概念與含義,什麼是雲安全,歷史,技術原理,發展趨勢,思想來源,策略構想,主要內容,名稱設計,難點問題,新增功能,木馬下載攔截,木馬判斷攔截,自動線上診斷,增強功能,漏洞掃描,強力修復,進啟管理,高級工具集,七大監控,安全示例,ESET NOD32,金山毒霸,趨勢科技,卡巴斯基,McAfee,瑞星白皮書,江民科技,雲安全的問題,雲端問題,客戶端問題,解決方式,企業雲安全解決方案,
概念與含義
雲安全(Cloud security ),《著雲台》的分析師團隊結合雲發展的理論總結認為,是指基於雲計算商業模式套用的安全軟體,硬體,用戶,機構,安全
雲平台的總稱。
“雲
安全”是“
雲計算”技術的重要分支,已經在反病毒領域當中獲得了廣泛套用。雲
安全通過網狀的大量
客戶端對
網路中軟體行為的異常監測,獲取
網際網路中
木馬、惡意程式的最新信息,推送到
服務端進行自動分析和處理,再把病毒和木馬的解決方案分發到每一個客戶端。整個
網際網路,變成了一個超級大的
防毒軟體,這就是雲
安全計畫的宏偉目標。
在雲計算的架構下,雲計算開放網路和業務共享場景更加複雜多變,安全性方面的挑戰更加嚴峻,一些新型的安全問題變得比較突出,如多個虛擬機租戶間並行業務的安全運行,公有雲中海量數據的安全存儲等。由於雲計算的安全問題涉及廣泛,以下僅就幾個主要方面進行介紹:
l 用戶身份安全問題
雲計算通過網路提供彈性可變的IT服務,用戶需要登錄到雲端來使用套用與服務,系統需要確保使用者身份的合法性,才能為其提供服務。如果非法用戶取得了用戶身份,則會危及合法用戶的數據和業務。
l 共享業務安全問題
雲計算的底層架構(IaaS和PaaS層)是通過虛擬化技術實現資源共享調用,優點是資源利用率高的優點,但是共享會引入新的安全問題,一方面需要保證用戶資源間的隔離,另一方面需要面向虛擬機、虛擬交換機、虛擬存儲等虛擬對象的安全保護策略,這與傳統的硬體上的安全策略完全不同。
l 用戶數據安全問題
數據的安全性是用戶最為關注的問題,廣義的數據不僅包括客戶的業務數據,還包括用戶的應用程式和用戶的整個業務系統。數據安全問題包括數據丟失、泄漏、篡改等。傳統的IT架構中,數據是離用戶很“近”的,數據離用戶越“近”則越安全。而雲計算架構下數據常常存儲在離用戶很“遠”的數據中心中,需要對數據採用有效的保護措施,如多份拷貝,數據存儲加密,以確保數據的安全。
什麼是雲安全
“雲
安全”是繼“
雲計算”“
雲存儲”之後出現的“雲”技術的重要套用,是傳統IT領域安全概念在雲計算時代的延伸,已經在反病毒軟體中取得了廣泛的套用,發揮了良好的效果。在病毒與反病毒軟體的技術競爭當中為反病毒軟體奪得了先機。
雲安全是我國企業創造的概念,在國際雲計算領域獨樹一幟。
歷史
最早提出“雲
安全”這一概念的是
趨勢科技,2008年5月,趨勢科技在美國正式推出了“雲
安全”技術。“雲
安全”的概念在早期曾經引起過不小爭議,已經被普遍接受。值得一提的是,中國
網路安全企業在“雲安全”的技術套用上走到了世界前列。
技術原理
發展趨勢
未來
防毒軟體將無法有效地處理日益增多的惡意程式。來自網際網路的主要威脅正在由電腦病毒轉向惡意程式及木馬,在這樣的情況下,採用的特徵庫判別法顯然已經過時。
雲安全技術套用後,識別和查殺病毒不再僅僅依靠本地硬碟中的病毒庫,而是依靠龐大的網路服務,實時進行採集、分析以及處理。整個網際網路就是一個巨大的“防毒軟體”,參與者越多,每個參與者就越安全,整個網際網路就會更安全。
雲
安全的概念提出後,曾引起了廣泛的爭議,許多人認為它是偽命題。但
事實勝於雄辯,雲
安全的發展像一陣風[1],
瑞星、趨勢、
卡巴斯基、MCAFEE、SYMANTEC、江民科技、PANDA、
金山、
360安全衛士等都推出了雲安全解決方案。我國
安全企業 金山,360,
