网络已经深深的改变了我们的日常生活、工作和学对方式.而网络技术在给我们带来便利、快捷的同时,病毒、木马程序也影响着我们汁算机及用户数据信息的安全。如何在网络技术发展的同时,更好地保护我们的数据安全,成了一个挥之不去的谈论热点。回顾2008年网络上新出现的“云安全”,它给我们带来了一种保护信息的全新的思路和理念。
1 电脑用户的痛苦和安全厂商的困境
自从1988年莫里斯蠕虫病毒出现直到2004年,全球截获的电脑病毒总数有10万个;国内最大的安全公司瑞星最新公布的数据.目前每天截获的新病毒数量就高达8-10万个,仅2008年上半年瑞星全球反病毒监测网就发现了近156万个病毒,其中大部分是木马病毒。
电子邮件带毒、即时通信工具带毒、网上下载的电影和MP3带毒、网页上被植入木马,...可以说,只要电脑接入互联网,就会立刻面临木马病毒的包围,但是,电脑用户不是专业安全人士,在感染了木马病毒后,大部分的用户根本没有感觉,也不懂得如何通过检查注册表、可疑进程等信息进行分析并上报。一个普通的病毒分析工程师.每天最多能分析20个左右新病毒,面对成几何级数爆炸增长的新木马病毒,反病毒公司何以承担如此严峻的任务?如果依然沿袭以往的反病毒模式,安全厂商将被淹没在木马病毒的汪洋大海中。
安全厂商面l临着三大难题:一是如何快速地截获大部分木马病毒,二是如何分析处理海量的木马病毒,三是如何把木马病毒解决方案推送到每个客户端。
2 云计算及云安全
“云计算”无疑是2008年IT业最火热的词汇之一.尤其引入瞩目的是作为全球IT业的巨头IBM、微软、Google等IT厂商已经朝着“云计算”迈出了第—步。已经有越来越多的人开始认同这一发展趋势,与此同时。随着“云计算”概念的热炒,很短时间出现了无数厂商跟风般推出自己的所谓“云计算”概念。就如|司在soA概念初始时。很多厂商就提出自己的SOA理念,甚至还有些厂商推出什么BOA概念。说要超越S0A等等,随着时间的推移,那些非主流的概念则慢慢被世人遗忘了。
而如今,安全领域也出现一个类似“云计算”的新名词“云安全“。那么这个概念到底和“云计算”有哪些区别呢?
我们进行一下简单的对比分析: “云计算”其概念可以总结为分布处理、并行处理以及网格计算的发展,并发、分布是“云汁算”的关键,“云安全”,顾名思义,就是借助“云汁算”的理念应用在安全领域,是网络时代信息安全的最新体现。它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对阿络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息。推送到server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。根据某家推出此概念的安全厂商的解释,将用户和杀毒厂商技术平台通过互联网紧密相连,组成—个庞大的木马,恶意软件监测、查杀纠络。每个用户都为“云安全”计划贡献—份力量,同时分享其他所有用户的安全成果。
“云安全”用一句活描述为:互联网就是一个巨大的“杀毒软件”,参与者越多,每个参与者就越安全,整个互联网就会更安全。全民防御,绝杀木马。
为什么要推行“云安全”呢?我们不妨先来做一个对比20年前,一年大概只能找到1000种病毒.每隔几天更新一次用户的病毒库就可以保障用户的安全。但当现在每天新增2万多种瘸毒的时候,安全厂商即使不间断地在线更新用户端的病毒库,也不能做到100%的安全。
事实上,病毒变得越来越以赚钱为目的,被赋予了很高的经济价值根据相关机构的统计,这个黑色产业链的产值。每年能够创造了70-80亿元人民币的产值,正是病毒变成了一种商品,使其在网络上泛滥。几乎每天都有2万多种新的病毒和木马变种。
面对海量的病毒样本,目前的杀毒厂商如果只有强劲的病毒分析系统远远不够,如何妥善地存储病毒样本,并对其进行处理是必须解决的问题,这就需要—个强大的分布式存储及计算平台来为其提供保障。当“云安全”时代来临时,安全领域过去20年来搭建的产业链和商业模式则面临改写。
3 “云安全”对用户的三大好处
(1)病毒查杀能力的全面提升。“云安全”技术的全面应用,推动安全厂商在病毒样本收集、病毒处理能力以及紧急病毒影响速度方面大幅度提升。
(2)反病毒效率极大提升。云安全不仅提高了与病毒对抗的效率,而且极大地缩短了样本收集的时间,缩短了样本分析处理以及病毒数据升级的时间。
(3)智能化,更加完善的用户体验如金山在新版本的网镖当中新增加了可信认证智能判断功能,智能帮助用户作出正确安全决策,有效减少了用户使用网镖时的困扰,用户仿佛置身于看不见的“云安全”的保护伞下,让防火墙的使用更显简单实用。
4 “云安全”对用户的实施难点
