云安全是一种基础服务架构

互联网上每天新增的恶意代码和恶意网页严重威胁着用户的上网安全。这些恶意代码,和曾经风靡一时的冲击波等传统病毒相比,变种更多、更新、更快,完全以经济利益为导向,更以网页挂马形式实施大面积传播。

“所以,传统以恶意代码签名为主的防御技术已力有未逮,各大安全厂商都纷纷在安全领域尝试新的思路和技术,在网络安全领域也出现了一个新名词――云安全。但云安全只是一种基础架构,重要的是为用户提供多种实时的安全服务,如防病毒、URL及垃圾邮件过滤等,甚至还可以与软件即服务(SaaS)等商业模式配合,提供给用户更强大的安全防护能力与更多的选择。” 赛门铁克中国区技术支持部首席解决方案顾问林育民说。

信誉服务识别Web攻击

过去,用户只有在访问恶意网站或者恶意电子邮件时才有可能受到感染威胁。而现在,攻击者通过感染合法网站并利用其作为传播介质来攻击企业和个人用户,而且会特别针对用户所信赖的网站,例如社交网站等。

林育民认为,面对不断变化的恶意网站,需要重新思考应对模式。为此,赛门铁克透过用户自愿参与的社群、全球超过200个国家部署的20万个以上的风险监测点,以及全球1.3亿以上的赛门铁克用户不断提交的恶意代码,在云端组成一个完整的资料库,共享网站安全讯息,以Web 2.0的思维实时对抗最新的Web威胁。

记者了解到,当全球任何角落的终端用户在加入赛门铁克信息安全共享社群后,会与云端的服务器保持实时联络。当发现异常行为或病毒等风险后,讯息会被自动提交到云端的服务器群组中,由云计算技术进行集中分析和处理。

借助URL信誉数据库,赛门铁克可以按照恶意软件行为分析所发现的网站页面、历史位置变化和可疑活动迹象等因素来指定信誉分数,从而追踪网页的可信度。然后将通过该技术继续扫描网站并防止用户访问被感染的网站。

林育民说:“为了提供更精确的讯息,赛门铁克不但为网站指定了信誉分值,通过不同的颜色给用户直观的体验,更提供了详细的带毒URL的位置、恶意代码文件名、签名(MD5)及威胁名称。”通过URL信誉分值的比对,用户可以知道某个网站潜在的风险级别。当用户访问具有潜在风险的网站时,就可以及时获得系统提醒或阻止,从而帮助用户快速地确认目标网站的安全性。通过这种URL库的信誉评分机制,可以防范恶意程序源头。由于对零日攻击的防范是基于网站的可信程度而不是真正的内容,因此能有效预防恶意软件的初始下载,用户访问恶意网站前就能够获得防护能力。

文件信誉评等将是趋势

赛门铁克认为单靠传统的黑名单防护技术已经不能满足当前的安全需求。为此,赛门铁克不但采用主动式防御技术以防范各类未知恶意代码,而且还缩短病毒定义库时间以实时防范各类新兴安全威胁,更推出了文件信誉评等云安全服务。

林育民补充说:“赛门铁克自2007年对自愿参与的诺顿用户社群提供文件信誉评等服务后,已收集了超过3亿份不同文件的背景信息。事实上,用户对电脑中的文件,不可能像在Web 2.0网站中对读过的书或购得的商品做出评等。为此,赛门铁克在设计文件信誉评等技术之初,即以对用户不造成干扰的自动化评等技术为主要目标。”透过收集文件的名称与位置、签名(MD5)与第一次出现的时间等背景讯息,结合赛门铁克云端服务的数据库即可计算出该文件的信誉分值。当遇到既有的黑白名单均无法识别的文件时,透过云端取得该文件是否是最近出现的、已有多少终端存在此文件及赛门铁克是否已分析过该文件等背景信息,即可判断是否该拦阻或放行该文件的运行。

记者了解到,赛门铁克的文件信誉评等技术,可与现有的病毒签名、启发式和入侵检测技术互补,来甄别各种新型网络威胁和有针对性的攻击,提供对不断推陈出新的恶意代码更为主动与实时的安全防护。事实上,赛门铁克文件信誉评等技术需要庞大的数据库来做支撑,如果没有多年的技术沉淀和积累,想做到这一点是有难度的。利用以Web 2.0思维出发的文件信誉评等技术可以在当前恶意程序迅猛增长的情况下,有效地降低新型攻击带来的安全风险。

此外,赛门铁克于2008年并购了MessageLabs,结合云安全与软件即服务(SaaS)的商业模式,提供给用户更实时的安全防护与更多的选择。