瑞星等都擁有相關的技術並投入使用。金山的
雲技術使得自己的產品資源占用得到極大的減少,在很多老機器上也能流暢運行。
趨勢科技雲
安全已經在全球建立了5大
數據中心,幾萬部線上
伺服器。據悉,雲
安全可以支持平均每天55億條點擊查詢,每天收集分析2.5億個樣本,資料庫第一次命中率就可以達到99%。藉助雲
安全,
趨勢科技現在每天阻斷的病毒感染最高達1000萬次。
思想來源
雲
安全的過程值得一提的是,雲
安全的核心思想,與
劉鵬早在2003年就提出的反
垃圾郵件格線非常接近。
劉鵬當時認為,
垃圾郵件泛濫而無法用技術手段很好地自動過濾,是因為所依賴的人工智慧方法不是成熟技術。
垃圾郵件的最大的特徵是:它會將相同的內容傳送給數以百萬計的接收者。
為此,可以建立一個分散式統計和學習平台,以大規模用戶的協同計算來過濾
垃圾郵件:
首先,用戶安裝
客戶端,為收到的每一封郵件計算出一個唯一的“
指紋”,通過比對“指紋”可以統計相似郵件的副本數,當副本數達到一定數量,就可以判定郵件是
垃圾郵件;
其次,由於
網際網路上多台計算機比一台計算機掌握的信息更多,因而可以採用分散式貝葉斯學習算法,在成百上千的
客戶端機器上實現協同學習過程,收集、分析並共享最新的信息。
反
垃圾郵件格線思想提出後,被IEEE Cluster 2003國際會議選為傑出
格線項目在
香港作了現場演示,在2004年
格線計算國際研討會上作了專題報告和現場演示,引起較為廣泛的關注,受到了中國最大郵件服務提供商
網易公司創辦人
丁磊等的重視。既然
垃圾郵件可以如此處理,病毒、
木馬等亦然,這與雲
安全的思想就相去不遠了。
策略構想
雲
安全的策略構想是使用者越多,每個使用者就越
安全,因為如此龐大的用戶群,足以覆蓋
網際網路的每個角落,只要某個網站被
掛馬或某個新
木馬病毒出現,就會立刻被截獲。
主要內容
瑞星“雲
安全”計畫的內容是,將用戶和
瑞星技術平台通過
網際網路緊密相連,組成一個龐大的
木馬/
惡意軟體監測、查殺
網路,每個“
瑞星卡卡6.0”用戶都為“雲安全”計畫貢獻一份力量,同時分享其他所有用戶的安全成果。
“瑞星卡卡6.0”的“自動線上診斷”模組,是“雲
安全”計畫的核心之一,每當用戶啟動
電腦,該模組都會自動檢測並提取
電腦中的可疑木馬樣本,並上傳到
瑞星“
木馬/
惡意軟體自動分析系統”,整個過程只需要幾秒鐘。隨後RsAMA將把分析結果反饋給用戶,查殺
木馬病毒,並通過
瑞星安全資料庫,分享給其他所有“
瑞星卡卡6.0”用戶。
瑞星卡卡6.0本身只是一個數兆大小的
安全工具,但是它的背後是國內最大的
信息安全專業團隊,是瑞星“
木馬/惡意軟體自動分析系統”(RsAMA)和“瑞星安全資料庫”(RsSD),同時共享著數千萬其他瑞星卡卡6.0用戶的
可疑檔案監測成果。
名稱設計
“雲
安全”這個名字是
馬剛起的,本打算叫“安全雲”,被大家鄙視,以為土氣。其實這個概念早就有了,只不過
瑞星動的比較快。“
雲計算”之前,有個很熱的概念叫做“
格線計算”,就是把大家的計算機聯合起來,貢獻出一些空閒的
計算能力,供大家隨時取用。google是“
格線計算”最早的利用者之一,他的
伺服器都是用廉價的PC機聯合起來,用來取代昂貴的
伺服器,以提供大容量搜尋要求的
計算能力。其中的技術難點,就在於
並行計算、
伺服器通訊這些技術。
由
瑞星伺服器、數千萬
卡卡用戶就可以組成虛擬的
網路,簡稱為“雲”。病毒針對“雲”的攻擊,都會被
伺服器截獲、記錄並反擊。被病毒感染的
節點可以在最短時間內,獲取
伺服器的解決措施,查殺病毒恢復正常。這樣的“雲”,理論上的
安全程度是可以無限改善的。“雲”最強大的地方,就是拋開了單純的“
客戶端”防護的概念。傳統
客戶端被感染,防毒完畢之後就完了,沒有進一步的信息跟蹤和分享。而“雲”的所有節點,是與
