众说纷“云”——云安全企业用户追踪寻访
如今,我们正处于 Web 2.0的世界中,Internet是我们的平台,而社交网站的崛起已呈燎原之势。与此同时,恶意软件的编写者已将Internet这一平台作为主要传播工具,并挖空心思地利用 Web 2.0为其传播恶意软件。
恶意软件的软实例
互联网向来是病毒和各种恶意程序可以肆意折腾的地方,从趋势科技实验室整理分析的《2008年病毒威胁摘要暨――2009年病毒趋势预测》中可以看出一些端倪。
2008年亚洲地区的网络罪犯纷纷使用新媒介或针对旧媒介进行改良,用以谋取利益,网页入侵、AUTORUN 恶意软件、社交诈骗手法和区域性病毒威胁等构成了四大类型网络犯罪。
美国国家标准与技术研究院计算机安全处统计数据表明,在过去 12 个月内,形态各异的恶意软件二进制文件增加了 1000 多万个。
McAfee Avert Labs 产品开发高级副总裁Jeff Green认为,无论是恶意软件、网络钓鱼软件、网页挂马、欺诈软件、垃圾邮件,还是其他任何困扰企业和消费者的威胁,我们都可以肯定:其中大部分威胁都以捞钱为核心,其目的都是为了填满全球网络犯罪分子的口袋。
进入2009年,值得注意的是:Web 2?郾0社交网站的使用率大增,但是网站设计中却存在安全弱点,而且用户对Web 2?郾0认知不足。因此,这类网站将成为 Web威胁繁衍的沃土。同时,2009年需特别留意的还有浏览器与其他Web 应用程序,它们将成为黑客攻击的首要目标!
上海出入境检验检疫局科长吴穗玲说,去年我们单位中了PE_LOOKED病毒,幸亏在奥运会前增强了系统巡检的力度,把威胁扑灭在感染初期。尽管我们当时在32个分支机构的网络出口上都部署了IPS,还部署了多台防火墙及IDS。但还是受到了病毒或者恶意软件的困扰。
病毒对企业业务的影响相当大,南宁市财政信息中心主任刘波说,曾经因为蠕虫病毒造成整个业务网络瘫痪了一整天,很多重要的事情都无法进行下去。
趋势科技资深产品技术顾问徐学龙分析说:“现今病毒感染途径越来越多,仅靠单一防护措施已经越来越难以防止,若是没做好环节中的其中一项,将导致企业内部用户病毒感染率的上升。”
云安全的硬指标
IDC安全产品服务部门的研究总监Charles Kolodgy表示:“基于特征码的传统恶意程序检测方法已不能满足要求。用户的行为在改变,威胁也在不断演变,然而恶意程序检测技术却没有跟上。”
在病毒制作的门槛在逐步降低,病毒、木马的数量迅猛增长,反病毒厂商与病毒之间的对抗日益激烈的大环境下,传统“获取样本→特征码分析→更新部署”的杀毒软件运营模式,已无法满足日益变化及增长的安全威胁。
在海量病毒、木马充斥互联网,病毒制作者技术不断更新的大环境下,反病毒厂商必须要有更有效的方法来弥补传统反病毒方式的不足,云安全应运而生。
鉴于Web威胁的数量与技术不断提升,若要确保网络安全,就必须采用多层架构的实时防护系统。徐学龙指出:“嵌入云安全技术的趋势科技产品与解决方案不仅具备以Web威胁数据库为依据的信誉评级技术,还拥有威胁数据关联比对功能。这个独特的云安全防护技术,可以为用户提供实时保护,防范最新的Web威胁。”
郑州轻工业学院工程师程源说:“其实我觉得‘云安全’是一个老概念,以前我们都是用分布式架构来做安全体系,这个理念一直都有,只不过现在叫‘云’了,但其实它的主要目的还是完善各个点、各个位置的防护措施。
如果说以前是单兵作战的话,现在是一个集团作战,这算是个进化,但不是个革命。”
“我们要管理32个分支机构和2000多个客户机。当时测试了很多设备,要能够统一管理,还要防范流行的Web威胁。有些产品在进行小规模测试时没问题,当测试规模扩大后,就不太好用了。”吴穗玲当初在部署防病毒系统时,出于对内网安全和互联网网关安全的考虑,采用软硬兼施的策略分别实施了趋势科技OfficeScan和IWSA。
