終端因為其儲存著大量敏感性資料,因而成為駭客和病毒製造者的攻擊目標。 因為每個病毒碼被部署到1000台終端至少需4小時,而終端直接面對企業的內部員工,且難以管理,所以導致終端成為商業網路中最脆弱的一環。 雖然利用雲安全技術,對病毒的回應時間縮短了九成。 但是,我們仍然十分有必要重新對終端安全的價值進行判斷和思考。
思考
閘道安全能否代替終端安全?
如果說雲安全的不斷升溫顯示了資訊安全領域正在技術上謀求變革,那麼這背後所隱含的意義事實上更加引人關注。
在之前的很長一段時間裡,閘道安全都是一種受到推崇的防護模式。 由於在閘道處部署防禦體系可以過濾大部分通信內容,所以有大量的組織都將安全保護的重心集中于閘道位置。
然而事實結果證明,過分依賴于閘道防護而忽視了對組織內部電腦節點的保護,導致的結果仍舊是較低的安全性。 雲安全所帶來的對技術和功能的改進令人欣喜,而其對終端安全乃至於對整個安全體系的補強,讓人看到了從核心層面變革安全防護的可能。
傳統安全體系的終端安全困局
在一些典型的安全案例中,組織雖然部署了防火牆、入侵偵測和VPN等安全保護措施,但是這些措施似乎只能防止外部威脅進入內部網路,而對於資訊存放失當、員工誤操作等內部安全管理問題卻束手無策。
很多調查報告都顯示,全球範圍內的企業員工在工作時間更容易進行具有安全風險的電腦操作,諸如訪問可能存在威脅的網站、打開來源未知的電子郵件附件等等。 可能是企業缺乏足夠嚴格和有效的安全管理制度,也可能是員工對非私有財產的保護意識不足,總之人們在上班狀態下似乎沒有對網路安全問題給予正確的認識和足夠的重視。
美國《NetworkWorld》報導,當前的網路存取控制解決方案往往只評估終端的初始狀態,一旦一個終端節點獲得安全系統的訪問許可,那麼之後的操作將很少受到嚴格的監控,這也體現出當前終端保護體系缺乏動態反應能力的現狀。
正如趨勢科技全球高級副總裁暨大中華區總經理張偉欽所指出的,如果安全威脅的入侵原因及位置缺乏足夠的能見度,那麼資訊技術部門就無法確定正確的解決辦法,也無法真正提供有效和及時的安全回應服務。 除了識別安全威脅存在誤區之外,傳統的安全管理體系也缺乏能夠有效對安全威脅進行預警和修補的工具。
賽門鐵克中國區技術支援部首席解決方案顧問林育民則表示,在發生安全事件的時候,資訊技術部門往往需要耗費大量的時間去定位威脅源頭、識別威脅種類,進而制訂出處理方案並實施。 從時間上來看,這往往都要滯後于威脅的傳播,經常是所有終端都已經受到波及之後資訊技術部門才開始真正的處理工作。
雲安全如何助力終端安全
事實上,在歷數雲安全技術的諸多特點時會發現,很多雲安全特性都能夠為提升終端安全提供説明。 在安全性群組件嘗試發現終端以及內部網路中的安全威脅時,雲安全體系可以提供更加及時有效的威脅識別能力。 而利用雲安全體系強大的關聯分析能力,也可以更好地發現安全威脅和定位威脅位置。
在新一代的雲安全技術當中,領先的廠商都在嘗試植入一種新的特徵碼管理機制,從而實現檢測引擎和特徵碼的分離。 通過雲安全體系提供的通信方式,特徵碼的存放和比對都可以放在雲端進行,而將大量的特徵碼更新發佈到網路中的每一台終端將不再是保證安全性的必要條件。
在新一代的雲安全網路當中,大量的安全威脅檢測功能將從終端遷移至雲端,而用戶端系統將只完成掃描等基本的安全功能。 在即時防護過程中,用戶端不斷地與雲伺服器進行協作,從而減輕用戶端的負擔,即讓終端使用者在儘量少地受到干擾的情況下,實現更好的安全防護。
