[周报全文]防恶意威胁,有信则立

2010-03-02 |  作者:网界网 边歆 |  来源:独家 |  查看原文

摘要面对海量恶意威胁,与其等它们“打上门来”再防御,不如主动出击直捣其老巢。信誉评估技术就是帮助安全产品从根源上战胜恶意威胁的有效工具。

【CNW.com.cn 专稿】《论语》中有这样一句话——“人而无信,不知其可也”。意思是说,“作为一个人却不讲信用,不知他怎么可以立身处世”。两千多年前的孔子一定想不到,他说的这句话竟然还可以用来描述当今的防恶意威胁技术发展趋势。

我们可以把孔子的话稍微改动一下——“安全无信,不知其可也”。在这里,“信”指的是信誉评估技术。现在,安全产品的发展趋势之一就是采用信誉评估技术,不具备信誉评估技术的产品已经越来越没有竞争力。

应对威胁新形势

近年来,安全威胁状况发生了很大变化,导致新兴恶意软件的传播方式也随之改变。过去通常是一个恶意软件感染上百万台计算机,而现在,更为常见的则是上百万种恶意软件的变种,而每个仅感染一定数量的计算机。

2009年,全世界共发现了近2亿个不同的恶意软件变种。面对此种挑战,只有改变传统的安全防护方法,才能在与恶意软件变种的斗争中占据上风。

传统的防病毒软件主要依赖使用病毒签名的黑名单技术来拦截恶意软件。赛门铁克资深首席信息安全技术顾问林育民向记者表示,10年前,赛门铁克平均每天发布5个新型病毒签名,现如今,尽管每个签名仍然能够检测出许多不同的恶意软件,但安全厂商每天所要发布的签名已经达到了上千个。

基于信誉的安全技术弥补了传统安全技术的不足,该技术最早在反垃圾邮件产品中应用。随着安全进入Security 2.0时代,反病毒软件厂商开始在云安全中应用信誉评估技术。据林育民介绍,赛门铁克研究实验室于4年前开始研发这项技术,研究重点集中在如何凭借指定文件的部分使用情况信息来辨别该文件是否安全。在试验成功后,交由赛门铁克安全技术与响应中心负责后续的商用开发,以及市场应用工作。

赛门铁克基于信誉的安全技术充分利用多方数据资源,包括Norton Community Watch成员提供的匿名数据,软件发行商提供的数据,以及在针对大型企业用户发起的数据收集项目中获得的数据。这些数据会持续不断地更新到信誉引擎,以此确定每一软件文档的安全信誉等级,绝不需要对该文档进行扫描。基于信誉的技术所利用的信息包括文档的相关性、使用年限,以及用于计算高度精确的信誉分数的其他因素。

趋势科技是较早采用信誉技术的反病毒软件厂商。在趋势科技2009年推出的云安全2.0概念中,与云安全1.0相比,云安全2.0也增加了文件信誉技术。趋势科技中国区总经理张伟钦说:“云安全2.0新增了文件信誉技术和多协议关联分析技术。”

在云安全2.0中,包含着“邮件信誉技术”、“Web信誉技术”和“文件信誉技术”。这三者相辅相成,是有效打击恶意威胁的安全防护“组合拳”,而把这三种技术有效整合在一起的则是多协议关联分析技术。

文件信誉技术就是通过互联网达到“反病毒厂商的计算机群”与“用户终端”之间的互动,变病毒代码下发为上传文件的特征至云端比对。上传文件并不是将整个文件上传比对,而只上传文件中的一些特征,查询时间仅需几毫秒。在云安全2.0中,下发病毒代码只起到辅助防御的作用,真正要做到的是随用随查,保证防护的实时性。

趋势科技的文件信誉技术与反垃圾邮件产品中的黑名单技术有些相似,二者之间有什么区别呢?趋势科技资深产品技术顾问徐学龙表示,从“黑名单”的内容来看,反垃圾邮件产品中的黑名单主要包括垃圾邮件发送源IP和发送邮箱,进来的每一封邮件都需要比对。而文件信誉技术则是基于云安全的病毒查杀机制,在云端存放这些恶意程序的特征,仅在需要的时候才会访问云端。徐学龙特别强调,文件信誉技术不仅是病毒与代码的简单比对,还包括参照50多种病毒属性对恶意程序进行信誉辨别,精准实现对企业的安全防护。