用户安全架构的黏合剂
在IT可能带来的各种风险中,各公司将敏感信息的保密性,IT信息、资产和控制的完整性,IT服务的可用性列为最重要的业务风险。
网络传输速度和IT应用效率,无疑是用户最为关注的两个实际问题,因为这两个问题直接关系到企业业务的平滑程度。
有关云的猜疑
似乎实施云安全已经成为应对恶意软件大规模爆发的重大转折点。但是,年龄并不大的云安全在用户眼中,并非选型评估时的关键因素,甚至有的用户并不知道自己已经应用了云安全,他们更关心的是管理效果。
云安全虽然宣传得轰轰烈烈,但根据记者的探访调查,云安全作为一个不是很新的技术,很多用户对此仍然不够了解,只有少数用户是因为感觉云安全很新而选择了部署,进行尝试。但其在一定程度上,确实给用户带来了很多益处。
郑州轻工业学院在选择云安全之初抱着试试看的心态,想看看云安全对恶意软件等风险防护的贡献到底有多大价值。程源说,毕竟现在到处都在说云安全,我们也一直都在关注。看看是否能够通过云安全实现一个相对完整的解决方案,将信息安全的防护和服务互联网化。
安全并不是一个方面的部署就可以保障的,程源很有感触,做安全不可能只做一个环节,安全存在于IT的各个环节之中,关系到方方面面。
例如用户端的桌面防护,局域网对外的防护,这是由内部到外部的全方位防护。现在程源也在考虑对服务器的防护,防止外部攻击,这样一个整体全方位的防护,才可能起到真正的安全作用和效果。
陈波说:“网络畅通是我们最特殊的需求,由于我们的系统会涉及到一些部门的资金申请,所以我们特别注重网络安全和数据安全。虽然目前在内网上已经做了很好的控制,但因为有些职工需要连接外网,所以我们很担心病毒会通过互联网感染职工的终端。
现在已经通过部署IDS、防火墙、互联网安全网关(IWSA)等硬件进行综合防护。”
当初陈波部署IWSA的时候,只是知道它具有云安全技术,也不是因为IWSA用了云安全才选择实施的,主要是通过测试评估后,在整体体验上效果不错才购买的,因为它不会影响网络的使用。
如今,90% 以上的恶意软件都包含窃取密码的特洛伊木马病毒,其制造者只有一个罪恶目的,就是挖出用户有价值的数据。一些用户也在猜疑,由于云安全会将一部分信息拿到云端进行识别判断,是否会造成隐私泄露,核心数据被盗等状况。
南宁市财政信息中心主任刘波说;“当时是存在一些顾虑,毕竟我们作为政府信息中心,数据的保密性十分重要,因此保障数据的安全是一切工作的前提。我们担心数据被抓走,放在云端进行检测。换句话说,这叫泄密。但是经过实际测试,让我们对云安全的检测和防御方式放心了。”
徐学龙解释说:“云安全架构提供了邮件信誉、Web信誉和文件信誉的云端查询。以邮件信誉查询为例,向云端递交的信息仅限于发送邮件方的IP信息,不会记录用户端的IP信息。
Web信誉查询中,它只是将用户要访问的URL送至云端查询,并不涉及到用户的机密数据,也不会记录用户的个人IP信息。而文件信誉向上递交查询的只是用户数据的hash值,并不是真实的数据文件。”
这也就意味着,云安全服务提供商并不获取来自用户的原始数据,相对于传统的用户递交病毒样本分析而言,用户自己的私密信息的保护更具有安全性。
弥补安全的缺口
“长期以来,一直吃病毒的苦头,虽然一直在强调追求事前预防,但实际上总慢半拍。安全毕竟不是100%的,我们只能尽最大努力将病毒产生的威胁降到最低。”吴慧玲说。
纵观2008年的一些流行病毒,如机器狗、磁碟机等,无一例外均为对抗型病毒。而且一些病毒制作者也曾扬言“饿死杀毒软件”。尽管对抗杀毒软件和破坏系统安全设置的病毒以前也有,但2008年表现得尤为突出。
程源认为:“信息安全不可能是无缺口的,安全不可能光靠软件和人力去实现。这方面还需要企业员工行为的规范化。如果员工使用不当,被恶意软件攻击,那么安全防护再好,也不够。
