主動(dòng)防御的必要性
網(wǎng)絡(luò)是企業(yè)通信基礎(chǔ)結(jié)構(gòu)的核心。今天的網(wǎng)絡(luò)應(yīng)用能夠支持關(guān)鍵任務(wù)的執(zhí)行和交易��、客戶與合作伙伴關(guān)系、會(huì)議�����、財(cái)務(wù)轉(zhuǎn)發(fā)�����、對(duì)機(jī)密信息的分布式訪問以及更多其他活動(dòng)��。保護(hù)網(wǎng)絡(luò)就是保護(hù)企業(yè)本身�����。
隨著Web2.0的普及���,它在給企業(yè)帶來便利的同時(shí)�����,也帶來了巨大的潛在威脅����。從前僅限于消息層的攻擊將可以通過Web和網(wǎng)絡(luò)層滲透到企業(yè)中?����,F(xiàn)在����,通信服務(wù)已嵌入系統(tǒng)和應(yīng)用程序,這也是頻繁導(dǎo)致混合威脅的因素之一��。惡意威脅的進(jìn)化和衍變速度加快��,傳統(tǒng)的防御方法如基于簽名的反應(yīng)式系統(tǒng)�、黑名單/白名單技術(shù)、檢查應(yīng)用層的較舊封包式防火墻等已不足以與其對(duì)抗��,企業(yè)安全岌岌可危�����。因此�����,企業(yè)對(duì)現(xiàn)代網(wǎng)關(guān)安全提出了新要求:第一�,能夠積極預(yù)料威脅,以便在威脅造成損害之前���,將其捕獲�;第二�,采用實(shí)時(shí)全球智能技術(shù),作為多層防護(hù)的一部分���,集成多種安全技術(shù)�����,全面確保安全����。要應(yīng)對(duì)這些更高的安全需求,主動(dòng)防御�����,舍我其誰����。
主動(dòng)防御技術(shù)參差不齊
從消極應(yīng)對(duì)到主動(dòng)出擊,按理說��,主動(dòng)防御應(yīng)該是受到普遍歡迎才對(duì)���,為什么業(yè)界對(duì)它會(huì)有如此大的爭(zhēng)議呢���?這是因?yàn)槟壳昂芏喟踩珡S商在推出新產(chǎn)品時(shí),都會(huì)強(qiáng)調(diào)其產(chǎn)品具有"主動(dòng)防御"技術(shù)�。然而事實(shí)卻是,各廠商對(duì)主動(dòng)防御技術(shù)的理解差異�����,導(dǎo)致用戶在選擇時(shí)無所適從��。
如前所述,主動(dòng)防御技術(shù)要發(fā)揮效用�����,必須基于對(duì)大量數(shù)據(jù)進(jìn)行統(tǒng)計(jì)和分析����。只有廣泛收集大量的威脅行為���,為對(duì)其行為特征進(jìn)行科學(xué)合理的歸類總結(jié)��,在此基礎(chǔ)上����,才能對(duì)未知攻擊做出準(zhǔn)確的評(píng)價(jià)���。而現(xiàn)在大多數(shù)的主動(dòng)防御產(chǎn)品����,雖然已經(jīng)具備了"主動(dòng)出擊"的功能�,但由于數(shù)據(jù)庫不夠完善,對(duì)未知攻擊難以做出精準(zhǔn)的評(píng)價(jià)����,不是誤報(bào)率太高��,就是對(duì)真正的威脅視而不見�����。
每個(gè)廠商都希望自己的主動(dòng)防御技術(shù)是行業(yè)標(biāo)準(zhǔn)���,但在這一領(lǐng)域,與其說需要標(biāo)準(zhǔn)�,倒不如說需要一個(gè)合理的框架。要實(shí)現(xiàn)安全策略���,需要放在框架里做�����,在這個(gè)框架中�����,最重要就是產(chǎn)品設(shè)備的架構(gòu)��,即核心設(shè)備是否有漏洞���,是否被攻破過���,進(jìn)而使整個(gè)框架牢不可破。因此��,其主動(dòng)的��、智能化的�����、無漏洞的防御體系正是最佳最理想的實(shí)施途徑�。主動(dòng)防御也就不僅僅是一種技術(shù)����,還應(yīng)該是一個(gè)框架、一個(gè)體系����。
TrustedSource:全球領(lǐng)先的主動(dòng)安全信譽(yù)系統(tǒng)
