web威胁猖獗,传统防护方法远远不够
Web 2.0的普及以及不断发展的可利用应用漏洞、无界限网络以及移动工作大军使得Web威胁愈演愈烈。
趋势科技的研究、服务和支持中心全球网络TrendLabs的发现证实了上述观察结果。从2005年到2008年头两个季度为止,TrendLabs报告Web威胁增长了1,731%。TrendLabs预测,如果威胁数量继续以现在的速度增长,那么2015年将会出现2.33亿种独特威胁。每个小时端点系统需要探测超过26,598种新型威胁。这些数字充分表明,跟踪每日威胁发生率然后发布及时安全更新的传统方法已经远远不够。
图
基于特征码的解决方案——传统方式已经过时
传统的恶件保护涉及的工作包括收集恶件样本、开发特征码然后迅速把这些特征码发布给用户。因为很多网络威胁都是针对性的联合攻击,因此收集样本几乎不可能。而且,日益发展的大量变种都使用传递工具(例如垃圾邮件、即时讯息和网络威胁等),使得标准样本收集、特征码创建以及部署不再能充分发挥效用。
病毒和不断发展的网络威胁之间的根本差异也对传统的病毒探测流程带来了挑战。起初病毒的设计是为了尽可能快速地进行传播,因此很容易找到。随着网络威胁的涌现,恶件已经从爆发模式发展到隐蔽的“睡眠式”感染,从而让传统的保护技术更加难以探测。
全新方式——趋势科技Secure Cloud云安全网络防护解决方案
图
由于传统的安全解决方案不再能针对日益发展的Web威胁提供充分保护,因此用户需要一种全新的方式。趋势科技Secure Cloud云安全网络防护解决方案就是这样一种应运而生的方式。
趋势科技Secure Cloud云安全网络防护解决方案是一种下一代云-客户端内容安全基础设施,和传统方式相比,它可以在最新威胁到达用户计算机或公司网络之前对其予以拦截,从而让安全变得更加智能。
这项技术架构的核心在于超越了拦截Web威胁的传统方法,以Web信誉服务(WRS)、邮件信誉服务(ERS)和文件信誉服务(FRS)为基础构建的云客户端安全架构,通过把大多数特征码文件保存到互联网云数据库中并令其在端点处保持最低数量,趋势科技得以在Web威胁到达最终用户或公司网络之前即可对其予以拦截。这种全新的方法降低了客户网络和端点的带宽消耗,提供了更快且更全面的及时保护。趋势科技云安全充分利用了公司诞生20年来的各种内部产品以及曾有效保护了数百万客户的托管解决方案,把反病毒战争纳入到互联网云中。
目前,趋势科技“云安全(SecureCloud)”的品质:
全球5个数据中心,几万部在线服务器
99.9999%+ 运行保障
平均每天50亿笔点击查询
每天收集分析2.5亿个样本
资料库第一次命中率99%
每天处理超过1.2TB资料
每天阻断800万-1000万次感染
全球超过1000位安全专家
趋势科技Secure Cloud云安全网络防护解决方案包括下列6大杀手锏:
●Web信誉服务
●电子邮件信誉服务
●文件信誉服务
●行为关联分析技术
●自动反馈机制
●威胁信息汇总
图
Web信誉服务
Web信誉服务是趋势科技Secure Cloud云安全网络防护解决方案的关键组成部分,在Web威胁侵害网络或用户的计算机之前对其进行防御。Web信誉服务为网域以及网域内的网页指定相对的信誉分数,按照多种因素进行评分,包括网站网页、历史地址变化以及其它可能揭示可疑行为的因素。然后该技术通过恶件行为分析进行一进步评估,监督网络流量,识别任何来自网域的恶件活动。趋势科技Web信誉服务还执行网站内容爬行和扫描,补充对已知恶意或被感染网络的分析结果。然后按照网域信誉评分封堵对恶意网页的访问。为了减少误报率、提高准确性,趋势科技的Web信誉服务为具体的网页或链接而非整个网站指定信誉,因为有时候合法网站中仅仅只有部分内容遭到攻击。
图
图
电子邮件信誉服务