文件信誉技术采用了特殊的智能过滤器,可以实现客户端的离线保护。该过滤器减少客户连接到本地云扫描服务器的需要,采用先进的技术来确定文件是否安全,是否还需从服务器中获得其他信息。无论用户在线还是离线,文件信誉技术都可以提供持续保护,避免恶意威胁感染计算机。

赛门铁克的信誉技术也强调“反病毒厂商的计算机群”与“用户终端”之间的互动。全球任何角落的终端用户加入赛门铁克信息安全共享社群后,会与云端的服务器保持实时联络。当发现异常行为或病毒等风险后,自动提交到云端的服务器群组中,由云计算技术进行集中分析和处理。

除了文件信誉评估之外,借助URL信誉数据库,安全厂商可以按照恶意软件行为分析所发现的网站页面、历史位置变化和可疑活动迹象等因素来指定信誉分数,从而追踪网页的可信度。然后将通过该技术继续扫描网站并防止用户访问被感染的网站。

通过URL信誉分值的比对,用户可以知道某个网站潜在的风险级别。当用户访问具有潜在风险的网站时,系统就会及时提醒或阻止。通过这种URL库的信誉评分机制,可以防范恶意程序源头。由于对零日攻击的防范是基于网站的可信程度,而不是真正的内容,因此能有效预防恶意软件的初始下载,用户访问恶意网站前就能够获得防护能力。

信誉评估将无所不在

层出不穷的恶意软件及其数量庞大的变种,对所有安全产品而言,都是一个严峻的考验。当大家都在思索对策时,防病毒软件厂商率先推出了基于云安全的信誉评估技术,该技术已经被证明是行之有效的。因此,越来越多的安全厂商开始采纳信誉评估技术。

作为IT界的巨头,思科的做法具有代表性。随着IT进入云时代,思科也把其防火墙升级到了“云火墙”。 云火墙的“大脑”是SensorBase(前身是SenderBase,思科通过收购IronPort获得了SenderBase)。现在,SensorBase是全球最大的邮件流量监控网络,提供全球安全威胁实时视图和电子邮件的“信用报告服务”。 思科还在SensorBase中加入了僵尸网络主控数据库,使其能够敏感监控僵尸网络的动态。

可以看到(+微信网络世界),SensorBase的核心功能之一就是提供相关资源的安全信誉。思科安全产品事业部技术专家郭庆表示,SensorBase是云火墙出现的前提,SensorBase让云火墙实现了动态防范、主动安全。

McAfee的产品线中既有防病毒软件,也有防火墙。因此,McAfee可以很轻松地在防火墙产品中加入信誉技术。McAfee的新一代防火墙使用了基于全球信誉(包括TrustedSource 信誉和地理定位)的技术,能够在恶意流量攻击网络前将其过滤掉 ,对威胁做到防患于未然。

除了防火墙之外,IDS产品也借助互联网安全信誉服务武装自己。绿盟科技产品市场部陈星霖对记者表示,目前,木马威胁愈演愈烈。通过看似正常的互联网站点向用户传播木马等恶意程序,是一种极为隐蔽的攻击方法,很少有用户是因为了解自身操作系统、应用服务的脆弱性而发现遭受攻击的。因此,在互联网上大量投放利用客户端漏洞的恶意代码,再“借助”用户对互联网站点的盲目信任,就能够很轻松地诱骗客户被动下载木马程序。当然,更多时候,首先植入用户主机的可能是一个下载器,它会自动连接远端的“木马养殖场”,下载更多恶意程序到本地执行,从而使得木马控制者能够获得某些敏感的数据,或通过渗透,最终获取用户主机的控制权限。

在面向以木马为代表的新型应用层攻击时,IDS可采用的检测技术则主要包括以下三种:基于协议分析的特征检测、基于行为分析的异常检测,以及基于互联网安全信誉服务的恶意流量检测。

特征检测技术能够识别已知的攻击类型,但是面对新的未知攻击时会变得束手无策。异常检测技术对于未知的攻击模式有一定检测能力,但在实现上,要求系统对用户行为的正常态有着较强的敏感性。同时能够及时感知用户行为的变化,否则不可避免会产生误报。

