四問“Web防御與云安全”
一直以來,針對Web安全保護的技術層出不窮,當前此類技術流派已經分成兩大類:第一類以新型的Web安全網關為基礎,第二類以最新的云安全技術為基礎,兩種技術一度出現了互相滲透與融合的局面。對用戶而言,無論采用哪種技術,最關鍵的還是安全效果的體驗。
為了能夠更加清晰地指導用戶進行Web安全技術選型,本報特別邀請了Anchiva、Blue Coat、Hillstone、Secure Computing、Websense、Wedge Networks、趨勢科技的安全技術專家,共同對當前熱門的Web安全技術進行分析。
一問:“定義與共識”
筆者在籌備這次大型專題的過程中,最為興奮的一件事情,就是當前業內主流安全廠商經過多年的反復爭論,終于在Web安全上達成了共識,統一了Web安全的定義。這的確是一件不容易的事情,要知道不同的廠商側重點不同----URL過濾的、Http過濾的、防病毒的、反垃圾郵件的、Proxy的、端口鏡像的等等----大相徑庭的方案很可能導致用戶對整個Web安全領域的困惑,非常不利于整個產業的成長。
針對Web安全,當前業內的一致看法是,統一的定義不能從廠商的技術上去下,而是要與用戶需求的緊迫程度掛鉤。
從這個角度上分析,Web安全分成兩類應用模式:一類是針對病毒、木馬、間諜軟件、惡意軟件的威脅;另一類著眼于規范用戶行為,比如用URL過濾某些站點、員工上班時間上網控制、對用戶應用協議的控制、對IM應用的記錄與過濾、對P2P軟件的管理與控制、對企業內部的帶寬管理等。
需要注意的是,兩種應用模式并非孤立存在,彼此間是有交叉的。據Anchiva中國區總經理李松介紹,根據經驗,一套完整的Web安全方案,至少需要兩個部分:一臺針對TCP/IP協議二、三、四層應用的安全防御設備(比如防火墻、入侵檢測、UTM),之后串接一臺針對七層內容的安全防御設備,以便解決病毒、IM、P2P、網絡游戲、垃圾郵件、內容審計等應用。
持類似看法的,還有中國民用航空管理局的一位安全管理員。他說:“到目前為止,我所了解的不少同類用戶對于Web安全仍然無法形成最優的配置或共識,但我們有一個最基本的思路,即一套完整的IPS系統+Web安全網關相配合,至少能夠滿足相當多的內部員工對于Web安全的需求。”
說到應用,Hillstone首席軟件架構師王鐘在接受本報獨家專訪時表示,針對企業的攻擊總是跟隨著應用而來,越來越多的企業應用構建在互聯網之上,而用戶在互聯網上的活動也是越來越頻繁和難以控制。無論是正常的企業應用還是企業員工的個人上網行為,都會成為Web攻擊的對象。從目前來看,多年的積累,使得企業具備一定的網絡攻擊防御能力,而針對新出現的Web活動引發的安全威脅,企業需要根據自身的特點,增強相應的防范手段。#p#
二問“Web安全形勢”
之所以當前Web安全成為熱門話題,關鍵還是因為國內外Web安全大環境不容樂觀。根據趨勢科技剛剛發布的《2008年上半年安全威脅報告》的統計,目前針對Web應用的威脅正以爆炸式的速度增長,全球范圍內企業與終端用戶面臨的風險已經到了非常嚴重的地步。
對此,Wedge Networks全球CTO張鴻文博士介紹,無論是美國還是中國,隨著“社會網絡、Web2.0、SaaS”的興起,網絡本身已經成為社會生活的一部分。在這種環境下,與傳統的病毒制造不同,當前各種木馬程序、間諜軟件、惡意軟件等以利益驅動的攻擊手段越來越多。事實上,隨著當前Web應用開發越來越復雜與迅速,攻擊者可以很容易地通過各種漏洞實施諸如:注入攻擊、跨站腳本攻擊、以及不安全的直接對象關聯攻擊,從而進一步通過各種隱蔽的技術手段盜竊企業機密、用戶隱私、信用卡賬號、游戲賬號密碼等能夠輕易轉化成利益所得的信息。另外,通過木馬、漏洞控制海量的普通用戶主機組成僵尸網絡,利用這些“肉雞”,控制者可以通過多種方式獲取利益,比如發起攻擊、點擊廣告、增加流量等行為。
“從實際的經驗看,在一個典型的Web服務架構中,很有可能發生某些攻擊行為從Web層面滲透到企業的控制與數據層面,從而引起更大范圍的災難。其實不論是攻擊Web站點還是Web服務,惡意Web站點總是能夠快速建立起來,并在搜索引擎的推動下襲擊無辜的用戶。”