电子邮件信誉技术是一层额外的保护,可以拦截高达80%的电子邮件威胁,包括含有危险网站链接的电子邮件,防止这些威胁达到网络或用户计算机。按照发送者的IP地址,恶意电子邮件将被拦截在云中,从而防止威胁到达网络或用户的计算机。信誉情况会不断更新,确保在清除被感染的僵尸后恢复良好信誉和合法电子邮件的接收。
文件信誉服务
除了网络和电子邮件信誉服务外,趋势科技Secure Cloud云安全网络防护解决方案还将充分利用文件信誉服务。网络犯罪分子经常把含有恶意内容的单个文件从一个网站移到另一个网站,以避免该文件被发现,从而使得在Web 2.0的世界中文件信誉检查成为安全的一个至关重要的因素。
行为关联分析技术
趋势科技云安全利用行为分析的“相关性技术”把威胁活动综合联系起来,确定其是否属于恶意行为。Web威胁的单一活动似乎没有什么害处,但是如果同时进行多项活动,那么就可能会导致恶意结果。因此需要按照启发式观点来判断是否实际存在威胁,可以检查潜在威胁不同组件之间的相互关系。通过把威胁的不同部分关联起来并不断更新其威胁数据库,使得趋势科技获得了突出的优势,即能够实时做出响应,针对电子邮件和Web威胁提供及时、自动的保护。
自动反馈机制
趋势科技云安全的另一个重要组件就是自动反馈机制,以双向更新流方式在趋势科技的产品及公司的全天候威胁研究中心和技术之间实现不间断通信。通过检查单个客户的路由信誉来确定各种新型威胁,趋势科技广泛的全球自动反馈机制的功能很像现在很多社区采用的“邻里监督”方式,实现实时探测和及时的“共同智能”保护,将有助于确立全面的最新威胁指数。单个客户常规信誉检查发现的每种新威胁都会自动更新趋势科技位于全球各地的所有威胁数据库,防止以后的客户遇到已经发现的威胁。
由于威胁资料将按照通信源的信誉而非具体的通信内容收集,因此不存在延迟的问题,而客户的个人或商业信息的私密性也得到了保护。
威胁信息汇总
来自美国、菲律宾、日本、法国、德国和中国等地研究人员的研究将补充趋势科技的反馈和提交内容。在趋势科技防病毒研发暨技术支持中心TrendLabs,各种语言的员工将提供实时响应,24/7的全天候威胁监控和攻击防御,以探测、预防并清除攻击。
趋势科技综合应用各种技术和数据收集方式——包括“蜜罐”、网络爬行器、客户和合作伙伴内容提交、反馈回路以及TrendLabs威胁研究——趋势科技能够获得关于最新威胁的各种情报。通过趋势科技云安全中的恶意软件数据库以及TrendLabs研究、服务和支持中心对威胁数据进行分析。
云安全和别的厂商有何不同?
与其他厂商“云安全的”对比
国内有厂商发布的“云安全”计划实际是一个利用终端产品做客户端的恶意程序收集与自动分析系统,它类似于趋势科技的Hosted Discovery服务,只是它不提供服务承诺,是一种免费服务,它与我们SecureCloud相比,有如下特点:
1、仍未突破代码比对传统技术,无法有效解决动态激增的安全威胁;
2、响应速度仍受限于代码制作的流程性问题;
3、无法在威胁到达之前在源端就予以阻止,仍是近身肉搏战;
4、只是代码制作流程的优化。
趋势科技SecureCloud云安全是采用多种方式收集数据信息来动态分析恶意威胁,生成动态的信誉库,并通过行为关联分析技术,建立各种信誉库的关联,当用户访问目标信息时,就可以快速从信誉库中获得安全访问建议,从源端阻止风险的侵入。同时SecureColud提供系统自动反馈机制,让普通用户一方面变成服务的享用者,另一方面又变成服务的贡献者。
趋势科技在信誉服务方面提供的应该讲是最全面的,不仅有Web信誉、邮件信誉和文件信誉服务,同时基于行为进行关联分析,安全子系统与我们的云安全平台具备自我反馈的机制,帮助所有用户阻止最新的安全威胁。
其它安全厂商由于起步较晚,在信誉服务方面尚没有建立完整的体系,仍处于完善体系架构的阶段。
图