要将软件和人结合得更好,如果能在软件中给用户使用习惯和规范有一些提示,那么就更好了,更加人性化了。我们在服务方面的安全防护,也是耗费人力比较多的,对内的服务包括邮件服务、Web服务、主页服务,还有对外提供的服务,例如招生、宣传、名师推荐等。”
上海出入境检验检疫局虽然只有4个人负责信息安全,但要管理32个分支机构的整体安全策略。由于病毒千变万化,人手又不足。通常遇到安全状况时是发现一台,处理一台,都是事后操作。
吴慧玲说:“幸好在2008年北京奥运会前夕部署了IWSA,并且加强巡检工作形成了立体的防护框架,才避免了PE_LOOKED病毒扩散,提高了整体防护能力。而且要求内部部分终端是不能连接外网的,我们通过为每个网段设置一台种子机为不能上网的机器提供升级服务,还节省了带宽资源。”
为了迎接2010年的上海世博会,上海出入境检验检疫局邀请了上海东吉数码科技有限公司,进一步将巡检普及到32个分支机构的更深处。让第三方公司的人到分支机构进行巡检,能够更细致入微。而且改变了安全防护的策略部署方向,曾经是从上往下统一部署,现在是从下往上排查。
事实上如今的恶意软件已经变得日益复杂和难以防御,而且安全防护工作正面临着重大难题:
一是存在太多独特的恶意软件样本。防恶意软件引擎需要搜索上千万的签名,以明确可疑文件没有受到感染。但是,很多签名可能从未使用过――由于清除这类签名的风险太大,因此它们仍然是特征码文件。
当然,这意味着典型的特征码文件变得越来越大、越来越笨重。从而在扫描和定期更新签名方面对实际性能造成很大影响。
二是恶意软件传播判断模式不易。当遇到未知文件时,用户需要用一种方法来做出最终判断,该文件是不是恶意软件。今天的恶意软件从广泛发布到第一次感染之间的间隔时间比以前大大缩短。这就意味着,签名太慢而难以更新。
在公布和部署之间无可避免的延迟,为未探测到的恶意软件感染计算机留出了时间。
徐学龙说:“相同的分析工作,过去需要一天的运算时间,改用云安全技术后,现在只需要几秒钟。可以说云安全使防御Web威胁不再是单一款产品做的事,而是和所有互联网使用者一起和Web威胁做斗争,云安全让每个人都成为了识别安全威胁的贡献者。”
陈波表示:“根据我们的经验,在部署云安全之前,一定要经过测试、评估、分析的一系列过程,最终生成一份详细的报告。因为企业的网络结构不同,管理管理方式也不同,要量身定制解决方案,以免影响防护效果。比如以前我们部署过一套网络管理软件,虽然产品本身没问题,在其他环境也能用,但是到我们这边就不行。”
云中拦截恶意软件的竞赛
虽然国内很多用户在不知不觉中就部署了基于云安全的解决方案,但为了检验云安全的真实作用,我们可以参考独立实验室Cascadia Labs在2008年12月发布的《网络安全测试》。该报告公布了对McAfee、Websense、BlueCoat、IronPort、趋势科技和SurfControl六种市场上优秀的URL过滤和网络安全产品横向测试的结果。
六款测试产品中包括网关设备和服务器软件,趋势科技的Web安全网关解决方案(IWSA)获得了70%的加权得分获得冠军,而亚军产品McAfee网络安全设备3300分的加权得分则为64%,该产品配备了增强型URL过滤数据库(Enhanced URL Filtering Database),这两家厂商也都是云安全的代表厂商。
防范恶意软件的第一道防线
防范恶意软件,企业往往依赖URL过滤和网络安全产品来保护计算机和网络免受危险的、不适当的和不受欢迎的网络内容的攻击。除了拦截含有低俗、暴力或非法内容的网页外,这些产品还在保护企业网络方面发挥着日益重要的作用――它们铸成了防止恶意网页的第一道防线,同时也可以对带宽的流量实施管控。
尽管过滤低俗级别和浪费生产力的网站是非常普通的一项功能,但是各个产品在应对更具挑战性的网络内容类型方面却大为不同,而且拦截安全威胁时也有很大差异。