從Wedge Networks全球合作伙伴反饋的信息來看,美國、日本、韓國、英國的企業用戶對于Web攻擊以及Web應用的脆弱性都有較為充分的了解。在此基礎上,那些國家中一些垂直行業與機構,比如公共安全、金融、醫療、交通、能源等企業,對于Web安全保護的技術關注與投入都非常高。
然而遺憾的是,記者在國內進行的統計結果并不樂觀。有調查顯示,超過70%的被調查用戶不清楚Web安全的威脅形勢與防御手段,其中將近六成用戶都沒有編列相關安全預算。令人擔心的是,很多企業對此出現了認識誤區,他們認為通過防火墻或者IDS/IPS設備就可以確保Web安全。更有甚者,在某些國內廠商的“誤導”下,一些用戶將Web安全等同于系統漏洞/脆弱性掃描。
實際情況是可悲的。根據趨勢科技發布的統計數字,從今年二季度開始,國內就有超過1萬個大型網站遭受“注入攻擊”,這些攻擊者的動機幾乎都是惡意軟件植入、名譽損害、以及數據竊取。
記者清楚的記得,有用戶這樣抱怨:“我們重視Web安全造成的損失,但是我不清楚,這部分預算究竟應該分配給誰:是分配給負責網絡基礎設施的管理團隊,還是分配給管理Web服務器和數據庫服務器的團隊?”無疑,Web安全的挑戰被演繹到了技術、應用與企業管理水平的層次上。
問題已經很清楚了,當前針對Web應用的威脅,企業用戶當前的防范措施還遠遠不夠。對此張鴻文博士曾一針見血地指出:“當前國內企業已有的大部分安全設備都是基于TCP/IP協議的三、四層防范,而針對Web應用的威脅是基于協議的七層攻擊(應用層攻擊),從技術角度來看,傳統防火墻、IDS等設備針對應用層的攻擊幾乎是沒有防御效果的。”#p#
三問“新型Web安全網關”
由于發現了Web安全對于企業用戶的重要性,同時也由于傳統的安全技術對此束手無策,新型的Web安全網關被推到了當前安全話題的中央。
傳統的Web安全網關誕生于2006年,經過兩年的市場磨合,感覺存在四方面的不足:第一,性能跟不上;第二,功能與檢測準確度不夠;第三,部署比較復雜;第四,維護難度較高。為此,當前主流安全廠商在大量應用新技術的條件下,推出了“新一代”Web安全網關。細心的讀者可能發現,參與本次專題的都是外資安全廠商。確實,在占領技術的制高點上,外資公司又走到了Web安全的“風口浪尖”。
對此,張鴻文博士對記者表示,目前惡意Web攻擊在全球范圍內呈指數形式增長,對抗類似威脅的有效方法之一,就是和每一個Web安全方面的領導廠商建立強有力的合作伙伴關系。以Wedge Networks為例,我們一直在推動NDP網絡數據處理平臺,并且在其中應用了Subsonic次聲技術。這種技術目前在北美的大型企業網關、服務器池、以及IDC中心頗為流行,它可以讓Web安全網關在一個高負載的網絡中從容提供實時的七層深度內容檢測。Subsonic技術在算法上取得了突破,不僅性能可以滿足繁忙網絡的需求,而且可以基于特征碼和模式識別進行安全檢測,配合NDP開放的服務總線架構與高級的網絡協議堆棧,確保一個Web安全網關可以整合更多不同安全廠商(如更專業的反病毒、反惡意軟件廠商)的技術與算法。
對于很多用戶關心Web安全防御中的性能損耗問題,他說:“我同意并且理解這些用戶擔心什么。我們的渠道已經告訴我們在處理Web安全方面,維持一個可以接受的性能會有多么重要。事實上,自從2003年以來,隨著單核CPU的時鐘頻率趨于穩定,每年網絡帶寬的需求都會增加四倍。作為企業的CTO,我發現任何架構想要跨越這個性能鴻溝都不得不采用多CPU和多核系統。幸運的是,Subsonic技術可以利用行為模式原理去管理大量并發會話,從而在多核環境中大量提高性能。”
另外,李松對于Web內容的深度檢測也非常看重。他說:“當前防御來自HTTP的威脅已經成為安全網關的首要問題之一。而大量存在漏洞的Web服務器更是隨時可能被攻擊并被利用來傳播或發布惡意軟件。網站內容的可變性決定了只有進行內容檢查才能得到最可靠的結果。而HTTP訪問對于即時性有很高的要求,傳統基于X86架構的安全設備在性能處理上存在瓶頸,面對應用層安全設備的高性能需求,利用ASIC芯片掃描技術可以對Web內容進行流暢的掃描。Anchiva目前采用ASIC芯片來進行病毒掃描,加上自主研發的性能優化操作系統,單臺設備可以做到千兆級別的線速吞吐。”
