现在各个杀毒软件厂商都在热炒“云安全”概念,其中炒的最响的是瑞星和趋势。找了趋势和瑞星的相关资料,把大概原理给大家总结下,就当先扔块砖头吧。
第一阵营:趋势科技
趋势科技的“云安全Secure Cloud”主要用于企业级产品当中,强调的是对复合式攻击的拦截和轻客户端策略,最终目的是让威胁在到达用户计算机或公司网络之前就对其予以拦截。
目前的病毒常常包含多个组件,而不是依靠单一的病毒体。对于用户来说,单一的组件可能不具备什么威胁,看似是无害的。但是多个组件组合在一起就形成了一个符合式的攻击。而趋势的云安全正是解决这一问题,在各个组成部分上进行检查,最终判断威胁。
其次,是轻客户端策略。在趋势官方的举例中,提到当用户收到一封含有网络链接的恶意电子邮件时先会在邮件信誉服务数据库中检查其发送源地址,然后会在Web信誉服务数据库中检查邮件中的链接,然后会将网页的组件和重定向网页进行分析,提取IP地址并且添加到交互式威胁数据库中。
可以看出,趋势的云安全可以概括为基于互联网数据库的轻客户端程序,也就是构架一个庞大的黑白名单服务器群,用于客户端的查询。在趋势的云安全概念中,趋势的服务器组成一个大“云”。因此,趋势云安全必须建立在大量服务器基础上。
其实,与趋势云安全相类似的技术已经出现过。比如诺顿网络安全特警2009中的Norton Insight。Norton Insight技术会连接互联网中的服务器,自动对用户计算机上的文件进行识别,标记可信的文件。这样就可以无需扫描已知文件,从而加快扫描的速度。诺顿实际上是将趋势的黑白名单缩减成一个白名单库。
趋势“云安全”存在的缺陷是,无法对已经存在在本地计算机上的未知威胁进行感知。从趋势的“云安全”概念中可以看到,其主要是对外来威胁进行组合、判断、拦截。但一旦有未知病毒或威胁通过其它渠道入侵到用户的计算机当中,趋势是无法对已经在本机的安全威胁有效感知的。
第二阵营:瑞星
瑞星“云安全”官方给出的定义:通过网状的大量客户端对网络中软件行为的异常监测,截获互联网中的木马、恶意程序的最新信息,然后推送到服务器端进行自动分析和处理,然后再把病毒和木马的解决方案分发到每一个客户端。
上面那句话看着比较官方,不过注意看“通过网状的大量客户端对网络中软件行为的异常监测”这句话。可以看出,瑞星的“云安全”和趋势的“云安全”讲述的并不是同一个概念。趋势“云安全”中的“云”是趋势的服务器群,而瑞星的“云”则是大量用户。在瑞星的云安全当中,瑞星的服务器反倒成了一个Client端。
通过各个客户端对用户计算机进行扫描,然后提取可能是病毒的文件上报,经过瑞星的处理后,升级杀毒软件或卡卡再推送给用户。
瑞星的云安全的实质是一个样本收集处理机制。实现瑞星云安全需要有大量的客户端(卡卡6?),才能组成真正意义上的云,另外需要有对病毒的快速分析处理能力。在瑞星云安全里,由于客户端才是云的组成部分,所以不需要架设那么多服务器。
瑞星的云安全特点是能够感知用户计算机上已经存在的未知病毒,思路还是好的,但瑞星是否有能力真正的达到云安全设想的目标,就需要用时间去检验了。
与瑞星云安全类似理念的产品也比较多,比如Eset的ThreatSense.Net、卡巴斯基2009的卡巴斯基网络安全体系以及赛门铁克的Norton Community Watch等等。不过由于这种模式需要大量的客户端,所以相比于趋势而言,瑞星卡巴等还是有一定的优势。
瑞星的云安全也有自己致命的缺陷,它虽然能感知用户计算机上已经存在的未知病毒,但却不具备在未知病毒入侵计算机前对其进行拦截的能力,可以说是“事后诸葛”。
第三阵营:奇虎360
国庆之前,奇虎对外宣布购买了2000台服务器,建成国内最大的云安全计算中心。
奇虎老总周鸿祎称,一家企业没有1000台以上的服务器,就不要妄谈‘云安全’。国内没有真正的“云安全”。
从奇虎的资料中可以看到,奇虎的云安全应该是从“云计算”衍生而来。云计算指的是将用户的一些东西拿到防火墙外面,放在一个共享的“服务器”当中。目前,云计算本身还是一个饱受争议的话题。
搜索了奇虎很多相关资料,都没有发现奇虎云安全到底是什么。只是提到了要大量的服务器和带宽,但并没有说明用这么多服务器和带宽做什么,也并没有看到奇虎有相关的产品推出。
联想到奇虎和瑞星最近的官司,我严重怀疑奇虎的“云安全”只是为了给瑞星搅局的一个炒作。
总结
从上面的分析我们可以看出,趋势和瑞星都提出了“云安全”概念,但两者所指并不是同一个东西。趋势的云安全强调阻止外来威胁,需要大量的服务器(厂商);瑞星的云安全则强调对用户计算机上已经存在的未知威胁进行感知,需要有大量的客户端(用户)。它们代表了两大阵营,许多厂商也都在迅速跟进。但两者目前都存在缺陷,趋势忽略了对本机未知威胁的感知、收集,而瑞星则只能被动防守,不能在未知威胁进入到电脑前进行拦截。
我们到底需要什么样的云安全?个人觉得,将两者应该结合起来,即能对目前通过挂马、优盘等渠道进入计算机的未知威胁进行拦截,也要对通过其它渠道(手段)已经进入到用户计算机中的未知威胁进行感知。
至于奇虎所说的基于“云计算”的云安全,目前还看不出个形状来,也不好妄自评论。是炒作还是新技术,我们拭目以待吧。