剖析云安全 炒作還是實(shí)用
“云安全”這以概念從提出之時(shí)起就備受爭(zhēng)議。今天我就來詳細(xì)解剖一下云安全。為此首先我們需要了解一下傳統(tǒng)的殺軟是如何工作的。
傳統(tǒng)的特征碼殺軟流程一般如下:收集階段:少數(shù)的用戶專門上報(bào),廠商的爬蟲程序、MiGuan程序——>分析階段:病毒分析員、機(jī)器分析——>反饋階段:數(shù)小時(shí)一次的定義更新。
由此我們可以看到整個(gè)過程完全是廠商在負(fù)責(zé)。同時(shí)也能看到這樣的流程有極大的缺陷:
1、周期過長(zhǎng)。一般殺毒軟件的定義更新需要數(shù)小時(shí)到數(shù)十小時(shí),有較長(zhǎng)的一段反應(yīng)真空期
2、收集范圍狹隘。僅僅借助廠商的收集程序和少量的用戶上報(bào)不能做到廣泛的收集樣本。
3、白名單收集不夠。和第二點(diǎn)類似也是由于收集范圍過于狹隘所致。
傳統(tǒng)的主動(dòng)防御流程一般如下:準(zhǔn)備階段:收集足夠的樣本,詳細(xì)分析,總結(jié)出行為特征庫(kù)——>發(fā)布階段:發(fā)布主防產(chǎn)品——>反饋階段:收集被繞過的樣本,改進(jìn)主防。
整個(gè)過程的流程比特征碼更漫長(zhǎng),往往需要數(shù)周,數(shù)月的周期。
可見,傳統(tǒng)的殺軟都有一個(gè)共有的缺陷,那就是反應(yīng)速度過慢。做過免殺的朋友都知道,一個(gè)木馬在出爐前是要檢驗(yàn)的,用幾乎所有的殺軟都掃一遍,有時(shí)候還要運(yùn)行嘗試,大部分不報(bào)才能出廠。一個(gè)木馬只要有心去做沒有過不掉的殺軟。主防也一樣,有時(shí)候甚至比特征碼更容易過,為什么?因?yàn)橹灰腥税l(fā)現(xiàn)了一個(gè)漏洞,那么就可以制作出一大串的繞過樣本,如果保密得當(dāng)那么在很長(zhǎng)一段時(shí)間內(nèi)都有效。為了在一定程度上解決這個(gè)反應(yīng)速度過慢的問題,于是就推出了“云安全”的概念。
我們來看看云安全是如何解決上述傳統(tǒng)殺軟所面臨的問題。我先以國(guó)內(nèi)云為例,國(guó)內(nèi)的云將客戶端作為一個(gè)收集器,凡是不在云端庫(kù)內(nèi)的程序,都會(huì)被上傳到服務(wù)器進(jìn)行分析鑒定,并在較短的時(shí)間內(nèi)所有用戶都可以得到反饋。
我們看到國(guó)內(nèi)云端有如下優(yōu)勢(shì):
1、周期短,反饋速度快。機(jī)器分析一般只需5到30分鐘就可以完成,而且由于病毒庫(kù)在云端因此不 需要升級(jí)就可以得到保護(hù)。
2、收集范圍廣泛。除了用戶專門上報(bào),廠商的爬蟲程序、蜜 罐程序之外,每個(gè)客戶端都變成了一個(gè)收集器,收集能力將成倍提高。
3、不僅收集病毒還能收集白文件。可以用來降低誤報(bào)。
但是不少朋友覺得萬一“斷網(wǎng)”怎么辦??會(huì)出現(xiàn)“首批犧牲者”的問題。
首先關(guān)于“斷網(wǎng)”。那么我們先設(shè)想這樣一種情況,比如一個(gè)樣本,經(jīng)過了免殺處理過掉了絕大部分的殺軟,同時(shí)云端也沒收集到。這時(shí)傳統(tǒng)殺軟被免殺了,因此檢測(cè)不出來,運(yùn)行后中毒,如果沒被針對(duì)性斷網(wǎng)但由于病毒庫(kù)更新周期的爾遜子啊在很長(zhǎng)一段時(shí)間內(nèi)查不出來,如果被斷網(wǎng)了那么無法升級(jí)也查不出來。再看看云殺軟,云殺軟檢測(cè)不出來,運(yùn)行后斷網(wǎng)中毒,無法連接云端。 因此“斷網(wǎng)”樣本無論是傳統(tǒng)的還是云端的都是不能解決的,也就沒有所謂傳統(tǒng)殺軟對(duì)斷網(wǎng)樣本更厲害之說。
其次關(guān)于“首批犧牲者”。云安全是用來縮短周期,用來減少中毒人數(shù)的。可以這么說傳統(tǒng)殺軟不僅有“首批犧牲者”,還有“二批犧牲者”直至“n批犧牲者”,直到病毒被上報(bào),病毒庫(kù)更新后為止。