伺服器共享信息的。你中毒了,
伺服器就會記錄,在幫助你處理的同時,也把信息分享給其它用戶,他們就不會被重複感染。於是這個“雲”籠罩下的用戶越多,“雲”記錄和分享的
安全信息也就越多,整體的用戶也就越強大。這才是
網路的真諦,也是所謂“雲
安全”的精華之所在。
難點問題
要想建立“雲
安全”系統,並使之正常運行,需要解決四大問題:第一,需要海量的
客戶端(雲
安全探針);第二,需要專業的反病毒技術和經驗;第三,需要大量的資金和技術投入;第四,必須是開放的系統,而且需要大量合作夥伴的加入。
第一、 需要海量的
客戶端(雲安全探針)。只有擁有海量的
客戶端,才能對
網際網路上出現的病毒、
木馬、
掛馬網站有最靈敏的感知能力。
瑞星有超過一億的自有
客戶端,如果加上
迅雷、久游等合作夥伴的客戶端,則能夠完全覆蓋國內的所有網民,無論哪個網民中毒、訪問
掛馬網頁,都能在第一時間做出反應。
第二、 需要專業的反病毒技術和經驗。
瑞星擁有將近20年的反病毒技術積累,有數百名工程師組成的研發隊伍,連續獲得國際級技術認證,技術實力穩居世界前列。這些都使
瑞星“雲
安全”系統的技術水平國內首創,國際領先。大量專利技術、
虛擬機、
智慧型主動防禦、大規模並行運算等技術的綜合運用,使得
瑞星的“雲
安全”系統能夠及時處理海量的上報信息,將處理結果共享給“雲
安全”系統的每個成員。
第三、 需要大量的資金和技術投入。
瑞星“雲安全”系統單單在
伺服器、頻寬等硬體上的投入已經超過1億元,而相應的頂尖技術團隊、未來數年持續的研究花費將數倍於硬體投資,這樣的投入規模是非專業廠商無法做到的。
第四、 必須是開放的系統,而且需要大量合作夥伴的加入。瑞星“雲
安全”是個開放性的系統,其“
探針”與所有軟體完全兼容,即使用戶使用其他
防毒軟體,也可以安裝
瑞星卡卡助手等帶有“探針”功能的軟體,享受“雲安全”系統帶來的成果。而久游、
迅雷等數百家重量級廠商的加入,也大大加強了“雲
安全”系統的覆蓋能力。
新增功能
木馬下載攔截
基於業界領先的反木馬技術,攔截中毒
電腦通過
網路下載更多的病毒和盜號木馬,截斷木馬進入用戶電腦的通道,有效遏制“木馬群”等惡性木馬病毒的泛濫。
木馬判斷攔截
自動線上診斷
瑞星“雲
安全”(CloudSecurity)計畫的核心功能。自動檢測並提取
電腦中的可疑
木馬樣本,並上傳到瑞星“木馬/惡意軟體自動分析系統”(RsAutomatedMalwareAnalyzer,簡稱RsAMA),隨後RsAMA將把分析結果反饋給用戶,查殺木馬病毒,並通過“
瑞星安全資料庫”(RisingSecurityDatabase,簡稱RsSD),分享給其他所有“瑞星卡卡6.0”用戶。
增強功能
漏洞掃描
套用全新開發的漏洞掃描
引擎,智慧型檢測Windows
系統漏洞、第三方
套用軟體漏洞和相關
安全設定,並幫助用戶修復。用戶也可以根據設定,實現上述漏洞的自動修復,簡化了用戶的操作,同時更加及時的幫助用戶在第一時間彌補
安全隱患。
強力修復
進啟管理
高級工具集
七大監控
卡卡上網安全助手6.0,具有自動線上診斷、
隨身碟病毒免疫、自動修復系統漏洞、
木馬行為判斷與攔截、不良網站防護、IE防漏牆和木馬下載攔截7大監控體系。全面開啟保護用戶
電腦安全。
安全示例
明朝萬達
Chinasec(安元)桌面雲數據安全解決方案有效解決信息在虛擬化環境中的存儲、傳輸和使用過程中的安全風險。
♦ 通過桌面虛擬鏡像數據加密功能,解決雲端數據集中存儲帶來的管理員優先訪問權與虛擬機逃逸帶來的隱患,防止桌面雲使用者的私有數據泄密。
♦結合PKI技術的雙因子云終端身份認證,避免雲終端身份冒認使用風險,提升遠程使用雲終端的安全性。
♦ 以雲終端為識別依據的安全域劃分,取締傳統PC終端依賴物理連線埠劃分虛擬安全域的機制,符合雲終端跨區域使用的特性,加強雲終端之間數據傳輸安全管控。