含有高效网络安全功能的URL过滤产品可以提供第一道防线,保护用户和公司不受恶意内容的侵害。除了安全,URL过滤产品在增强企业的网络使用政策方面还发挥着重要作用。Cascadia Labs的测试表明,所有产品都能拦截大多数低俗内容和生产效率&娱乐URL,而且在带宽占用、通信和责任方面的表现非常出色――尽管还有改进空间。
Cascadia Labs通过对原始的拦截应用得分加权而得出总分,Cascadia Labs认为,原始得分反映了一般企业客户心目中的相对重要性。由于Cascadia Labs每个季度都会重新评估加权结果,所以在过去几年中,安全类测试的权重不断增加。
在此次的测试中,安全类测试占总分的30%、低俗内容测试占20%、带宽占用测试占15%、责任测试占15%、通信测试占10%、生产效率&娱乐测试占10%。
尽管加权结果反映出作为深度防御安全战略组成部分的URL过滤的重要性日益提升,但是它也表明企业需要不断拦截可视内容才能换取安全的环境,例如具有恶意代码的攻击性网页。
而趋势科技在责任测试、通信测试和生产效率&娱乐测试方面表现不俗,SurfControl在带宽测试方面表现最好,McAfee则在低俗内容测试方面拔得头筹。
此外,趋势科技、McAfee、Blue Coat和IronPort的产品还结合了Web信誉功能。由于Web信誉主要是针对安全性URL,因此仅在安全类别中进行了测试。
测试方法和测试数据库
Cascadia Labs一直以来提供客观而独立的技术产品评估,此次测试更关注产品的URL数据库的拦截有效性和Web信誉功能,因此并没有评估产品的用户界面、特征、功能或可扩展性。
为了区分六大产品的核心URL过滤功能,Cascadia Labs测试的产品中没有包括协议过滤、二进制扫描、防病毒扫描或防间谍软件扫描。虽然协议过滤可以有效拦截即时信息和其它不受欢迎的服务,但是由于用户需要保障网络的畅通更为重要,协议过滤对于HTTP显得并不实用。
Cascadia Labs主要依靠维护英语的URL数据库来满足企业市场的要求。该数据库包括150多万个URL,被分成六组22个小类。Cascadia Labs为低俗内容、带宽占用、通信、责任和生产效率&娱乐中的每个组别随机选择至少1000个样本,这样足以得出重要的统计结论。
Cascadia Labs为权重最多的安全类测试专门选择了1000个样本、750个不同类型的恶意二进制URL、100个漏洞利用程序、50个网络钓鱼URL、50个代理和50个潜在不受欢迎的应用程序。
由于每个厂商都使用了其自己的数据库分类集合来对URL进行分类。Cascadia Labs根据自己的分类和厂商选择的分类进行配比创建了匹配的小类,确保对每个产品都拥有可对比的拦截配置。为此,Cascadia Labs执行了初步测试,确保每个产品都有合适的类别映射。
配置与优化
Cascadia Labs针对互联网上的有效服务器测试拦截准确性。在设置上,让每个产品拦截各个小类组成的整个大类,这样可以确保Cascadia Labs的拦截结果不会因厂商类别选择的微小差异而受到影响。
例如,有些厂商可能把保龄球URL放入体育类别中,而其它厂商可能将其归入业余爱好和娱乐类别中。在Cascadia Labs的测试中,两种情况下的保龄球页面分类都会遭到拦截,因为体育和业余爱好及娱乐都包括在Cascadia Labs的生产效率&娱乐组中。
在测试产品的配置方面,Cascadia Labs以代理的形式进行配置。由于McAfee、趋势科技、BlueCoat和IronPort都是网关设备,所以将SurfControl和Websense与Microsoft ISA服务器集成在一起。在测试过程中保障每天对所有产品至少更新一次,而且在测试期间为采用本地数据库的各个产品记录所使用的数据库的版本。
