無邊界管理的企業反病毒軟件將退市
邊界,本來的含義指不同國家之間領土劃分時采用的一條界線。在網絡安全領域也應當有邊界:如果我們能在不同的程序與文件進入計算機前劃定一條嚴格的邊界、進入之后進行嚴密的監控,那么就相當于鎖定了防御的范圍,也才有防御的可能。
之前,信息安全企業就一直嘗試通過技術手段,將外部的不安全因素控制在內部網絡之外。但是,外界的病毒及入侵事件還是不可避免的發生了。原因在于:傳統的反病毒軟件基于黑名單技術,沒有搭載邊界管理功能;缺乏精細化管控的反病毒老產品,很難應對今天的邊界多樣化和模糊化后的安全防護需求。
我們到底允許什么樣的文件或者程序可以通過什么方式進入計算機網絡?之前缺少終端管控策略和技術時,文件與程序進入前是未知的,進入時的方式是多樣的,進入之后是不可控的。我們注意到:文件與程序進入前的未知體現在他們是否含毒、被注入木馬并不知道,是否讓他們互聯網、郵件、網絡、移動設備等入口進入并放行更不知道;進入之后,相關程序是否進行違規操作,我們也不知道。
進入時沒有邊界,進入后沒有監控,就相當于一切都在一個黑盒子中運行,計算機的內部世界始終處于混沌與未知狀態。如果我們能在所有的文件和程序進入終端前進行前置掃描,文件和程序進入計算機后進行監控、檢查、文件傳送記錄,以強管控的模式實現對邊界的掌控,則能最大限度地達成企業內部計算機的安全防護。
有研究表示,超過90%的安全威脅,都是從應用終端的邊界進入。這些邊界包括互聯網下載、移動設備拷貝、郵件傳輸、即時通信傳送、網絡共享等,許多企業因為大量資料沒有能夠對其進行安全保護,成為攻擊者的重點目標。雖然之前傳統的企業殺毒軟件中已經在嘗試研究邊界防御的技術(通過掃描+進程監控的方式達成邊界的控制),然而邊界對象不明確,單點執行,功能之間無有效協同等缺點,導致了傳統企業殺毒軟件在技術上早已不能應對終端邊界的復雜形勢。一旦一臺計算機被病毒感染,將可能導致整個網絡內所有終端PC感染病毒。
我們需要將反病毒軟件的邊界防御技術提高到邊界精細化智能管理,并有效達成對邊界的全面管控,也只有這樣,才能有效保護企業網絡和應用的邊界安全。我們認為,邊界的精細化智能管控可以達到如下價值:
控邊界:通過對邊界來源進行細分,當程序進入電腦時,通過對外界程序進入電腦的監控、檢查,在病毒尚未被運行時即可被判定為安全或不安全,讓病毒程序得不到執行的機會,實現前置主動防御。
持續行為監控:當文件經過入口監控進入環境后,通過增加進程監控、注冊表監控、驅動監控、聯動防御云等方式,對其行為等綜合安全性進行判斷,確保未知、定向攻擊、間接白文件利用等威脅手法入侵環境。
文件管理:通過對海量信息的采集、分析、關聯、匯聚和統一處理,實時輸出分析報告,便于事后分析與決策。此外,選配動靜態鑒定器后還將具有強大的灰文件處理能力。
這樣的技術原理是受到物業管理的啟發,認為企業網絡環境就像小區環境一樣,通過對進入的業主掃門禁卡、汽車使用停車證、摩托車車牌登記等進行分類別管理,數據統一登記存儲。在小區內部,通過攝像頭監控各小區環境(包含人、車的各種動向),并把圖像存儲在服務器端,一旦發現有可疑人員或事件發生,即可調集數據與進入的數據進行比對分析,或者在事件未發生之前,即可通過對圖像中的行為進行判斷,及時發現可疑點并遏制。從而實現進出口信息、小區監控信息、樓道信息的關聯。
“基于未知安全的邊界管理才是新一代企業反病毒軟件的核心。”金山安全專家關成雷說:“基于海量黑白知識庫才能管好邊界,憑借云端安全策略才能達成智能防范。”根據這一思想,金山在5月16日推出的企業終端防護優化系統V8.0新產品中增加的邊界管理,可對各種進入終端的未知文件進行前置掃描、分類管理、來源管理、事后追溯及安全審計。用戶選配金山的智能鑒定系統后還將具有強大的未知文件處理能力,從而實現對病毒、木馬等惡意軟件的前置主動防御,達成對未知文件的處理,這相當于給企業的內網構建了一條“安全護城河”。
無邊界,不安全;無邊界管理的企業反病毒軟件終將被市場所淘汰。