♦數據動態邊界自動加密功能實現雲中部門間數據可控互動,防止雲終端數據通過郵件、網頁或即時通訊工具等造成的泄密。
方案特點
♦通過加密手段將統一存儲的風險進行分攤。對用戶虛擬磁碟空間或者後台真實數據存儲空間進行加密,實現對非授權用戶在訪問磁碟空間和管理員非法訪問虛擬機存儲空間的管控。
♦針對桌面雲瘦終端的數據安全,完全杜絕外發途徑,能夠有效的管控終端用戶使用郵件、即時聊天工具等網路傳播途徑,避免數據泄露。同時還能審計終端用戶的外發數據,能做到事後溯源查詢。
♦
Chinasec從網路層進行的傳輸控制,針對網卡封裝的數據包進行加密,使得同組內具有相同秘鑰的雲桌面可以進行透明解密。通過該方式可以實現桌面雲環境下的虛擬終端隔離,通過軟體方式實現虛擬安全域的劃分。
♦在統一的平台上可支持對普通PC終端、雲桌面及虛擬化終端、移動智慧型終端和物聯網終端等多種終端網路的協同管理,可以有效應對企業IT架構的快速變革與延伸,構建全IT架構協同聯動的數據安全體系。
ESET NOD32
來自於
斯洛伐克的ESET NOD32早在2006年,就在其高級
啟發式引擎中採用了該項技術,稱之為ThreatSense預警系統,並申請了專利。用戶計算機作為ESET 雲中的一個節點,ESET可以通過ThreatSense預警系統了解用戶安裝使用軟體的情況。當
防毒引擎發現某個軟體非常可疑,但又不足以認定它是病毒時,ThreatSense就會收集軟體的相關信息,並與中心
伺服器交換資料,中心伺服器通過所有收集到的資料便能夠迅速準確的作出反饋。
金山毒霸
金山毒霸“雲
安全”是為了解決
木馬商業化之後的
網際網路嚴峻的安全形勢應運而生的一種全網防禦的安全體系結構。它包括智慧型化
客戶端、集群式
服務端和開放的平台三個層次。“雲
安全”是現有反病毒技術基礎上的強化與補充,最終目的是為了讓
網際網路時代的用戶都能得到更快、更全面的安全保護。
首先穩定高效的
智慧型客戶端,它可以是獨立的
安全產品,也可以作為與其他產品集成的安全組件,比如金山毒霸2012和
百度安全中心等,它為整個雲安全體系提供了樣本收集與威脅處理的基礎功能;金山在2010年推出的金山毒霸2011,一改之前臃腫的軟體體積,大大減少了資源占用,使用戶體驗得到飛躍。
最後,雲
安全以一個開放性的
安全服務平台作為基礎,它為第三方安全合作夥伴提供了與
病毒對抗的平台支持。金山毒霸雲
安全既為第三方安全合作夥伴用戶提供
安全服務,又靠和第三方安全合作夥伴合作來建立全網防禦體系。使得每個用戶都參與到全網防禦體系中來,遇到病毒也將不再是孤軍奮戰。
1.可支撐海量樣本存儲及計算的水銀平台
3.爬蟲系統
趨勢科技
1.Web信譽服務
藉助全球最大的域信譽資料庫之一,
趨勢科技的Web信譽服務按照
惡意軟體行為分析所發現的網站頁面、歷史位置變化和可疑活動跡象等因素來指定信譽分數,從而追蹤網頁的可信度。然後將通過該技術繼續掃描網站並防止用戶訪問被感染的網站。為了提高準確性、降低誤報率,
趨勢科技Web信譽服務為網站的特定網頁或連結指定了信譽分值,而不是對整個網站進行分類或攔截,因為通常合法網站只有一部分受到攻擊,而信譽可以隨時間而不斷變化。
通過信譽分值的比對,就可以知道某個網站潛在的風險級別。當用戶訪問具有潛在風險的網站時,就可以及時獲得系統提醒或阻止,從而幫助用戶快速地確認目標網站的
安全性。通過Web信譽服務,可以防範惡意程式源頭。由於對零日
攻擊的防範是基於網站的可信程度而不是真正的內容,因此能有效預防
惡意軟體的初始下載,用戶進入
網路前就能夠獲得防護能力。
2.電子郵件信譽服務
趨勢科技的
電子郵件信譽服務按照已知