Cascadia Labs在测试中应用了趋势科技的防网络钓鱼模块和Blue Coat的可疑URL分类。此外,趋势科技、McAfee和IronPort都能提供Web信誉特征,Cascadia Labs在安全性测试中也使用了这一特征。
除了Amazon?郾com和espn?郾go?郾com等流量较大网站之外,Cascadia Labs在配置好的数据库中,不断排除使用过的URL,以防止任何厂商在后续的测试中获得优势。
主要结果和分析
Cascadia Labs应用各种向量而不仅仅是搜索引擎的结果来辨别其专用数据库的候选网页。Cascadia Labs应用了严格的质量保障流程以确保URL准确适当,因此可以获得关于产品行为的有意义的结果和深刻了解。
传统上,产品是应用供应商定期更新的本地数据库来拦截URL。近年来,越来越多的产品增加了远程数据库查看功能,通常称为在云安全或SaaS,可以更加及时地响应快速变化的网络,如趋势科技、McAfee、Blue Coat和IronPort。
这些产品还增加了Web信誉和实时分类功能来补充基于数据库的拦截方法,尽管Cascadia Labs分析了各种方法的益处,但是用户最终关心的是产品对不受欢迎的URL的拦截能力而非其背后所采用的技术。测试结果如图1所示,拥有Web信誉功能的产品,在各个内容分类方面,其拦截有效性均表现很好。
1、安全性测试
Cascadia Lab的安全组包含五类实际威胁URL:恶意软件、漏洞利用、网络钓鱼、代理和潜在不受欢迎的应用程序。趋势科技在安全测试中获得了最高分,拦截了53%的威胁性URL,McAfee以42%的得分紧随其后。其它产品得分在9%~31%之间。图2说明了各个产品在防范五大安全威胁中的表现。
恶意软件:测试对象包括特洛伊木马、蠕虫和病毒等威胁。趋势科技在这个分类中获得了最高的拦截总分,拦截了49%的含有恶意软件URL,为应对指向恶意文件的URL构筑了有用的第一道防线。McAfee以41%的拦截率排名第二。其它产品的表现并不理想,得拦截率从25%直至SurfControl的6%。
漏洞利用:攻击者利用漏洞可以通过“即时下载”的方式给URL过滤产品带来挑战。“即时下载”通常都是短暂的,甚至可以在高流量的信誉好的网站上突然出现突然消失。
在测试100个被网络漏洞利用的程序时,趋势科技、Blue Coat和Websense表现抢眼,拦截了65%~68%的威胁。McAfee的得分为61%,IronPort拦截了53%的威胁,它们的表现均值得称道,但是SurfControl仅拦截了0?郾3%的“即时下载”下载URL。
网络钓鱼:网络钓鱼测试结果的有效性可以表明产品在实时分析和公布网络钓鱼威胁的综合能力。网络钓鱼URL的寿命一般都很短,这给URL过滤产品测试提出了一个实实在在的挑战。
Cascadia Labs收集了各种网络钓鱼威胁,包括网络钓鱼的目标eBay和PayPal以及Abbey和Chase等银行。IronPort在拦截这些URL时表现最为出色,拦截率达到了78%,趋势科技的拦截率为76%,其它产品对这些威胁的拦截率均低于10%。
代理:提供代理服务或公布公开代理和匿名服务名单的网站可能成为企业的一大担忧,因为这些网站允许员工改变URL过滤规则。在这些URL中,SurfControl和IronPort获得了67%的最高分,其它产品拦截率则在52%~60%之间。
潜在不受欢迎的应用程序:PUA(潜在不受欢迎的应用程序)包括可疑但不一定是恶意的URL,例如广告软件下载。趋势科技拦截了47%的此类应用程序,相比该组30%的平均拦截率可谓遥遥领先。McAfee和Blue Coat并列第二名,拦截率为36%。
2、低俗内容测试
URL过滤最初目的是用来拦截低俗内容,对于这个相当成熟的类别,六种产品均拦截了超过90%的低俗内容URL,这样的成绩并不令人意外。没有哪种产品可以拦截所有令人讨厌的URL,但是如果产品都能达到80%或更好的水平,则可以认为差异太小将不足以影响采购决定。
