目前加入云计算之争的企业不仅仅有IT、互联网巨头,近日各大杀毒软件厂商也纷纷推出云安全产品和服务,这应该是云计算在杀毒领域的真实、有效应用。云安全的代表性厂商有瑞星、趋势科技等。
我们先来看一下某厂商对云安全的解释,云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到服务端进行自动分析和处理,然后再把病毒和木马的解决方案分发到每一个客户端。简单来说,云安全技术应用后,识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库,而是依靠庞大的网络服务,实时进行采集、分析以及处理。整个互联网就是一个巨大的“杀毒软件”,参与者越多,每个参与者就越安全,整个互联网就会更安全。
趋势之云
云安全2.0有哪些改进?云安全给杀毒软件行业的影响?未来杀毒软件将无法处理日益增加的恶意代码,来自互联网的威胁已经从病毒转向了木马和恶意代码,这意味着杀毒软件仅建立本地病毒库样本是完全不够的,这需要通过网络服务,实时进行采集、分析以及处理。整个互联网就是一个巨大的“杀毒软件”,参与者越多,每个参与者就越安全,整个互联网就会更安全。
我们看到云安全已经可以实现“网关——终端”这部分的病毒防御,守住网关就意味着守住来自互联网70%-80%的威胁,但同时仍然有20%的威胁是通过其他途径进入企业网络,其中就包括终端。另外,因为终端面对的网络是企业的员工,而企业员工安全意识的良莠不齐和安全管理的不完善,导致企业的网络安全仍然处于威胁之中。
因此,解决终端网络环境的安全问题变得极为重要。云安全2.0就是为了实现终端安全防御,其文件信誉技术依托庞大的云端威胁数据库,用户在访问文件前查询该文件的信誉,阻止恶意文件的下载访问。据悉,云安全2.0拥有34000台服务器组成的云端,可以在毫秒间完成查询,帮助企业实现0时差病毒码更新,0时间病毒码部署,0增长资源占用的三“0”防护!
要想建立云安全系统,并使之正常运行,需要解决四大问题:第一,需要海量的客户端(云安全探针);第二,需要专业的反病毒技术和经验;第三,需要大量的资金和技术投入;第四,可以是开放的系统,允许合作伙伴的加入(不涉及用户隐私的情况下或征得用户同意)。
这意味着杀毒软件行业将加快整合,并出现强者恒强的局面,类似趋势科技这种具有全球用户群的杀毒软件企业将具备更敏感的感知能力,更快的反应速度。其强大的技术实力和资金实力,则可以保证有实力构建和运行强大的服务器。
此外,趋势科技为全球多个大型企业提供网络安全服务,其中包括全国最大的银行分析机构、全球最大的笔记本转轴制造商以及中国重要的政府部门等,这些合作伙伴的加入也体现出对趋势科技云安全2.0的防御能力的充分信赖。
瑞星之云
经过一年的顺利运行,云安全系统给安全行业带来的推动是显而易见的:
第一,在云安全系统的支撑下,瑞星工程师分析其数据趋势,可以准确预告互联网上的安全大事件。经过对数据的趋势分析,瑞星专家可以准确的了解用户感染了哪些木马病毒,被哪些挂马网站攻击,就像人们通过分析卫星云图预告天气一样,对互联网安全威胁做准确的预估。
第二,通过对云安全系统数据的分析,瑞星专家可以对杀毒软件做出最大限度的优化,使其查杀能力更强,消耗资源更少。经过分析系统数据的病毒趋势、挂马网站行为等,瑞星工程师可以针对大量类似的病毒做出“通用查杀代码”,有时候一条经过优化的病毒代码可以查杀几十万个类似的木马病毒,这样不单可以大大减小病毒库的体积,使杀毒软件运行更快,还可以查杀许多未知新病毒。自云安全计划实施以后,瑞星杀毒软件的病毒库体积已经减小了60%以上。
第三,由于采用了“服务器+客户端”的逻辑结构,瑞星杀毒软件变得更轻,误杀更少。与Google docs的思路类似,瑞星杀毒软件的很多功能被放到了“云安全”的服务器端,例如虚拟机状态下的病毒分析,传统杀毒软件会放到客户端实现,但会耗用大量资源,使机器运行缓慢,而且容易误杀、误报。而放到了服务器端之后,杀毒软件只要连接服务器即可获得分析之后的结果,不消耗任何资源,而且绝对不会误杀。
在瑞星云安全建立之初,无论用户、媒体还是行业内部,对于能起到的作用无不抱着怀疑的态度,一些采用不同技术思路的同行厂商也有很大争论。但云安全系统顺利运行一周年的结果表明,它不但推动了整个行业截获、处理挂马网站和病毒样本的流程;而且使杀毒软件本身也有了很大提高,查杀能力更强,运行更顺畅。
云安全还能给我们带来哪些好处呢?首先,瑞星全功能安全软件2009已经实现了通过本地客户端分析收集可疑文件并且自动上报到云安全的分析中心,经过分析中心的自动分析系统判断后反馈给客户端来进行处理的技术流程。这样的好处是可以不需要在客户端保持所有海量的病毒库,只需要和云端进行一个短暂的连接就可以判定文件的属性,大大减轻了客户端的负担,也解决了不断增加的病毒库对普通客户端的压力问题。对病毒库的优化,和云安全网络化的设计,使得瑞星全功能安全软件2009在病毒库体积较少的同时,查杀效果却提高了35%。