垃圾郵件來源的信譽資料庫檢查IP位址,同時利用可以實時評估電子郵件傳送者信譽的動態服務對IP位址進行驗證。信譽評分通過對IP位址的“行為”、“活動範圍”以及以前的歷史進行不斷的分析而加以細化。按照傳送者的IP位址,惡意
電子郵件在雲中即被攔截,從而防止殭屍或
殭屍網路等web威脅到達網路或用戶的計算機。
3.檔案信譽服務
趨勢科技雲
安全將包括檔案信譽服務技術,它可以檢查位於端點、
伺服器或
網關處的每個檔案的信譽。檢查的依據包括已知的良性檔案清單和已知的惡性檔案清單,即所謂的
防病毒特徵碼。高性能的
內容分發網路和本地緩衝
伺服器將確保在檢查過程中使延遲時間降到最低。由於惡意信息被保存在雲中,因此可以立即到達
網路中的所有用戶。而且,和占用端點空間的傳統
防病毒特徵碼檔案下載相比,這種方法降低了端點記憶體和系統消耗。
4.行為關聯分析技術
趨勢科技雲
安全利用行為分析的“相關性技術”把威脅活動綜合聯繫起來,確定其是否屬於惡意行為。Web威脅的單一活動似乎沒有什麼害處,但是如果同時進行多項活動,那么就可能會導致惡意結果。因此需要按照
啟發式觀點來判斷是否實際存在威脅,可以檢查潛在威脅不同組件之間的相互關係。通過把威脅的不同部分關聯起來並不斷更新其威脅資料庫,使得
趨勢科技獲得了突出的優勢,即能夠實時做出回響,針對
電子郵件和Web威脅提供及時、自動的保護。
5.自動反饋機制
趨勢科技雲
安全的另一個重要組件就是自動反饋機制,以雙向更新流方式在趨勢科技的產品及公司的全天候威脅研究中心和技術之間實現不間斷通信。通過檢查單個客戶的路由信譽來確定各種新型威脅,
趨勢科技廣泛的全球自動反饋機制的功能很像很多社區採用的“鄰里監督”方式,實現實時探測和及時的“共同智慧型”保護,將有助於確立全面的最新威脅指數。單個客戶常規信譽檢查發現的每種新威脅都會自動更新
趨勢科技位於全球各地的所有威脅資料庫,防止以後的客戶遇到已經發現的威脅。
6.威脅信息匯總
來自美國、菲律賓、
日本、法國、
德國和中國等地研究人員的研究將補充
趨勢科技的反饋和提交內容。在
趨勢科技防病毒研發暨
技術支持中心TrendLabs,各種語言的員工將提供實時回響,24/7的全天候威脅監控和攻擊防禦,以
探測、預防並清除攻擊。
趨勢科技綜合套用各種技術和
數據收集方式——包括“蜜罐”、
網路爬行器、客戶和合作夥伴內容提交、反饋迴路以及TrendLabs威脅研究——
趨勢科技能夠獲得關於最新威脅的各種情報。通過趨勢科技雲
安全中的
惡意軟體資料庫以及TrendLabs研究、服務和支持中心對威脅數據進行分析。
卡巴斯基
卡巴斯基的全功能
安全防護旨在為
網際網路信息搭建一個無縫透明的安全體系:
2.在強大的
後台技術分析能力和線上透明互動模式的支持下,
卡巴斯基全功能安全軟體2009可以在用戶“知情並同意(Awareness&Approval)”的情況下線上收集、分析(OnlineRealtimeCollecting&Analysing)用戶計算機中可疑的病毒和
木馬等惡意程式樣本,並且通過平均每小時更新1次的全球反病毒資料庫進行用戶分發(InstantSolutionDistribution)。從而實現病毒及
木馬等惡意程式的線上收集、即時分析及解決方案線上分發的“卡巴斯基
安全網路”,即“雲安全”技術。
卡巴斯基全功能
安全軟體2009通過“卡巴斯基
安全網路”,將“雲安全”技術透明地套用於廣大計算機用戶,使得全球的卡巴斯基用戶組成了一個具有超高智慧型的安全防禦網,能夠在第一時間對新的威脅產生免疫力,杜絕安全威脅的侵害。"卡巴斯基安全網路"經過了卡巴斯基實驗室長期的研發和測試,具有極高的穩定性和成熟度。因此,才能夠率先在全功能
安全軟體2009正式版的產品中直接為用戶提供服務。
3.通過扁平化的服務體系實現用戶與技術後台的零距離對接。
卡巴斯基擁有全球領先的惡意程式樣本中心及惡意程式分析平台,每小時更新的反病毒資料庫能夠保障用戶計算機的