以趨勢科技提出的雲安全2.0為例,其多協定關聯分析技術可以在近百種常見協定中進行智慧分析,從而追蹤到真正的受攻擊位置,為管理員解決安全問題提供真正的支援。 一個真正成熟的雲安全體系,安全威脅發現和回應覆蓋了從網路層到應用層的各個層次,而防護陣線也貫穿了雲端、閘道、終端等多個不同的位置和區域。
雲安全2.0的到來,勢必會加速雲安全在體系架構主流化進程上的速度。 使用者應該從現在就開始認真地思考自己組織的電腦終端是否已經獲得了足夠的保護,雲安全體系帶來的高管理效率和高ROI無疑會引起使用者的高度關注。
分析
遞增的網路威脅與資訊安全的出路
從供需角度來說,雲安全技術的出現,無疑是為了對抗層出不窮的新安全威脅而產生的一種必然結果。 根據測算,2008年全球每小時出現大約800種新的安全威脅,在2009年,每小時出現的新安全威脅數量已經達到1500種。 按照這種發展速度,在最多不超過5年的時間裡,每小時的新安全威脅產生量就將突破10000種。
高速的安全威脅增長態勢已經成為整個安全世界的大背景,傳統的依靠人工分析惡意軟體特徵的安全回應體系,已經完全無法滿足現在的安全防護需要。 在這種前提下,擁有共用全球安全威脅資訊優點的雲安全網路,就成為了資訊安全領域的一個重要出路。
雲安全的正確認知
單從各個廠商的宣傳資料來看,也許安全專家也難以給雲安全下一個準確的定義。 事實上,從技術角度定義雲安全並不困難,但是實際映射到產品和運營層面,就可謂是「橫看成嶺側成峰,遠近高低各不同」了。 這一方面體現出雲安全是一個非常複雜的系統,另外也說明不同的安全廠商對雲安全存在著定位和投入上的不同。
有很多使用者將雲安全理解為一種完全嶄新的安全模式,也有使用者將雲安全理解為對傳統安全體系的升級。 實際上這兩種理解都有可取之處,雲安全更近似于雲計算技術在安全領域的特定應用,而其創新之處則更多地來自于使用者和運營等層面。
雲安全體系可以令安全廠商更準確地瞭解全球安全威脅的變化態勢,同時也有助於廠商發現新的安全威脅。 無論是國外廠商還是國內廠商,真正在雲安全領域有所投入的廠商,其採集威脅的速度和數量都呈現出幾何級數增長的態勢。 趨勢科技自有的雲伺服器數量就達到數萬台,而金山也在總部的辦公樓開闢了一層專門用於放置雲安全系統,這些在雲安全領域投入重金的廠商掌握的病毒樣本數量早已達到千萬級。
更重要的是,擁有了海量的安全威脅資料之後,廠商就可以根據安全威脅情況動態地變更其雲防護體系的工作狀態。 類似趨勢科技的安全爆發防禦體系,它就需要足夠數量的監測點和統計資料作為支撐,也可以視為雲安全最早的應用嘗試之一。
從核心模式上來說,當前的雲安全應用主要側重于阻斷使用者訪問已經被辨識的安全威脅和可能存在風險的安全威脅,這主要源于雲安全體系可以大幅度加快廠商對安全威脅的回應速度。 這其中比較容易引起誤解的一點是,雲安全是否能夠更好地應對未知安全威脅呢? 從本質上來講,雲安全的主要改進在於能夠更好地、更快地回應已知安全威脅。 不過在一些特定條件下,雲安全也可以對未知安全威脅防護提供説明。
假設一個剛剛被放入互聯網的惡意軟體感染了第一台電腦,這個惡意軟體對於這台電腦是一個未知的安全威脅;如果該電腦將這個感染行為以及這個程式提交給了雲安全網路,那麼相比傳統模式而言, 其他使用該安全雲服務的電腦就有更大的機會避免被該程式感染。 也就是說,雲安全體系更多地是避免一個未知安全威脅所帶來的破壞,讓廠商和使用者能更快地發現新出現的安全威脅,而與未知威脅檢測技術無關。
