終端因為安全問題的停滯,將直接影響企業(yè)正常業(yè)務(wù)的進行,損失巨大。
與此相反的是,絕大多數(shù)的安全管理人員在網(wǎng)關(guān)處部署大量的網(wǎng)絡(luò)安全產(chǎn)品,雖然這種防御體系功不可沒,因為它可以抵擋住70~80%的威脅攻擊。但又因為無線辦公、移動辦公用戶和存儲介質(zhì)應(yīng)用的增加,網(wǎng)絡(luò)內(nèi)部終端接入的情況變得錯綜復(fù)雜。隨處提供接入服務(wù)的網(wǎng)絡(luò)仍有20~30%的威脅無法被網(wǎng)關(guān)端阻擋,由企業(yè)內(nèi)部發(fā)起的攻擊仍然大量存在,且隨時可能引發(fā)“蝴蝶效應(yīng)”,造成大面積病毒爆發(fā)。
來自趨勢科技全球防病毒研發(fā)暨技術(shù)支持中心統(tǒng)計的數(shù)據(jù)顯示,70%以上的信息泄露和安全威脅都發(fā)生在網(wǎng)絡(luò)終端。這一結(jié)果表明,大量計算機安全威脅都源于同一個問題:終端用戶在未經(jīng)管理員同意并且無管理員控制的情況下,就安裝或運行非法的惡意程序。因此,終端安全管理應(yīng)該形成一種統(tǒng)一的模式,為螞蟻戰(zhàn)士們都配置上先進的武器,這樣成千上萬的螞蟻團結(jié)起來也能夠戰(zhàn)勝大象。
* 先鋒武器:趨勢科技威脅發(fā)現(xiàn)系統(tǒng)TDS
趨勢科技云安全2.0的推出,不僅為安全行業(yè)帶來了強大的文件信譽技術(shù)(FRT)、多協(xié)議關(guān)聯(lián)分析技術(shù),同時,也為終端用戶提供了更加全面、更加高效的多層次終端安全解決方案。該解決方案由威脅發(fā)現(xiàn)設(shè)備(Threat Discovery Appliance)和趨勢科技防毒墻網(wǎng)絡(luò)版OfficeScan 10構(gòu)成,其中TDA作為螞蟻軍團最為鋒利的武器,可以讓安全管理人員在第一時間找到網(wǎng)絡(luò)中“求助者”,定位病毒感染源,迅速解決終端問題。
可以說,TDA是發(fā)現(xiàn)螞蟻被人欺負的關(guān)鍵。因為如果有一只螞蟻被大象踩了一腳,是不容易被管理人員發(fā)現(xiàn)的,而TDA在網(wǎng)絡(luò)層面收集哪些螞蟻被欺負的信號,能夠迅速進行警告,達到加強防御的目標(biāo) 。當(dāng)然對于“不聽話”的螞蟻,TDA也能夠識別違反安全策略、中斷網(wǎng)絡(luò)、消耗大量帶寬以及構(gòu)成潛在安全威脅的應(yīng)用行為和服務(wù)程序。其中包括如即時通訊(Bittorrent, Kazaa, eDonkey, MSN, Yahoo Messenger )、P2P文件共享、流媒體,以及未授權(quán)服務(wù)如SMTP中繼和DNS欺騙等等應(yīng)用、服務(wù)程序。
那么TDA的功能只能是企業(yè)內(nèi)網(wǎng)的“放大鏡”嗎?這只是它的冰山一角。
作為TDS(威脅發(fā)現(xiàn)系統(tǒng))重要組件,由于集成了趨勢科技云安全2.0中的“多協(xié)議關(guān)聯(lián)分析技術(shù)”,因此可全面支持檢測2-7層的惡意威脅,能快速檢測Web攻擊、跨站點腳本攻擊和網(wǎng)絡(luò)釣魚行為,識別高危節(jié)點和高危網(wǎng)絡(luò)通訊行為,其中就包括向外界泄露數(shù)據(jù)或從僵尸網(wǎng)絡(luò)控制中心接收命令的木馬行為,這是傳統(tǒng)的、基于代碼比對方式的安全產(chǎn)品所無法辦到的。 因此,TDS實際上就是內(nèi)網(wǎng)的“指揮中心”,它不但能夠及時的發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中的安全威脅,還能夠?qū)⑦@些威脅轉(zhuǎn)化為詳細的處理措施并進行落實。
* 必備武器:趨勢科技防毒墻網(wǎng)絡(luò)版OfficeScan
在趨勢科技多層次終端安全解決方案中,除了TDA之外,還有將螞蟻“武裝到牙齒”的產(chǎn)品OfficeScan。作為云安全2.0的核心產(chǎn)品之一,趨勢科技防毒墻網(wǎng)絡(luò)版OfficeScan 10這款經(jīng)典拳頭產(chǎn)品也被賦予了全新內(nèi)涵。它集成了趨勢科技云安全2.0中獨創(chuàng)的“云客戶端文件信譽(Cloud-Client File Reputation,CCFR)”技術(shù),將大量的病毒特征碼交付給云端服務(wù)進行管理,當(dāng)用戶訪問某文件時,將直接到云端查詢該文件的最新安全等級,F(xiàn)RT會阻止用戶訪問低安全等級的文件,從而在最大程度上確保終端無論是否接入企業(yè)網(wǎng)絡(luò)都可以受到保護。加入云客戶端文件信譽技術(shù)的OfficeScan 10,實際上是為每一位螞蟻戰(zhàn)士都帶來一支“激光槍”出行。因此,在遭遇害大象襲擊時,一樣可以防身并進行反擊。
不過,螞蟻終究還是螞蟻,螞蟻武器的最關(guān)鍵一點是讓螞蟻能夠“扛的動”。OfficeScan 10借助CCFR避免了防毒軟件版本升級,客戶端病毒碼不斷增大,內(nèi)存占用增長的窘迫問題。以前,在沒有云安全技術(shù)的防毒體系中,客戶端承擔(dān)了太多的功能,以至于系統(tǒng)進程運行的越多,防毒軟件的CPU和內(nèi)存都持續(xù)增加,許多純文件的簽名和基于簽名的復(fù)雜腳本都要傳送至用戶的終端系統(tǒng),這些武器不但沒法去挑戰(zhàn)大象,往往武器自己的重量就把螞蟻壓死了。而新CCFR 技術(shù)中,大量的惡意軟件樣本的純文件簽名都只會傳送至云,而用于復(fù)雜惡意軟件的相關(guān)腳本則傳送至本地客戶端。同時,由于OfficeScan 10采用了特殊的智能過濾器,可以實現(xiàn)客戶端的離線保護,這也是脫了TDS保護傘后仍然可以自行保護的關(guān)鍵。
云安全2.0將大量的防毒功能從終端遷移至云端,并通過網(wǎng)關(guān)和終端產(chǎn)品的智能聯(lián)動,形成“終端→網(wǎng)關(guān)”、“終端→云端”、“網(wǎng)關(guān)→云端”多層防御體系。如今,那些失散的終端正在被逐漸統(tǒng)一到“云”下,在大幅壓縮防護空窗期的同時,簡化了終端安全管理的難度。螞蟻們樂了!
【編輯推薦】