在多核的應用上,王鐘也非常積極,不過他對實時的內容檢測技術有所擔心。他說:“針對基于Web的安全威脅,我跟蹤了相當長的時間,這方面國外廠商積累了較為資深的經驗,從實踐來看,效果還不錯。針對網頁內容引發的Web風險,我更青睞基于URL的網頁過濾,以及基于應用協議分析的管控手段。因為安全檢測到了內容級,都會消耗較多的系統資源。所以大家才會有這樣一個共識,事先對Web內容做安全性檢測,提供出對應的URL列表。但這種技術對相應的安全數據庫有較高的要求,必須做到經常更新,確保控制的有效性。其實,任何安全防范手段都有其時效性的問題。考慮到開啟深度內容檢測功能帶來的性能下降問題,多數廠商選擇放棄,而只提供了入口級的控制手段。如果廠商能解決好處理性能問題,比如將多核處理器支持運用的如火純青,會為用戶提供更為穩固的安全防范手段。”
在功能的全面性與性能的平衡上,Secure Computing的做法比較獨特。有意思的是,這家公司本月初剛剛被IDC認定為“全球Web安全產品和解決方案領域市場份額第一,居于市場領導者地位。”
ecure Computing中國區總裁蔡勇先生向記者表示,Web安全需要全方位的技術方案,包含了從防火墻、Web控制、郵件安全的各個層面。因此對于安全問題,并非某個獨立的應用,而是需要在各種不同層次的安全設備中,提供對混合威脅(blended threat)的防護。
他說:“安全做到現在的階段,我越來越感到安全本身的復雜與龐大。如果要做到全面的安全,單靠某一點的努力已經遠遠不夠了。比如我們一直在推動全球最大和歷史最久的信譽系統TrustedSource,目的就是希望通過對不同國家、多種應用的分析----包括對IP地址、域名、郵件、圖片、URL等多種對象的數據關聯分析,提供最全面、準確和實時的信譽評估,從而最大程度地保護用戶的網絡和應用。當然,這僅僅是基礎,一個優秀的Web安全網關,還需要對SSL掃描進行支持,因為當前隱藏在SSL流量中的惡意軟件不勝枚舉----全面就不能忽視安全的細節。”
針對當前用戶比較頭疼的HTTP防御和Web服務器漏洞保護問題,他提出了五點建議:第一,HTTP防御中最困難和最復雜的是解決應用層面的攻擊,例如SQL注入、特殊編碼、惡意變換URL等;第二,Secure Computing的Sidewinder防火墻通過采用應用代理技術,可以從根本上確定安全防御的模型,確保應用協議的規范性,以及應用的可控性,從而為應用的安全控制提供了管理的可能;第三,利用高效IPS引擎對已經過規范性審核的HTTP流量進行特征檢查,可以即時發現惡意攻擊;第四,通過Sidewinder中的GeoLocator功能,可以針對不同地域來源的訪問設定不通的安全防護級別,優化系統資源與效能;第五,TrustedSource信譽體系提供的信譽評估數據,可以使得安全設備識別出訪問的意圖,從網絡的邊緣拒絕掉惡意的僵尸主機攻擊,提高正常訪問的比率,在提高了安全性的同時節省了帶寬。
另外,針對新型Web安全網關的部署模式問題,Websense中國區技術經理劉沛旻向記者透露,目前主流的Web安全防御方案,主要采用的是旁路監聽方式和結合網關設備的方式。如果是采用旁路監聽的方式,可以通過復制出口流量來進行內容分析,只有在發現異常數據時才會通過相關組件發送阻斷指令,阻斷不良、惡意連接,這樣的方式是完全不會造成任何網絡延遲的。結合網關設備的方式則利用網關設備和Web安全防御方案聯動的方式進行,客戶的請求將由網關設備轉交給Web安全防御產品處理,再決定用戶的請求是否被允許,這樣的工作方式的確可能造成一定的互聯網訪問的延遲,但是因為目前主流的Web安全防御方案還是主要采用URL匹配的方式來發現惡意的網站,而不是本地分析整個網頁的內容,因此,匹配過濾的速度還是相當快速的。