雲安全的選擇及路徑
當「雲安全」作為一個名詞吸引了公眾的注意之後,所有的安全廠商都陸續宣佈了對雲安全的支援,這一幕看起來與UTM剛剛問世時何其相似。 如何正確看待雲安全的效果,如何選擇真正支援雲安全的產品,這些問題需要選購安全產品的使用者認真對待。
就目前的情況來看,選擇一線廠商的產品所獲得的保障無疑要更強一些,而這並非只是源于品牌和信譽。 對一個雲安全體系來說,其投入規模和所擁有的使用者數量,相當於雲的大小和密度,也決定了雲的工作品質。
第一代雲安全技術:海量採集應對海量威脅
最開始被集成到安全產品中的雲安全技術,主要集中于將從終端客戶處收集到的資訊返回到安全雲端,同時將分析後的結果返回給終端客戶。 這種作法的好處在於能夠利用雲安全體系的巨大運算處理能力和共用的安全威脅資訊,為終端使用者提供更及時、更有效的安全保護服務。 在傳統的安全防護模式下,安全廠商通常依賴人工方式採集安全威脅資訊。
由於高速互聯網連接的普及,一個新出現的安全威脅完全有能力在數個小時甚至不到一個小時之內在全球網路內實現傳播,而舊有的安全回應體系已經漏洞百出。 在應用了雲安全體系之後,廠商可以將威脅的採集工作更多地轉移到終端使用者的電腦上,根據其訪問行為和受感染情況來更準確地獲知安全威脅的產生和蔓延情況。
對於一些明顯可能造成破壞的安全操作,雲安全系統會自主將其標示為安全威脅,這樣在其它電腦執行相同或相似的操作時,就會獲得來自雲端的警告,從而以接近即時的速度獲得對安全威脅的免疫。 事實上,在一個運行良好的雲安全體系當中,從一個新威脅被識別到被標識,所耗費的時間極短,甚至要少於終端電腦更新病毒碼碼以及完成特徵碼載入的時間,這為安全產品提高回應速度提供了很好的技術基礎。
第二代雲安全技術:更加全面徹底的雲安全
事實上,第一代的雲安全技術表現在產品功能上,更多的是以資訊採集為主,真正能夠產生效果的安全功能寥寥無幾。 在第二代的雲安全技術應用上,一個顯著的特徵就是安全功能對雲安全體系更充分、更廣泛的利用。 目前已有多家主流的安全廠商都推出了具有雲安全2.0技術特徵的產品。 以最先宣導雲安全技術的趨勢科技來說,其最新版本的產品線都集成了被稱之為檔信譽的安全技術。
顧名思義,與在雲端檢測Web位址安全性的Web信譽技術一樣,檔信譽技術旨在通過雲安全體系判斷位於用戶端的檔是否包含惡意威脅。 在傳統的特徵碼識別技術中,通常是將檔內容不同部分的Hash值與所檢測檔的Hash值進行比較,從而判別檔是否受到感染。
與傳統的將特徵碼放置在用戶端的方式不同,基於雲安全體系的檔信譽技術,支援將特徵等檢測所用的資訊放置在雲端(比如全球性的雲安全網路或局域網中的雲安全伺服器)。 這樣做的顯見好處是,解決了從更新檔發佈,到用戶端部署了更新這段時間間隔裡,防護系統無法識別最新安全威脅的問題。
通過連接到雲端伺服器,終端電腦始終能獲得最新的防護。 如果說第一代雲安全技術提高了發現安全威脅的速度,那麼第二代雲安全技術則讓安全防護功能得以用接近即時的速度檢測和識別最新的安全威脅。
下一代雲安全技術:靈動的雲
相信用不了多久,幾乎所有的安全功能都將順暢地接入雲端,從而實現雲級別的安全防護。 解決了安全威脅回應速度這一核心問題之後,對安全防護的品質提升將是雲安全的下一命題。
