迈向云安全2.0时代
雪灾、地震、奥运、神七,刚刚过去的2008年注定了不会平凡。而在中国信息安全领域也正在经历一场革命性变革,作为网络安全从桌面推向互联网的一步关键之棋,“云安全”也将成为2009年各大安全厂商的重要战略步骤。
根据某权威信息安全厂商的年度报告,在2008年互联网上共出现了多达1300万种病毒,新病毒数量是去年同期10倍以上,其中木马病毒和后门程序占总体病毒数80%以上。而事实也证明,借助于病毒木马牟利的黑色产业链已经形成,凭着机械化生产加速变种,利用大量出现的系统和第三方应用程序漏洞,都为病毒木马传播提供了更广泛的途径。为了应对日益猖獗的病毒威胁,2009年各大信息安全厂商有何应对之招?领域内最值得期待的技术是什么?今年工作重点将会放在什么地方?如何看待中国市场?带着一系列用户感兴趣的话题,《程序员》杂志编辑采访了国内多家信息安全厂商,就上面的话题与读者分享他们的观点。
迈向云安全2.0时代
所谓云安全,其实就是从过去传统的单机杀毒模式,转换成网络化的主动防毒。杀毒软件利用互联网强大的网络支持,通过互联网实时监控用户主机,在用户即将访问有害网页或病毒程序前提醒用户。新模式与传统杀毒方式的最大转变正在于,从过去由用户受到攻击之后再杀毒到现在的侧重于防毒。云安全中的很多技术其实早已应用到企业安全领域,而过去受市场环境限制,这项技术并未向个人用户推广。但随着近几年家庭和个人互联网用户数量的不断增加,对信息安全要求越来越高,云安全开始走进普通大众视野。在去年各大厂商做足概念后,今年云安全将进入全面产品化和推广阶段。
对此,趋势科技(中国)市场总监张怡青告诉记者,趋势科技在2009年研发重心仍然在云安全相关领域。在过去的三年中,趋势科技已投入了3亿美金用于云安全,其中三分之二用于人力成本,另外三分之一则购置了设备、带宽和相应的产品升级。到目前趋势科技已经有3万多台服务器用于云安全。
随着互联网的飞速发展,产品网络化几乎已成为各大 IT 公司的共识,只是时间早晚和开放程度的问题。而对于广大信息安全厂商,在新旧规则交替之时,谁抢先赢得了战场,谁就赢得了未来规则的决定权。
两种云安全模式
趋势科技云安全架构图
当前已经出现的云安全实现原理大概可以分为两种:一种是由趋势科技提出的“Secure Cloud”,以Web信誉服务(WRS) 、邮件信誉服务(ERS) 和文件信誉服务(FRS)为基础架构的云客户端安全架构,把病毒特征码文件保存到互联网云数据库中,令其在端点处保持最低数量用于验证。其核心在于两点:(1)对复合式攻击的拦截。通过对疑似病毒组件各部分外延属性进行检查,判断威胁程度;(2)瘦客户端。大量的病毒特征码保存在云数据库中。简言之,趋势科技云安全技术基于其拥有庞大的服务器群和并行处理能力,构架了一个庞大的黑白名单服务器群,用于客户端查询,在 Web 威胁到达最终用户或公司网络之前即对其予以拦截。
另一种就是由国内安全厂商瑞星提出,与趋势科技服务器群“云”不同,瑞星的“云”则建立在广大的互联网用户上。通过在用户客户端安装软件监控网络中软件行为的异常,将发现的疑似木马、恶意程序最新信息推送到瑞星的服务器进行自动分析和处理,然后再把病毒和木马的解决方案分发到每一个客户端。
根据专家分析,以上两种云安全概念采用的是两种完全不同的模式。趋势科技强调的是阻止外来威胁,基础是庞大的服务器群;瑞星强调的则是对用户计算机上业已存在的未知威胁进行感知,基础是必须拥有大量的客户端用户。两者虽模式不同,但都存在一定缺陷。趋势科技忽略了对本机威胁的收集,而瑞星的云安全则只能被动防守,不能在未知威胁进入到电脑前进行拦截。另一方面,现在的信息安全公司还没有建成 Google 那样数以万计的服务器群和非常成熟的并行处理技术,还需加强对基础硬件的投入和升级,或者加大与第三方云计算服务提供商的合作。