另外,他也建議,如果用戶采用網關設備結合部署,可以采用Proxy設備及硬件緩存設備來進行結合,因為這類網關設備可提供本地的緩存能力,可以為用戶提供更快速的內容緩存和頁面內容過濾的緩存。#p#
四問“云安全”
在本次采訪中令人振奮的另一大熱點,就是各家安全廠商都在或多或少地將最新的云計算模型引入到Web安全技術之中,并構建了完善的云安全方案。
在云安全方面投入力量最早的是趨勢科技,他們早在兩年前就開始針對云安全進行研究,并且在全球部署了34000臺云端服務器,同時與頂級域名管理機構合作,在DNS中增加參數,進行全球域安全解析。無疑,所有的努力都是為了盡可能全面地應對Web安全的挑戰。
趨勢科技資深技術顧問徐學龍在接受本報獨家專訪時表示,云計算是一個數據處理的概念,在處理海量數據的時候的模型,大量集群服務器收集信息,給出結果。這種模式是一種模型,安全廠商利用這種模型推出來的服務,就是云安全方案。
他說:“云安全可以從整個互聯網上收集源信息,判斷用戶的互聯網搜索、訪問、應用的對象是不是惡意信息。這種模式與病毒代碼的比對不同,病毒代碼是用特征碼進行識別,而云安全根據信息的位置來判斷,根據URL地址這一段的風險程度來判斷。要知道,傳統的病毒代碼分析依靠大量人工,而云安全則利用歷史的觀點不停地對互聯網進行分析,通過將URL劃分為50多種屬性,安全統計的準確性、動態性會非常好,第一次的安全事件命中率可以達到99%,只要全球范圍內有1%的用戶提交需求給云端服務器,15分鐘之后全球的云安全庫就會進行策略控制。目前云安全的分析方法是根據信息所在地址的多種屬性來分析,通過長期跟蹤,幾乎沒有誤報。”
長遠來看,針對Web安全中比較頭疼的病毒、木馬、間諜軟件、惡意軟件與惡意站點攻擊,采用云安全技術確實可以有效阻止此類威脅的蔓延。據統計,目前全球的病毒代碼約為100萬個,并且在不斷增長,這就造成病毒代碼比對的難度越來越高。在記者看來,云安全的出發點則是阻止整個互聯網中的“威脅塊”,這里說的“威脅塊”不僅僅是指某個網站,有時候就是一個網頁中的一小部分。
云安全是一個技術,不是單一的產品。云安全技術是第一道防線,用戶可以選擇對訪問目標(下載的文件)進行病毒代碼掃描,并且與云端服務器進行安全回饋。對企業用戶來說,具體的回饋敏感度管理員可以根據使用情況來調整。
最后,徐學龍給記者列出了一套完整的云安全方案需要的組件:Web信譽服務、郵件信譽服務、文件信譽服務。
中國工商銀行總行的IT負責人介紹,他們近期已經為全行采購了趨勢科技的Web安全網關IWSA,出發點就是看中了其中集成的相關信譽服務體系。隨著Web病毒越來越多,Web信譽的價值越發明顯。而文件信譽服務則是追蹤整個互聯網上文件的信譽,跟蹤文件的生命周期。包括本地U盤拷貝等,通過MD5算出的32位值比對云端的惡意文件匹配,從而確保了文件安全與防泄漏。
另外,Blue Coat資深技術經理毛駿也向記者表示:“為了獲得更加完整的安全效果,公司推出基于分層理念的Web安全防御體系。其中包括了云計算層和網關層兩大部分。云計算層提供基于全球的網站分類、樣本收集與策略分發,而網關層涵蓋了基本內容過濾、Web防病毒、用戶行為管理、數據防泄露四部分。兩大部分相互結合,組成全面、準確、及時的Web安全方案。”
其實,相對于大而全的云安全方案,還有一些在Web安全網關中應用了云安全模型的技術值得關注。
比較有代表性一類包括Blue Coat的Web Pluse網絡脈沖技術、Wedge Networks的Trusted Cloud Forest云信任森林技術,他們的共同之處都是將技術嵌入到自家的Web安全網關之中,并且利用在互聯網上部署的上萬臺設備,采集上百萬客戶端的樣本,并且由統一的中心進行分析,全球每天15億次的各種請求最終形成自身的安全策略進行下發。
另一類則是以Secure Computing的TrustedSource和Websense的ThreatSeeker為代表的信譽體系技術。他們的共同點都是利用云計算的特征,在全球范圍內部署設備收集信息,同時進行關聯分析,甚至利用蜜罐、網格計算技術為安全規則庫更新信息。這種精細化的策略,能夠更精準的進行控制,并且減少設備管理上的負擔。
【編輯推薦】