3、带宽占用测试
带宽占用组由下载、P2P和流媒体URL组成,包括Torrent网站和网络视频内容。SurfControl以大比分优势成为本组的获胜者,得分为75%,而该组的平均分只有59%。IronPort和趋势科技以62%和59%的得分分列其后。
需要注意的是,Cascadia Labs的带宽占用测试所测试的是产品基于URL自身而非协议或文件类型的拦截URL的能力――国内用户在进行评估测试时也可以使用后两种方法作为补充。
4、通信测试
通信组包括电子邮件和聊天等个人通信以及博客和论坛等社区通信。在该组别中,趋势科技以69%的拦截率夺冠――比第二名高出4个百分点,比该组平均拦截率高出7个百分点。趋势科技在博客拦截方面表现尤为出色,拦截了80%的URL,比该组别平均拦截率高出12个百分点。
5、责任测试
Cascadia Labs的责任测试类别包括犯罪活动、复仇和暴力以及非法药品等――这些是企业需要拦截的高度关注的敏感内容。该组中的URL通常是最难进行分析拦截的,因为URL的创始人经常试图将其隐藏在时事新闻等主流内容中。趋势科技在该组中以微弱优势领先,拦截了71%的URL,紧随其后的产品拦截率则为62%。
6、生产效率&娱乐测试
该组包括潜在的浪费时间的类别,例如运动、游戏和娱乐。在低俗内容组中,所有产品均获得了高分。
揭开Web信誉的秘密
传统的恶意软件严重依赖特征码文件,其中包括已知恶意软件样本的独特特征或“签名”。随着恶意软件变得日益复杂和难以防御,防恶意软件行业正面临着“签名泛滥”或“海量威胁”的难题。
最近,独立研究机构Richi Jennings Associates专门针对Web信誉拦截恶意软件的能力进行了研究,在Cascadia Labs的测试中Web信誉技术体现了更好的保护和更出色的性能,Web信誉技术将拦截对恶意网站的访问,从而防止用户于无意中下载恶意软件。
该技术是通过实施审查目标网页的信誉而实现这一目标的――即通过在云中信誉数据库高效拦截与网站的URL。趋势科技所谓的Web信誉是基于在云计算实现云安全技术的组成部分。
Web信誉的本质
本质上,Web信誉意味着需要扫描的文件减少,在延迟部署签名方面,用户的抵抗力得以增强。基于云的恶意软件下载拦截优于传统的基于签名的拦截方法的四个主要原因罗列如下。
1、减少恶意软件感染
最重要的工作就是免受恶意软件感染。Web信誉在为已知恶意软件部署签名之前就消除了典型的时间延迟问题。由于采用了基于云的方法,因此可以始终根据最新公布的信誉来验证下载来源。
这将有效提高判断针对新生恶意软件的准确性。
2、降低管理费用
由于必须的扫描工作减少,所以可以显著改善内存空间和磁盘输入/输出的使用。现在这些资源可以用在实实在在的工作中,而不是执行保护工作。
3、改善绩效
总体绩效应该会因应用Web信誉而得以改善。终端用户的一个主要抱怨就是实施恶意软件扫描减慢了计算机的运行速度,降低了生产效率,压力反而增加。减少扫描过程将会让人感觉效率提高,从而让用户更加愉快。
假设安全厂商提供云安全的数据中心规模适当,那么在审查合法下载的信誉方面就不会出现延迟或延迟不易察觉。
4、减少网络占用
传统的方法要求用户在扫描之前下载恶意软件,因此而浪费的网络带宽令人吃惊。现在这种共享资源可被用于实实在在的工作中,而不是传输恶意软件。
Web信誉减少用户来电
根据测试Web信誉部署前后用户迁移数据的对比,可以得出产品支持电话数量和客户数量的客观数据。数据显示,选择迁移的客户获得了更好的体验。这些数据在三个月的时间中收集,评估了支持事件的数量。
这些数据还根据支持电话是否与恶意软件感染有关而进行了划分。图中显示了客户的相对数量、电话数量和与恶意软件感染有关的电话的比例,并按照与恶意软件相关的电话对两组客户进行了比较。