当前,在“地下黑色产业链”的操控下,恶意程序的变种数量越来越多,传播和分散速度越来越快,已经远远超过攻击特征库的更新速度,传统的、基于特征匹配的检测和响应速度逐渐滞后。新兴的混合型攻击通常还把功能实现拆分到多个动作完成,以逃避面向行为分析的安全监控。

要应对新的安全威胁挑战,就需要一种更加全面、高效的监测和防护机制,于是安全厂商将互联网安全信誉服务的成果应用到了IDS等传统安全产品中。该项技术的核心思想是:基于云安全体系,运用部署在全国多个数据中心里的探测引擎,对互联网相关资源进行威胁分析和信誉评级,再将研究成果应用到IDS等安全产品中。一旦检测到网络中有匹配的恶意流量在传输,立即报警并做出响应,保护用户免受Web流量中病毒、木马、间谍软件和其他恶意程序的伤害。

这种信誉服务还融合了来自授权客户和第三方合作伙伴的威胁反馈,与目标站点的历史信息进行整合,从而建立针对互联网领域的长期信誉追踪机制,并保证加载此项成果的产品能够有效地拦截Web威胁。(更多内容详见http://www.cnw.com.cn/P/2182)

编看编想

Web 2.0时代更需要“信誉”

Web 2.0时代,互联网上每天新增的恶意代码和恶意网页数量都在数十万的量级,它们严重威胁着用户的上网安全。这些恶意代码和曾经风靡一时的冲击波等传统病毒相比,变种更多、更新更快,完全以经济利益为导向。而且,它们以网页挂马形式实施大面积传播。

传统黑名单技术可以有效防范已知的恶意代码,而白名单技术可有效加速防病毒引擎扫描文件,但时至今日,对于未被黑白名单涵盖的众多文件,已无法仅靠用户提交或主动收集恶意代码样本,进行分析后也无法再发布病毒签名进行防护。可行的做法是,从Web 2.0的思维角度出发,通过云端服务计算文件信誉分值来实时防范最新的恶意威胁。

文件信誉评估技术可与现有的病毒签名、启发式和入侵检测技术互补,来甄别各种新型网络威胁和有针对性的攻击,提供更为主动与实时的安全防护。

虽然有观点质疑“文件信誉评估技术”,认为其只是延续了单台计算机防毒的思路,企图以中心服务器建立整个互联网范围内的“病毒特征库”;认为现在互联网上每天新出现的数据以TB计,如此巨量的网页、视频、邮件、文件,任何一个商业公司都无法把它们全部、实时地标明安全等级并存储在数据库里供用户进行安全查询。但是,既然“文件信誉评估技术”已经存在并被众多安全厂商所采纳,就说明它是合理的,说明它一定是安全技术的一个重要发展方向。安全厂商的信誉评估技术

厂商

技术特色

思科

SensorBase是全球最大的邮件流量监控网络,提供全球安全威胁实时视图和电子邮件的“信用报告服务”。SensorBase还能敏感监控僵尸网络的动态。

绿盟

运用部署在全国多个数据中心里的探测引擎,对互联网相关资源进行威胁分析和信誉评级,再将研究成果应用到IDS等安全产品中,一旦检测到网络中有匹配的恶意流量在传输,立即报警并做出响应。

McAfee

McAfee TrustedSource信誉地理定位和信誉过滤,使企业能够将其网络连接限定到那些来自相关位置、具有良好信誉的用户。另外,TrustedSource 信誉技术能够过滤大多数垃圾邮件,大幅节省了带宽成本。

赛门铁克

赛门铁克基于信誉的安全技术充分利用多方数据资源,这些数据会持续不断地更新到信誉引擎,以此确定每一软件文档的安全信誉等级,绝不需要对该文档进行扫描。基于信誉的技术所利用的信息包括文档的相关性、使用年限,以及用于计算高度精确的信誉分数的其他因素。

趋势科技

文件信誉技术是基于云安全的病毒查杀机制,在云端存放恶意程序的特征,仅在需要的时候才会访问云端。文件信誉技术不仅是病毒与代码的简单比对,还包括参照50多种病毒属性对恶意程序进行信誉辨别。

相关文章