安全防禦能力與技術後台的零距離對接。在
卡巴斯基的全功能
安全的防禦體系中,所有用戶都是
網際網路安全的主動參與者和安全技術革新的即時受惠者。
雲安全掃描器
奇點掃描器
奇點雲安全綜合漏洞探測系統是全球首款基於
APT入侵檢測模式的深度安全評估系統,致力於web2.0下的套用安全測試和網站安全漏洞的綜合掃描分析,它高效準確的安全掃描策略,能讓使用者輕鬆發現漏洞威脅,為安全管理人員也提供了詳細專業的漏洞掃描報表。web伺服器綜合漏洞檢測服務覆蓋了CVE、packetstorm、OWASP、WebAppSec及國內外安全社區等國際權威安全組織定義的幾乎所有應用程式漏洞,可以適用於國外的伺服器漏洞檢測。
發現WEB套用伺服器安全漏洞;
發現網站安全漏洞;
可支持海外VPN入侵檢測伺服器,能夠解決國外或禁止網站無法掃描的問題;
支持常規的檢測漏洞模型和智慧型滲透檢測模型
支持簡單模式(單個域名)批量模式(多個域名),快速掃描,深度掃描4種模式;
專業,清晰,準確的可視化的報表;
支持超過500種檢測策略,數十種邏輯滲透入侵檢測行為,能夠準確掃描網站存在的漏洞。
支持智慧型滲透檢測模型,包括0day更新檢測,漏洞組合, Google hacking爬蟲等漏洞檢測
超強的漏洞分析能力
獨創的雙通道智慧型檢測模型,不僅支持常規漏洞的檢測,而且有智慧型滲透檢測模型。
首款單獨針對國內外常見郵件系統、論壇、部落格、web編輯器的專業檢測模型。
支持cookies 登入狀態深入檢測功能
集成了JavaScript智慧型解析引擎,對惡意代碼,
DOM類型的跨站腳本漏洞和任意頁面的跳轉漏洞檢測更加準確。
簡單的操作步驟,專業的可訂製的擴展選項,能夠輕鬆的完成高質量的入侵安全檢測
McAfee
McAfee旗下AvertLabs的研究人員表示,該系統能夠縮短收集、檢測
惡意軟體的時間,及配置整個解決方案的時間。
隨著
安全系統的發展,這一時間已經從以往的幾天減少到數小時,又下降到"數毫秒"。
AvertLabs
安全研究及通信主管DaveMarcus表示:"Artemis
系統管理一個視窗,企業用戶的所有活動都在該視窗中進行,而該視窗將會持續分析有無
惡意軟體。Artemis的目的是為了使所用時間最小化。"
傳統
安全系統使用威脅簽名資料庫來管理
惡意軟體信息,而作為一款雲計算服務,Artemis可以在簽名檔案尚未發布之前就對威脅作出反應。
Marcus表示,AvertLabs研究人員每周會發現上萬個新的簽名檔案。如果用戶
電腦裝有Artemis系統,那么一旦電腦被檢測到存在
可疑檔案,那么會立刻與McAfee
伺服器聯繫,以確定可疑檔案是否是惡意的。通過這一方式,McAfee還能利用所收集的數據為企業提供定製的
安全解決方案。
專家表示,Artemis能夠提供實時的
安全保護。而在傳統的基於簽名的
安全系統中,發現安全威脅和採取保護措施之間往往存在時間延遲。
IDC
安全產品研究主管CharlesKolodgy表示:“傳統的基於簽名的
惡意軟體檢測方式存在不足。隨著用戶行為的改變,
安全威脅也在改變,
惡意軟體檢測技術總體上來看沒有保持同步發展。”
瑞星白皮書
由於此過程全部通過
網際網路並經程式自動控制,可以在最大程度上提高用戶對
木馬和病毒的防範能力。理想狀態下,從一個盜號
木馬從攻擊某台
電腦,到整個“雲
安全”(CloudSecurity)
網路對其擁有免疫、查殺能力,僅需幾秒的時間。
“雲安全”(CloudSecurity)計畫:
瑞星如何每天處理10萬個新
木馬病毒
瑞星如何分析、處理每天收到的8-10萬個新
木馬病毒樣本的呢?光憑人力肯定是無法解決這個問題,“雲