由於雲安全體系所擁有的龐大的資源配給,使用者無疑會對其能夠在多大程度上替代人工分析和操作,抱有極大的興趣。 事實上,這也是能否從本質上提升安全產品保護能力的一個重要指標。
另一方面,終端使用者應期待可以通過自己的產品介面,對安全雲進行更多的操作和管理。 以往對於用戶端防護產品的定制能力將轉移到雲端,使用者可以決定哪些安全功能需要連入雲端,而哪些功能必須使用本地的防護引擎。 在3.0乃至4.0的雲安全技術體系中,使用者將獲得更大限度的自由,安全保護的新時代也將隨之展開。
為了更好地類比管理中心、伺服器用戶端、工作站用戶端等常見的安全物件,在本次評測過程中我們啟用了五台電腦,其中一台用作管理伺服器,其它電腦作為終端電腦。
在網路環境方面,我們使用一台TP-Link的TL-R860路由器作為連接設備,所有測試用電腦都以百兆乙太網形式接入該設備。 同時在該設備上還接入了2Mbps的網通寬頻,用以提供互聯網連接。 在測試過程中,我們對產品的測試實現完全分離,也即完整地測試完一個產品之後,再測試另一個產品,以避免測試過程中相互干擾。
本次測評參測產品4款,包括趨勢科技OfficeScan10.0、熊貓AdminSecureBusiness。 令我們感覺有些遺憾的是,由於另外兩家參測廠商即將發佈新的產品版本,所以在本次評測中隱去其真實廠商及產品名稱。 在這裡,我們將在總體上對其進行適當的點評,以讓讀者瞭解這些產品最新的發展狀況。 文中以X和Y表示用來表示隱去其真實廠商的產品名稱。
在性能表現方面,產品安裝後的系統資源佔用情況以及產品的運行速度都是關注的重點。 通過比較安裝前後的磁碟空間佔用情況,我們可以瞭解產品對硬碟的消耗。 同時針對管理伺服器、用戶端的處理器和記憶體資源使用方式,測試工程師也給出了相應的評價。 檢測引擎的速度一直是評估安全產品性能的保留專案,本次評測過程中通過對一個包含4GB檔的系統內分區進行掃描來完成該項測試。 為了判斷產品的檢測引擎是否支援檔指紋機制,該項測試共進行兩次,每次測試之間電腦會重新開機以令時間記錄更加精確。
惡意軟體檢測
我們選用了100個採集自實際應用環境的惡意程式樣本。 其中覆蓋了蠕蟲、木馬程式、腳本病毒、廣告軟體和駭客工具等多個常見的惡意軟體類別。 另外,在測試樣本中也包含了一些未被驗證的、可能包含安全威脅的程式,用以驗證參測產品在檢測未知威脅方面的能力。 在該項測試過程中,所有產品的檢測引擎的識別能力和識別範圍均開啟為最高,所有有助於提高檢測效果的選項也均被啟用。
防火牆測試
防火牆作為另一個核心的安全防護模組,也設定了多個專門的測試專案。 基於GRC網站提供的線上偵查工具ShieldsUP!,我們能夠瞭解一台電腦的網路埠在外網看起來是處於什麼狀態。 該檢測分析電腦的前1056個埠,並且提供電腦是否回應Ping請求的附加測試結果。 另外,我們通過一組工具來測試在終端電腦上利用各種方法建立外向連接時,防火牆元件的反應行為是否正確。 下面提供了這些測試控管的工作機制等相關描述。
· LeakTest:該工具在被測電腦上建立外向連接,如果防火牆元件發現了建立連接的行為,視為能夠識別基本的外向連接活動。
· FireHole:該工具調用系統中的缺省瀏覽器傳送資料到遠端主機,在電腦上建立具有攔截功能的DLL,從而偽裝瀏覽器進程進行資料發送。