就云安全对传统杀毒模式的影响,北京卡巴斯基公司产品经理高袆玮认为,这种改变不会在一朝一夕就能完成。因为,就目前为止,虽然传统的病毒防范模式具有一定局限性,但是优点也很突出,就是准确度和处理质量都很高。对于局限性,目前很多安全厂商也已通过添加其他的安全模块,如:启发式分析、主动防御、IDP 系统(Intrusion Detection & PreventionSystem,入侵侦测防御系统) 等进行了有效的提升。因此,就目前来看," 云安全" 仍然不足以也没有必要使安全产品完全脱离传统模式,因为传统模式也在不断演化以适应用户不断增长的需求。
云安全带来的另一个影响在于厂商对人才的投入,趋势科技(中国)云安全专家徐学龙告诉《程序员》记者,由于云安全更关注服务器集群的并行计算、协同作业、精准计算、海量计算,传统做分析病毒代码的人员未来在整个研发团队中的比重会逐步降低。取而代之的是招聘更多掌握分布式计算基本原理和开发方法,有能力掌握用于分布式计算的协议和语言,开发出可以运行在几百台、几千台甚至几万台计算机上的应用程序,并用该程序管理分布在海量存储设备里的人才。
“危”“机”并重的2009年
徐学龙告诉记者,在2009年,病毒木马会变得更加隐蔽,不像过去那样会让用户电脑鸡飞狗跳或完全瘫痪,更多的是驻留在用户后台,秘密窃取信息,比如银行账号信息、游戏卡、游戏币以及个人信息。
而卡巴斯基实验室的专家预测用户可能在2009年遭遇的几大 IT 类威胁分别为(1)通过移动存储媒体如 USB 闪存、CD 以及DVD感染计算机;(2)因网上冲浪遭遇威胁;(3)恶意程序越来越多的利用那些知名的,受广大用户信任的网站进行传播,预计在2009年将有超过一半的恶意程序会通过这些网站进行传播;(4)互联网诈骗如钓鱼网站和银行卡数据窃取等犯罪将越来越猖獗;(5)更多的恶意软件利用新技术对抗反病毒软件的检测和清除,同时预计专门用来绕过某些特定类别过滤器的恶意程序数量会大幅增长;(6)针对其他操作系统如MacOS以及Linux 系统的恶意程序数量会逐渐增多。
在应对措施上,一方面杀毒软件厂商需要大力推进云安全技术,使用最新的基于主动防御的保护技术,采取例如对中央数据库的在线访问申请,下载软件时限制访问权限,安全更新管理系统以及可信任程序列表等措施,这些方法都能有效地加强传统的基于签名方式的反病毒保护效果。
而在另一方面,大多数用户还未充分意识到当前 Web 安全威胁和风险对信息安全的巨大影响,有很多用户在不知不觉中容忍着各种间谍软件、傀儡程序、键盘记录软件、广告软件在主机中运行,给个人电脑和企业信息安全带来巨大的安全风险。尤其对于企业来说,加强终端安全防护和网关建设,以及提高内部数据安全管理的工作已经刻不容缓。
就金融危机对信息安全公司的影响,张怡青表示目前对趋势科技来说还相对比较平稳。一方面近年来随着企业对数据资产保护意识的增强,很多时候信息安全产品已经成为企业在进行 IT 资产配置时必须考虑的刚性需求。另一方面中国市场目前对趋势科技全球营销的贡献所占比例不到2%,考虑到中国目前在世界范围内的增长速度,信息化进程来得很快,未来的增长潜力会很大。近期来看,国内受危机影响相对较大的是一些制造企业,尤其是南方沿海的中小型企业,他们的需求可能会暂时减少一些,但对于其他行业,包括趋势科技擅长的金融领域,以及政府持续加大投资的领域,如教育业等行业,仍存在广大机会。在应对策略方面,首先将会对全行业的进行一次重新考量和分配,在保持过去优势领域的基础上,采取广撒网的方式,在制造业上减少的一部分业绩,完全有可能通过在其他行业的增长覆盖掉。另外,对于IT预算出现大幅收紧的企业,则会主推一些高性价比安全防护产品。综合来看,2009年全年收益比去年同期增长30%的目标是完全有希望实现的。█