安全”(CloudSecurity)計畫的核心是瑞星“木馬/惡意軟體自動分析系統”(RsAutomatedMalwareAnalyzer,簡稱RsAMA),該系統能夠對大量病毒樣本進行動分類與共性特徵分析。藉助該系統,能讓病毒分析工程師的處理效率成倍提高。
雖然每天收集到的
木馬病毒樣本有8~10萬個,但是
瑞星的自動分析系統能夠根據木馬病毒的變種群自動進行分類,並利用“變種病毒家族特徵提取技術”分別將每個變種群的特徵進行提取。這樣,對數萬個新
木馬病毒進行自動分析處理後,真正需要真正人工分析的新木馬病毒樣本只有數百個。
江民科技
以雲方式構建的大規模特徵庫並不足以應對
安全威脅的迅速增長,國內外防毒廠商還需要在核心防毒技術上下足功夫,例如
虛擬機、
啟發式、
沙盒、
智慧型主動防禦等
未知病毒防範技術都需要加強和發展,多數
防毒軟體本身的自我保護能力也需要加強。病毒增長的再快,只是量的變化,而現實當中,造成巨大損失的,卻往往是極少數套用了新病毒技術的
惡性病毒,。
“雲
安全”必然要建立在“核心級自我保護”“
沙盒”“
虛擬機”等核心技術的基礎上才能顯出威力,沒有這些核心技術,
防毒軟體在病毒面前就可能會出現“有心無力”的尷尬,現實中許多防毒軟體掃描發現了病毒,卻無力清除,甚至反被病毒關閉的現象比比皆是。這也是為什麼江民在推出
KV2009時,首先強調的是“
沙盒”“核心級自我保護”“
智慧型主動防禦”“
虛擬機”等核心技術,而把“雲
安全”防毒系統排在後面的原因。防毒和其它行業一樣,首先是基礎要足夠強大,基礎不紮實,樓建的再高也不牢靠。
“
沙盒”是一種更深層的系統核心級技術,與“
虛擬機”無論在技術原理還是在表現形式上都不盡相同,“沙盒”會接管病毒調用接口或函式的行為,並會在確認為病毒行為後實行回滾機制,讓系統復原,而“虛擬機”並不具備回滾復原機制,在激發病毒後,虛擬機會根據病毒的行為特徵判斷為是某一類病毒,並調用引擎對該病毒進行清除,兩者之間有著本質的區別。事實上,在對付新
病毒入侵時,套用了“
沙盒”的
KV2009已經開始發揮了強大的效力。有用戶在關閉
江民KV2009防毒軟體各種
實時監控,僅開啟了“帶
沙盒技術的
主動防禦”模式,結果運行“
掃蕩波”新病毒後,病毒的所有行為被攔截並抹除,沒有機會在系統中留下任何痕跡。
目前反病毒面臨的最主要問題是驅動型病毒對
防毒軟體的技術挑戰。因此,反病毒的首要任務是進一步提升反病毒核心技術,在確保反病毒技術的前提下,充分藉助“雲
安全”防毒系統的快迅回響機制,打造“雲安全”加“
沙盒”的雙重安全保障體系。
雲安全的問題
雲端問題
雲計算安全七宗罪雲安全聯盟與惠普公司共同列出了雲計算的七宗罪,主要是基於對29家企業、技術供應商和諮詢公司的調查結果而得出的結論。
1. 數據丟失/泄漏:
雲計算中對數據的
安全控制力度並不是十分理想,API訪問許可權控制以及密鑰生成、存儲和管理方面的不足都可能造成數據泄漏,並且還可能缺乏必要的
數據銷毀政策。
2. 共享技術漏洞:在
雲計算中,簡單的錯誤配置都可能造成嚴重影響,因為雲計算環境中的很多虛擬
伺服器共享著相同的配置,因此必須為
網路和
伺服器配置執行服務水平協定(SLA)以確保及時安裝修復程式以及實施最佳做法。
3. 內奸:雲計算服務供應商對工作人員的背景調查力度可能與企業數據訪問許可權的控制力度有所不同,很多供應商在這方面做得還不錯,但並不夠,企業需要對供應商進行評估並提出如何篩選員工的方案。
4. 帳戶、服務和通信劫持:很多數據、應用程式和資源都集中在
雲計算中,而雲計算的
身份驗證機制如果很薄弱的話,入侵者就可以輕鬆獲取用戶帳號並登入客戶的
虛擬機,因此建議主動監控這種威脅,並採用雙因素身份驗證機制。
5.不
安全的
應用程式接口:在開發應用程式方面,企業必須將
雲計算看作是新的平台,而不是外包。在應用程式的生命周期中,必須部署嚴格的審核過程,開發者可以運用某些準則來處理身份驗證、訪問許可權控制和加密。 6. 沒有正確運用