也許有人看了后覺得疑問了,云和以前的在線病毒上報(bào)有什么區(qū)別??區(qū)別就在于參與用戶數(shù)量的不同!在線病毒上報(bào),還有多引擎網(wǎng)站能有多少用戶去積極使用??退一步講,就算大家都去用,但是在線上報(bào)網(wǎng)站的服務(wù)器還吃不消呢。在線病毒掃描無論是其面向?qū)ο蟮莫M窄性(只有少數(shù)人才會(huì)用這個(gè)),還是反應(yīng)的滯后性(即便上報(bào)后得出了結(jié)論也需要等待下一次病毒庫(kù)升級(jí)才能生效)都不能和現(xiàn)在的云安全相比。
云的創(chuàng)新并不在于技術(shù)上有多先進(jìn),而在于一種模式的轉(zhuǎn)變,或者說是思維方式的轉(zhuǎn)變:將以前完全是廠商在負(fù)責(zé)的東西,一部分交給了客戶去完成。 #p#
再談?wù)勎覍?duì)國(guó)內(nèi)云不同之處的理解。就目前云安全私以為有兩種:
一種是以信譽(yù)認(rèn)證為主要手段的云安全
在這種云安全中主要運(yùn)用以下技術(shù),1.終端用戶評(píng)價(jià)體系。這種用戶評(píng)價(jià)打分式的社區(qū)體系,就容易被黑客利用,進(jìn)行刷分,但從大范圍來講還是靠譜的。2.數(shù)字簽名驗(yàn)證體系。對(duì)有可信廠商的數(shù)字簽名的文件,給予較高的信譽(yù)度,一般情況下不會(huì)出問題。當(dāng)然也有些木馬有偽造的或者利用小廠商的數(shù)字簽名,對(duì)偽造的數(shù)字簽名只要嚴(yán)格驗(yàn)證是能發(fā)現(xiàn)的(卡巴斯基2009曾出現(xiàn)對(duì)數(shù)字簽名驗(yàn)證不嚴(yán)而被利用的情況)。 3.文件統(tǒng)計(jì)及屬性評(píng)價(jià)體系。這種以文件在客戶端的分布規(guī)律,擴(kuò)散速度,新老程度,文件的屬性(比如是否隱藏,文件名是否是隨機(jī)命名、混淆命名、流行病毒常用命名等可疑名稱,是否在系統(tǒng)關(guān)鍵文件夾中)進(jìn)行統(tǒng)計(jì)分析得出文件是否有惡意的結(jié)論,缺點(diǎn)是需要一段時(shí)間來判定。當(dāng)然評(píng)估體系使用的手段絕不僅僅限于此,這里只是稍作講解。
另一種則是以機(jī)器自動(dòng)分析為主要手段的云安全(比如金山,360)
在這種云安全中主要運(yùn)用以下技術(shù)。1.高級(jí)啟發(fā)式分析,這種啟發(fā)式分析不同于普通客戶端的啟發(fā)式分析,由于服務(wù)器性能強(qiáng)大,啟發(fā)式分析可以做的更復(fù)雜專業(yè),對(duì)代碼靜態(tài)分析更深入,因此偵測(cè)率更高,同時(shí)誤報(bào)也高。2.高級(jí)虛擬機(jī)行為分析。同樣,靠著服務(wù)器的強(qiáng)大性能,可以在完全仿真(比如使用VMWare,甚至隔離式實(shí)機(jī))的情況下對(duì)文件進(jìn)行判定,其優(yōu)缺點(diǎn)和上述啟發(fā)式一樣。3.多引擎查殺。借助合法來源的多種殺毒軟件作為參考。
不論使用那種手段,云安全最根本的顛覆就是不再和以前一樣僅收集黑名單(病毒特征庫(kù)),而是把所有文件分為黑,白,灰(未知)三類,并通過技術(shù)手段把灰文件判定成白或黑文件,借此力圖一網(wǎng)打盡所有文件獲得"***"安全。
而云安全的理念絕不僅僅于此,還能和HIPS結(jié)合,打造智能主防。比如360就是本地內(nèi)置HIPS模塊當(dāng)發(fā)現(xiàn)程序危險(xiǎn)動(dòng)作時(shí),連接云服務(wù)器查詢,判斷是否攔截。再比如卡巴斯基,把云信譽(yù)數(shù)據(jù)反饋到HIPS的彈框中,以便于選擇。再比如諾頓把云融入sonar的主防中,提高查殺率。
原文鏈接:http://www.kafan.cn/article-664-1.html
【編輯推薦】
