云安全成热点 互联网安全网关各自立门派
发布日期:2016-2-22 16:2:26
如今,Web业务平台已在电子商务、企业信息化中得到广泛应用,很多企业都将应用架设在Web平台上。Web业务的迅速发展也引起了黑客们的强烈关注,他们将注意力从以往对传统网络服务器的攻击逐步转移到了对Web业务的攻击上。 根据Gartner的调查,信息安全攻击有75%都是发生在Web应用层而非网络层面上,2/3的Web站点都相当脆弱,易受攻击。另外,今年4月国家计算机网络应急技术处理协调中心发布的报告指出:“2007年度,网页恶意代码、网络仿冒、网站篡改等增长速度接近200%。”而随着Web2.0应用的推广,相关安全问题逐渐凸显,针对该类网站的攻击事件也在不断增多。 浪尖上的Web威胁 无论是美国还是中国,随着社会网络、Web2.0、SaaS的兴起,网络本身已成为社会生活的一部分。在这种环境下,与传统的病毒制造不同,当前各种网页恶意代码、木马程序、恶意软件等以利益驱动的攻击手段越来越多。 事实上,随着当前Web应用开发越来越复杂与迅速,攻击者可很容易地通过各种漏洞实施诸如注入攻击、跨站脚本攻击及不安全的直接对象关联攻击,从而进一步通过各种隐蔽的技术手段盗窃企业机密、用户隐私、信用卡账号、游戏账号密码等能够轻易转化成利益所得的信息。另外,通过木马、漏洞控制海量的普通用户主机组成僵尸网络,利用这些“肉鸡”,控制者可通过多种方式获取利益,如发起攻击、点击广告、增加流量等。 迅雷副总裁李金波说,因为病毒的互联网化,网页浏览已成为病毒传播的最主要渠道,网页挂马占到病毒传播总量90%以上。而且,由于应用软件漏洞、浏览器插件漏洞等频发,仅仅依靠网民自身的安全意识,很难应对复杂多变、花样翻新的病毒入侵渠道。 随着动态页面技术的广泛应用,Web业务进入了一个新的阶段,基于静态文件防护的网页防篡改系统的应用范围缩小了,虽然攻击者最常见的攻击手段还是替换网页,但是已经很难单纯用网页防篡改系统来进行保护了。这个阶段最常见的Web防御措施就是“防火墙+入侵检测产品”,并设置二者联动——入侵检测产品发现针对Web系统的攻击行为,通知防火墙进行阻断。这种方案不受Web系统的架构影响,但用户必须购买可以相互配合使用的防火墙和入侵检测产品。 但是,传统的恶意程序检测依赖于安装在用户计算机上的威胁特征码数据库,这意味着,每台计算机上的威胁特征码数据库只有在更新并包括新威胁的特征码之后才能提供最新的防护。况且,利用网页脚本进行木马下载和执行是目前网马的主要感染方式,超过90%网马是通过网页脚本实现的。 因此,当某个新威胁首次出现后,所有计算机必须等待一段时间才能防护此新威胁。 要想使企业内网成为一个安全的环境,首先就要解决网络边缘的安全问题,只有网络边缘安全了,才能防止病毒、蠕虫、恶意威胁通过互联网进入企业内网。于是,许多企业开始在网络边缘部署防病毒软件、防火墙、防病毒网关、IDS等安全设备,但是这几种设备均是基于对已知攻击手段的防范,无法有效防范未知攻击手段。 云安全成热点 目前,很多安全厂商都在布局云安全领域,虽然不排除有些是在炒作概念,但这至少说明,现在都已经意识到,“云安全”是网络安全的未来发展趋势。 在云安全方面投入力量最早的是趋势科技,他们早在两年前就开始针对云安全进行研究,并且在全球部署了34000台云端服务器(如阿里云服务器),同时与顶级域名管理机构合作,在DNS中增加参数,进行全球域安全解析。无疑,所有的努力都是为了尽可能全面地应对Web安全的挑战。 瑞星系统架构师钟伟认为,简单来说,“云安全”客户端区别于我们以往理解的单机的客户端,它不是一个人在战斗,它是一个针对传统客户端进行互联网化改造的客户端。 