云安全2.0:螞蟻如何戰勝大象
美國頂級的安全專家Mark S.Kadrich在其《終端安全》一書中,就明確指出終端安全是影響信息系統安全的根源。而被攻擊的大多數終端都是企業普通員工,這些員工的安全防范知識貧乏、安全意識淡薄,與之相應的“團隊攻擊者”來說簡直就是螞蟻和大象的對抗。在螞蟻軍團中,任何一個終端軟件都有可能成為攻擊目標。因此,終端用戶似乎已經成為一個迷失的流浪者,他該向誰求助?
* 終端安全不應由“螞蟻”負責
終端既是信息產生的起點,又是信息銷毀的終點,是企業業務的控制點,也是支撐點。但對于一個網絡管理員來說,雖然終端資產的數量是最大的,但其重要性級別和關照程度往往被大幅降低,通常低于網絡中承載ERP、CRM等與業務直接關聯的服務器。作為企業網絡最為基礎的構成節點,終端與這些服務器直接進行信息溝通,因而成為黑客和病毒制造者的攻擊目標和跳板。同時,因為終端用戶基本上就是企業業務運行的支撐者,很多時候終端因為安全問題的停滯,將直接影響企業正常業務的進行,損失巨大。
與此相反的是,絕大多數的安全管理人員在網關處部署大量的網絡安全產品,雖然這種防御體系功不可沒,因為它可以抵擋住70~80%的威脅攻擊。但又因為無線辦公、移動辦公用戶和存儲介質應用的增加,網絡內部終端接入的情況變得錯綜復雜。隨處提供接入服務的網絡仍有20~30%的威脅無法被網關端阻擋,由企業內部發起的攻擊仍然大量存在,且隨時可能引發“蝴蝶效應”,造成大面積病毒爆發。
來自趨勢科技全球防病毒研發暨技術支持中心統計的數據顯示,70%以上的信息泄露和安全威脅都發生在網絡終端。這一結果表明,大量計算機安全威脅都源于同一個問題:終端用戶在未經管理員同意并且無管理員控制的情況下,就安裝或運行非法的惡意程序。因此,終端安全管理應該形成一種統一的模式,為螞蟻戰士們都配置上先進的武器,這樣成千上萬的螞蟻團結起來也能夠戰勝大象。
* 先鋒武器:趨勢科技威脅發現系統TDS
趨勢科技云安全2.0的推出,不僅為安全行業帶來了強大的文件信譽技術(FRT)、多協議關聯分析技術,同時,也為終端用戶提供了更加全面、更加高效的多層次終端安全解決方案。該解決方案由威脅發現設備(Threat Discovery Appliance)和趨勢科技防毒墻網絡版OfficeScan 10構成,其中TDA作為螞蟻軍團最為鋒利的武器,可以讓安全管理人員在第一時間找到網絡中“求助者”,定位病毒感染源,迅速解決終端問題。
可以說,TDA是發現螞蟻被人欺負的關鍵。因為如果有一只螞蟻被大象踩了一腳,是不容易被管理人員發現的,而TDA在網絡層面收集哪些螞蟻被欺負的信號,能夠迅速進行警告,達到加強防御的目標 。當然對于“不聽話”的螞蟻,TDA也能夠識別違反安全策略、中斷網絡、消耗大量帶寬以及構成潛在安全威脅的應用行為和服務程序。其中包括如即時通訊(Bittorrent, Kazaa, eDonkey, MSN, Yahoo Messenger )、P2P文件共享、流媒體,以及未授權服務如SMTP中繼和DNS欺騙等等應用、服務程序。
那么TDA的功能只能是企業內網的“放大鏡”嗎?這只是它的冰山一角。
作為TDS(威脅發現系統)重要組件,由于集成了趨勢科技云安全2.0中的“多協議關聯分析技術”,因此可全面支持檢測2-7層的惡意威脅,能快速檢測Web攻擊、跨站點腳本攻擊和網絡釣魚行為,識別高危節點和高危網絡通訊行為,其中就包括向外界泄露數據或從僵尸網絡控制中心接收命令的木馬行為,這是傳統的、基于代碼比對方式的安全產品所無法辦到的。 因此,TDS實際上就是內網的“指揮中心”,它不但能夠及時的發現網絡環境中的安全威脅,還能夠將這些威脅轉化為詳細的處理措施并進行落實。
* 必備武器:趨勢科技防毒墻網絡版OfficeScan
在趨勢科技多層次終端安全解決方案中,除了TDA之外,還有將螞蟻“武裝到牙齒”的產品OfficeScan。作為云安全2.0的核心產品之一,趨勢科技防毒墻網絡版OfficeScan 10這款經典拳頭產品也被賦予了全新內涵。它集成了趨勢科技云安全2.0中獨創的“云客戶端文件信譽(Cloud-Client File Reputation,CCFR)”技術,將大量的病毒特征碼交付給云端服務進行管理,當用戶訪問某文件時,將直接到云端查詢該文件的最新安全等級,FRT會阻止用戶訪問低安全等級的文件,從而在最大程度上確保終端無論是否接入企業網絡都可以受到保護。加入云客戶端文件信譽技術的OfficeScan 10,實際上是為每一位螞蟻戰士都帶來一支“激光槍”出行。因此,在遭遇害大象襲擊時,一樣可以防身并進行反擊。
不過,螞蟻終究還是螞蟻,螞蟻武器的最關鍵一點是讓螞蟻能夠“扛的動”。OfficeScan 10借助CCFR避免了防毒軟件版本升級,客戶端病毒碼不斷增大,內存占用增長的窘迫問題。以前,在沒有云安全技術的防毒體系中,客戶端承擔了太多的功能,以至于系統進程運行的越多,防毒軟件的CPU和內存都持續增加,許多純文件的簽名和基于簽名的復雜腳本都要傳送至用戶的終端系統,這些武器不但沒法去挑戰大象,往往武器自己的重量就把螞蟻壓死了。而新CCFR 技術中,大量的惡意軟件樣本的純文件簽名都只會傳送至云,而用于復雜惡意軟件的相關腳本則傳送至本地客戶端。同時,由于OfficeScan 10采用了特殊的智能過濾器,可以實現客戶端的離線保護,這也是脫了TDS保護傘后仍然可以自行保護的關鍵。
云安全2.0將大量的防毒功能從終端遷移至云端,并通過網關和終端產品的智能聯動,形成“終端→網關”、“終端→云端”、“網關→云端”多層防御體系。如今,那些失散的終端正在被逐漸統一到“云”下,在大幅壓縮防護空窗期的同時,簡化了終端安全管理的難度。螞蟻們樂了!
【編輯推薦】