(1)如何有效截获新木马病毒。就像警察抓小偷,一个有经验的老警察会在商场、公交车站等地方发现猎物,同时能在人群中准确的发现可疑的人。因此这对安全公司的反病毒技术积累,反病毒经验,都是很大的挑战。
(2)如何快速、有效的分析处理新木马样本。采用人海战术进行逐一分析是肯定不可能的,必须采取自动处理、批量处理的方式,寻找新木马病毒和老病毒以及某一类病毒的共同特征,这同样是考验安全公司的技术积累,包括虚拟机脱壳、人工智能、行为判断等各种核心技术。
(3)拥有数量众多的用户群和强大的财力。据了解,瑞星“木马、恶意软件自动分析系统”(RSAMA)光是服务器就有上百台,为了保障和海量用户随时的通信,预计为了保障“云安全”计划实施,每年付出的服务器托管和贷款费用高达上千万。
5 目前国内安全厂商的产品
(1)瑞星推行的“云安全”(Cloud Security)计划,其内容是:将用户和瑞星技术平台通过互联网紧密相连,组成一个庞大的木马/恶意软件监测、查杀网络,每个“瑞星卡卡6.0”用户都为“云安全”(Cloud Security)计划贡献一份力量.同时分享其他所有用户的安全成果。“瑞星卡卡6.0”的“自动在线诊断”模块,是“云安全”(cloud security)计划的核心之一,每当用户启动电脑,该模块部会自动检测并提取电脑中的可疑木马样本,并上传到瑞星“木马/恶意软件自动分析系统”(Rs Automted Malware Analyzer,简称RsAMA,整个过程只需要几秒钟,随后RsAMA将把分析结果反馈给用户,查杀木马病毒,并通过“瑞星安全资料库”(Rising Security DatabaSe,简称RsSD),分享给其他所有“瑞星卡卡6.0”用户。
(2)江民科技推出的KV2009,首先强调的是“沙盒”“内核级自我保护”“智能主动防御”“虚拟机”等核心技术。“沙盒”会接管病毒调用接口或函数的行为,并会在确认为病毒行为后实行回滚机制,让系统复原;而“虚拟机”并不具备叫滚复原机制,在激发病毒后,虚拟机会根据病毒的行为特征判断为是某一类病毒,并调用引擎对该病毒进行清除,如有用户在关闭江民KV2009杀毒软件各种实时监控,仅开启了“带沙盒技术的主动防御”模式,结果运行“扫荡波”新病毒后,病毒的所有行为被拦截并抹除,没有机会在系统中留下任何痕迹。
(3)金山毒霸“云安全”。以分布式存储及计算平台为基础,结合业界领先的行为分析技术,每天对上百万未知文件样本进行自动分析、处理并实时将处理结果更新至可信认证服务,为客户端提供及时、准确的服务。包括:水银平台、互联网可信认证服务和爬虫系统三大核心技术。
(4)趋势科技云安全。核心在于超越了拦截web威胁的传统方法,转而借助威胁信息汇总的全球网络.该网络采用了趋势科技的云安全技术。在web威胁至网络或计算机之前即可对其予以拦截通过推出在云中的快速实时安全状态“检测”,趋势科技降低了对端点上下载传统特征码文件的依赖性,同时减少了与在公司范围内部署特征码有关的成本和管理费用。趋势科技已将云安全技术架构融入公司全线产品中:网关安全设备IWSA、客户端产品OfficeScan中小企业产品Worry Free5.0以及个人消费类产品网络安全专家(TIS)等,
(5)卡巴斯基的全功能安全防护,旨在为互联M信息搭建一个无缝透明的安全体系,针对互联网环境中类型多样的信息安全威胁,卡巴斯基实验室以反恶意程序引擎为核心,以技术集成为基础,实现了信息安全软件的功能平台化。同时在强大的后台技术分析能力和在线透明交互模式的支持下,卡巴斯基全功能安全软件2009可以在用户“知情并同意(Awarenesss&Approval)”的情况下在线收集、分析(onlinc Realtime collecting&Analysing)用户汁算机中可疑的病毒和木马等恶意程序样本,并且通过平均每小时更新1次的全球反病毒数据库进行用户分发(Instant Solution Distribution)。从而实现病毒及木马等恶意程序的在线收集、即时分析及解决方案在线分发的“卡巴斯基安全网络”,即“云安全”技术。
(6)迈克菲公司在今年9月份推出了突破性的MCAfee Anemis技术,该技术将重新定义计算机如何抵御病毒、蠕虫、特洛伊木马以及其他恶意程序,从而大幅提升计算机的安全水平。Anemis是业内首个能够在攻击发生时提供即时保护的技术,无需在计算机上安装威胁特征码,更无需对这些特征码进行传统意义上的定期更新。客户无需支付额外费用,就可以获得更敏捷更强大的防护。
6 小结
随着“云安全”技术的深入发展,可以预见,未来的防毒软件只是—个半成品.将软件卖给用户之外,防毒厂商还需要通过不断更新病毒库和技术.保证软件的正常运行。因此未来防毒软件也仅仅是服务模式的一种而已。相信随着更多用户的加入。以及云安全技术的发展,云安全的“云”将会越来越庞大。让更多的人享受到“云安全”的庇护,真正实现web世界不再有第二个受害者。