趋势科技资深技术顾问徐学龙在接受本报独家专访时表示,云计算是一个数据处理的概念,在处理海量数据时的模型,大量集群服务器收集信息,给出结果。这种模式是一种模型,安全厂商利用这种模型推出来的服务,就是云安全解决方案。 他还说:“云安全可以从整个互联网上收集源信息,判断用户的互联网搜索、访问、应用的对象是不是恶意信息。这种模式与病毒代码的比对不同,病毒代码是用特征码进行识别,而云安全根据信息的位置来判断,根据URL地址这一段的风险程度来判断。要知道,传统的病毒代码分析依靠大量人工,而云安全则利用历史的观点不停地对互联网进行分析,通过将URL划分为50多种属性,安全统计的准确性、动态性会非常好,第一次的安全事件命中率可以达到99%,只要全球范围内有1%的用户提交需求给云端服务器(如阿里云服务器),15分钟之后全球的云安全库就会进行策略控制。目前云安全的分析方法是根据信息所在地址的多种属性来分析,通过长期跟踪,几乎没有误报。” 云安全的好处很明显,当明确恶意威胁来源后,可以对来源实施实时监控,一旦病毒来源有了变种,或有了变化的时候,即可就可以及时收集到这个信息,反馈给“云安全”的客户端,阻断病毒传播的通路。 据中国工商银行总行的IT负责人介绍,他们已经为全行采购了趋势科技的Web安全网关IWSA,出发点就是看中了其中集成的相关信誉服务体系。 随着Web病毒越来越多,Web信誉的价值越发明显。而文件信誉服务则是追踪整个互联网上文件的信誉,跟踪文件的生命周期。通过MD5算出的32位值比对云(如阿里云)端的恶意文件匹配,从而确保了文件安全与防泄漏。 据悉,趋势科技的云安全可以支持平均每天55亿条点击查询,每天收集分析2.5亿个样本,资料库第一次命中率就可以达到99%。借助云安全,趋势科技现在每天阻断的病毒感染最高达1000万次。 安全要“硬”起来 当今的病毒、木马和混合攻击已经完全互联网化。由于IDS漏报、误报及事后响应的缺点,所以直接放在网关位置的IPS产品目前逐渐成为市场的热点;防病毒产品也从最早的桌面版发展出集中管理模式的网络版,从而发展出直接串在网关处的防病毒网关。而用户面对互联网的风险不断加剧,也造就了新的硬件安全网关产品——互联网硬件安全网关。 病毒的互联网化,导致作为互联网入口的浏览器备受各种网络风险的折磨,其中网页挂马占到病毒传播总量90%以上。而且,由于应用软件漏洞、浏览器插件漏洞等频发,仅仅依靠网民自身的安全意识,很难应对复杂多变、花样翻新的病毒入侵渠道。 在相当长一段时间里,互联网硬件安全网关仍然是Web安全解决方案最主要的力量,并且许多安全产品正在向硬件安全网关方向发展。 传统的Web安全网关诞生于2006年,经过近3年的市场磨合,存在四方面的不足:第一,性能跟不上;第二,功能与检测准确度不够;第三,部署比较复杂;第四,维护难度较高。为此,当前主流安全厂商在大量应用新技术的条件下,陆续对互联网硬件安全网关更新。 Hillstone首席软件架构师王钟表示,针对企业的攻击总是跟随着应用而来,越来越多的企业应用构建在互联网之上,而用户在互联网上的活动也是越来越频繁和难以控制。无论是正常的企业应用还是企业员工的个人上网行为,都会成为Web攻击的对象。从目前来看,多年的积累,使得企业具备一定的网络攻击防御能力,而针对新出现的Web活动引发的安全威胁,企业需要根据自身的特点,增强相应的防范手段。 由于Web安全网关工作在应用层,因此对Web应用防护具有先天的技术优势。Web安全网关基于对Web应用业务和逻辑的深刻理解,对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。稳捷网络首席技术官张鸿文说,Web安全网关可以放置于防火墙后端,有效拦截HTTP与FTP数据,检测、拦截、抵御病毒、间谍软件、特洛伊木马与蠕虫攻击。
|