· PCFlank:與FireHole工具類似,該工具檢驗一個防火牆信任的程式在調用另一個程式時,在工作方式上利用了Windows的OLE自動化機制。
· ZAbypass:該工具使用直接資料交換(DDE,DataDirectExchange)技術,以借助系統中的IE瀏覽器訪問互聯網伺服器上的資料。
· Jumper:該工具會生成一個DLL檔,將其掛接到Explorer.exe之後關閉和重啟該程式,從而執行該DLL。 這項測試同時考察防火牆元件的防DLL注入能力以及對註冊表關鍵位置的保護能力。
· Ghost:通過修改瀏覽器進程的PID來欺騙防火牆元件,從而通過系統缺省瀏覽器向互聯網發送資訊,主要用於測試防火牆是否能夠實現進程級別的監控。
雲安全測試
針對當下最熱門的雲安全技術,在本次評測中也專設了多個測試專案。 首先我們的工程師會驗證參測產品是否支援雲安全網路,以及支援哪些雲端安全功能。 例如,通過訪問包含有惡意程式碼的網站來判別參測產品是否支援雲端Web威脅識別。 另外,我們會嘗試使用產品的雲端功能檢測前面所準備的100個惡意軟體樣本,比較其檢測率和處理能力相較使用傳統掃描引擎是否有所提高,從而驗證雲安全機制對於產品效能的提高發揮的作用。
管理機制測試
管理能力是企業級安全產品的重中之重,通過對參測產品的終端管理、終端部署、版權管理、建構管理等諸多方面的能力進行考察和評估,我們可以獲得產品管理機制是否健壯有效的第一手證據。
與此同時,產品用戶端所具備的特性,特別是管理端對於用戶端的授權和控制,也是網路版安全產品需要重點關注的問題。
易用性測試
在易用性方面,我們遵循軟體業內常見的一些評估方式,進行體現物理操作負擔的肌肉事件測試,針對介面設計的螢幕利用率測試以及體現操作流程的記憶負擔測試等諸多測試專案。
結合針對介面元素排布、介面指引等方面的分析,最終形成對軟體易用性的綜合性評價。 在易用性的測試過程中,主要面向參測產品的控管中心模組,對於部署于伺服器和工作站上的終端軟體不進行評估。
評測總結
在本次評測中,通過對比應用雲安全的產品和傳統形式的產品,我們發現雲安全類型的產品帶給用戶端的負擔更小。 趨勢科技已經近乎徹底地實現了產品的雲安全化,無論從基礎架構還是從核心功能上看,雲安全技術都在充分地發揮作用。 而熊貓的雲安全應用,則更多地停留在後臺輔助服務方面,使用者從前端功能還無法明確瞭解雲安全的具體應用狀態。 相對地,X和Y在雲安全應用領域也取得了相當的成果,並且擁有相當規模的雲安全網路支援,對其安全威脅的發現和採集提供了相當的説明。
通過評測,我們也發現目前的主流企業級安全產品並沒有走向完全趨同的發展道路。 基於不同的市場理解和不同的客戶取向,不同廠商在構造自己的產品時,都體現出鮮明的功能和設計特點。
從產品的適用群體來看,趨勢科技是一個可以適應任何使用者群體的產品,其表現相當均衡。 而熊貓更適合具有系統平臺混雜、外網連接受限等特徵的企業,例如一些商業營業型的企業。
由於產品在各個方面都具有上佳表現,而且集成了強大的2.0級別雲安全技術,趨勢科技毫無爭議地獲得了本次評測的「狀元」。 無論是防護能力還是管理能力,趨勢科技都完全能滿足中小企業使用者的需要,我們強烈推薦使用者考慮應用這款產品來保護自己的商業網路,其效率和安全強度的提升都相當可觀。
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