雲計算:在運用技術方面,黑客可能比技術人員進步更快,黑客通常能夠迅速部署新的攻擊技術在雲計算中自由穿行。
7.未知的風險:透明度問題一直困擾著雲服務供應商,帳戶用戶僅使用前端界面,他們不知道他們的供應商使用的是哪種平台或者修復水平。
客戶端問題
對於客戶來說,雲
安全有
網路方面的擔憂。有一些反病毒軟體在斷網之後,性能大大下降。而實際套用當中也不乏這樣的情況。由於病毒破壞,
網路環境等因素,在網路上一旦出現問題,
雲技術就反而成了累贅,幫了倒忙。
解決方式
一種“
混合雲”技術,將公有雲與
私有雲相結合,既發揮了公有雲
用戶量大的優勢,又保留了本地的數據能力,結合了傳統與新技術的優勢,解決了不少套用問題。
企業雲安全解決方案
1.內部私有雲,奠定你的雲計算基礎
提升雲安全的第一個方法:了解自己。企業需要對現有的內部私有雲環境,以及企業為此雲環境所構建的安全系統和程式有深刻的理解,並從中汲取經驗。不要辯解說你的企業並沒有建立私有雲,事實上,不知不覺中,企業已經建立了內部雲環境。在過去十年中,大中型企業都在設定雲環境,雖然他們將其稱之為"共享服務"而不是"雲".這些"共享服務"包括驗證服務、配置服務、資料庫服務、企業數據中心等,這些服務一般都以相對標準化的硬體和作業系統平台為基礎。
2.風險評估,商業安全的重要保障
提升雲安全的第二種方法:對各種需要IT支持的業務流程進行風險性和重要性的評估。你可能很容易計算出採用雲環境所節約的成本,但是"風險/收益比"也同樣不可忽視,你必須首先了解這個比例關係中的風險因素。雲服務供應商無法為企業完成風險分析,因為這完全取決於業務流程所在的商業環境。對於成本較高的服務水平協定(SLA)套用,雲計算無疑是首選方案。作為風險評估的一部分,我們還應考慮到潛在的監管影響,因為監管機構禁止某些數據和服務出現在企業、州或國家之外的地區。
3.不同雲模型,精準支持不同業務
提升雲安全的第三種方法:企業應了解不同的雲模式(公共雲、私有雲與混合雲)以及不同的雲類型(SaaS,PaaS,IaaS),因為它們之間的區別將對安全控制和安全責任產生直接影響。根據自身組織環境以及業務風險狀況(見上第2條的分析),所有企業都應具備針對雲的相應觀點或策略。
4.SOA體系結構,雲環境的早期體驗
提升雲安全的第四個方法:將SOA(面向服務的架構)設計和安全原則套用於雲環境。多數企業在幾年前就已將SOA原則運用於套用開發流程。其實,雲環境不就是SOA的大規模擴展嗎?面向服務的架構的下一個邏輯發展階段就是雲環境。企業可將SOA高度分散的安全執行原則與集中式安全政策管理和決策制定相結合,並直接運用於雲環境。在將重心由SOA轉向雲環境時,企業無需重新制定這些安全策略,只需將原有策略轉移到雲環境即可。
5.雙重角色轉換,填補雲計算生態鏈
提升雲安全的第五個方法:從雲服務供應商的角度考慮問題。多數企業剛開始都會把自己看作雲服務用戶,但是不要忘記,你的企業組織也是價值鏈的組成部分,你也需要向客戶和合作夥伴提供服務。如果你能夠實現風險與收益的平衡,從而實現雲服務的利益最大化,那么你也可以遵循這種思路,適應自己在這個生態系統中的雲服務供應商的角色。這樣做也能夠幫助企業更好地了解雲服務供應商的工作流程。
6.網路安全標準,設定自身"防火牆"
提升雲安全的第六個方法:熟悉企業自身,並啟用網路安全標準-長期以來,網路安全產業一直致力於實現跨域系統的安全和高效管理,已經制定了多項行之有效的安全標準,並已將其用於、或即將用於保障雲服務的安全。為了在雲環境世界裡高效工作,企業必須採用這些標準,它們包括:SAML(安全斷言標記語言),SPML(服務配置標記語言),XACML(可擴展訪問控制標記語言)和WS-Security(網路服務安全)。