杀软云技术核心
云安全为我们提供了足够广阔的视野,这些看似简单的内容,其中缺涵盖七大核心要素:
1、Web信誉服务
借助全信誉数据库,云安全可以按照恶意软件行为分析所发现的网站页面、历史位置变化和可疑活动迹象等因素来指定信誉分数,从而追踪网页的可信度。然后将通过该技术继续扫描网站并防止用户访问被感染的网站。为了提高准确性、降低误报率,安全厂商还为网站的特定网页或链接指定了信誉分值,而不是对整个网站进行分类或拦截,因为通常合法网站只有一部分受到攻击,而信誉可以随时间而不断变化。
通过信誉分值的比对,就可以知道某个网站潜在的风险级别。当用户访问具有潜在风险的网站时,就可以及时获得系统提醒或阻止,从而帮助用户快速地确认目标网站的安全性。通过Web信誉服务,可以防范恶意程序源头。由于对零日攻击的防范是基于网站的可信程度而不是真正的内容,因此能有效预防恶意软件的初始下载,用户进入网络前就能够获得防护能力。
2、电子邮件信誉服务
电子邮件信誉服务按照已知垃圾邮件来源的信誉数据库检查IP地址,同时利用可以实时评估电子邮件发送者信誉的动态服务对IP地址进行验证。信誉评分通过对IP地址的“行为”、“活动范围”以及以前的历史进行不断的分析而加以细化。按照发送者的IP地址,恶意电子邮件在云中即被拦截,从而防止僵尸或僵尸网络等Web威胁到达网络或用户的计算机。
3、文件信誉服务
文件信誉服务技术,它可以检查位于端点、服务器或网关处的每个文件的信誉。检查的依据包括已知的良性文件清单和已知的恶性文件清单,即现在所谓的防病毒特征码。高性能的内容分发网络和本地缓冲服务器将确保在检查过程中使延迟时间降到最低。由于恶意信息被保存在云中,因此可以立即到达网络中的所有用户。而且,和占用端点空间的传统防病毒特征码文件下载相比,这种方法降低了端点内存和系统消耗。
4、行为关联分析技术
通过行为分析的“相关性技术”可以把威胁活动综合联系起来,确定其是否属于恶意行为。Web威胁的单一活动似乎没有什么害处,但是如果同时进行多项活动,那么就可能会导致恶意结果。因此需要按照启发式观点来判断是否实际存在威胁,可以检查潜在威胁不同组件之间的相互关系。通过把威胁的不同部分关联起来并不断更新其威胁数据库,即能够实时做出响应,针对电子邮件和Web威胁提供及时、自动的保护。
5、自动反馈机制
云安全的另一个重要组件就是自动反馈机制,以双向更新流方式在威胁研究中心和技术人员之间实现不间断通信。通过检查单个客户的路由信誉来确定各种新型威胁。例如:趋势科技的全球自动反馈机制的功能很像现在很多社区采用的“邻里监督”方式,实现实时探测和及时的“共同智能”保护,将有助于确立全面的最新威胁指数。单个客户常规信誉检查发现的每种新威胁都会自动更新趋势科技位于全球各地的所有威胁数据库,防止以后的客户遇到已经发现的威胁。
由于威胁资料将按照通信源的信誉而非具体的通信内容收集,因此不存在延迟的问题,而客户的个人或商业信息的私密性也得到了保护。
6、威胁信息汇总
安全公司综合应用各种技术和数据收集方式——包括“蜜罐”、网络爬行器、客户和合作伙伴内容提交、反馈回路。通过趋云安全中的恶意软件数据库、服务和支持中心对威胁数据进行分析。过7×24小时的全天候威胁监控和攻击防御,以探测、预防并清除攻击。
7、白名单技术
作为一种核心技术,白名单与黑名单(病毒特征码技术实际上采用的是黑名单技术思路)并无多大区别,区别仅在于规模不同。AVTest.org的近期恶意样本(Bad Files,坏文件)包括了约1200万种不同的样本。即使近期该数量显著增加,但坏文件的数量也仍然少于好文件(Good Files)。商业白名单的样本超过1亿,有些人预计这一数字高达5亿。因此要逐一追踪现在全球存在的所有好文件无疑是一项巨大的工作,可能无法由一个公司独立完成。
作为一种核心技术,现在的白名单主要被用于降低误报率。例如,黑名单中也许存在着实际上并无恶意的特征码。因此防病毒特征数据库将会按照内部或商用白名单进行定期检查,趋势科技和熊猫目前也是定期执行这项工作。
后记:
其实简单的说,云安全就是从传统单机的解毒转换成网络的主动防毒。杀毒软件利用互联网强大的网络支持,通过互联网实时监控用户的主机,在用户即将访问有害网页前提醒用户,做到防范于未然。而不是像传统软件那样是受到攻击再做出相应的反映。这样不仅极大的降低了用户中毒的概率,同时也降低了软件在这方面所占用主机的资源。
另外通过服务器和用户终端形成的庞大的网络云,对事件的反应速度上就会很快。举个例子的话,就好像如果大家用的都是“云”安全的杀毒软件。这时候有人做出了一个“黑猫烧香”的病毒,那么只要有一个用户中毒,其他的用户杀毒软件就会通过网络马上收到这个信息并做出相应防御的反应。这样的话就不会出现大规模的中毒事件。