目前,世界上最完善的主動(dòng)前瞻性防御體系當(dāng)屬Secure Computing公司的TrustedSource��。作為Secure Computing 的整個(gè)企業(yè)網(wǎng)關(guān)安全解決方案的基礎(chǔ),TrustedSource從 68 個(gè)國家的 7000多臺(tái)傳感器(每月包括超過 1100 億條消息和數(shù)百萬個(gè) URL)積累了大量的數(shù)據(jù)�����,以便極其準(zhǔn)確地創(chuàng)建 Internet 中所有發(fā)件人����、消息、網(wǎng)站和域活動(dòng)的檔案�,然后,TrustedSource 就可以使用這些檔案來監(jiān)視是否存在違反預(yù)期的行為�����。
為了提供現(xiàn)實(shí)世界中的 TrustedSource 系統(tǒng)示例�����,我們來討論一下關(guān)于機(jī)場(chǎng)安全的問題�。眾所周知,為了預(yù)防惡意攻擊�����,必須加大對(duì)人員和行李的檢查力度���。但是���,當(dāng)今最新的機(jī)場(chǎng)安全水平仍然是反應(yīng)式的����。依賴于我們已知的�����、恐怖分子已經(jīng)嘗試過的威脅類型(鞋底炸彈���、氣溶膠污染物等)。因此��,我們要求任何人(無論其身份或職業(yè))均脫下鞋子���,并限制將化妝品置于小容器中���,以自封口膠袋包裝。不過更糟糕的是���,當(dāng)恐怖分子試圖在機(jī)場(chǎng)部署新的攻擊措施后�����,應(yīng)對(duì)措施通常需要幾天后才會(huì)出現(xiàn)�����。
但是����,如果機(jī)場(chǎng)安全部門部署一個(gè)類似 TrustedSource 的系統(tǒng),即時(shí)獲悉恐怖分子(因?yàn)榇巳司哂锌梢尚袨榈?quot;信譽(yù)分?jǐn)?shù)")預(yù)訂了航班機(jī)票����,因而將其阻止或列入高危險(xiǎn)名單中。該人士及其行李將在機(jī)場(chǎng)接受徹底檢查��;而具有"良好信譽(yù)分?jǐn)?shù)"的旅客只需接受常規(guī)審查�。該類似于 TrustedSource 的系統(tǒng)將向各地的航空公司和交通安全管理局通告更改該預(yù)訂人士的信譽(yù)–持續(xù)跟蹤并作為歷史記錄中的一部分。TrustedSource 系統(tǒng)可以做到實(shí)時(shí)運(yùn)行�,因此,如果某位具有良好信譽(yù)的人士預(yù)訂了航班�,但是,后來卻進(jìn)入監(jiān)視名單或由于違反安全行為被逮捕,TrustedSource 會(huì)立即更新該信譽(yù)信息��,并警示航空公司和交通安全管理局����。同樣��,如果某位新恐怖分子試圖在新加坡活動(dòng)��,系統(tǒng)將立即展開分析���,并共享其詳細(xì)信息,即時(shí)在全球范圍內(nèi)的其他機(jī)場(chǎng)部署新的安全措施�����。
從上面這個(gè)例子我們可以清楚地了解到TrustedSource系統(tǒng)的工作流程��,那么���,與其它安全框架相比,它的優(yōu)勢(shì)在哪里呢�?
第一,收集數(shù)據(jù)的數(shù)量龐大��。與世界上的任何其他消息安全技術(shù)相比���,TrustedSource 能夠注意到發(fā)送至更多企業(yè)和政府的電子郵件�����。每月的消息數(shù)量超過 1100 億條���。
第二�,收集數(shù)據(jù)的準(zhǔn)確性高�。TrustedSource 采用 80 多個(gè)行為分類器執(zhí)行實(shí)時(shí)行為分析,檢查超過 1000 個(gè)特性���,并且通常每天能夠識(shí)別多達(dá) 400,000 種新的網(wǎng)絡(luò)僵尸���。通過以智能方式統(tǒng)計(jì)全球行為,并發(fā)送可供每位發(fā)件人使用的模范知識(shí)��,TrustedSource 可以與分配到每個(gè)身份的信譽(yù)相互關(guān)聯(lián)���。
第三����,數(shù)據(jù)來源廣泛���。TrustedSource 結(jié)合了從多種來源獲取的信息�,這些來源包括病毒檢測(cè)Web 頁面和電子郵件流量。這可以確保 TrustedSource 能夠收集到比任何單一來源更多的數(shù)據(jù)�����,并進(jìn)行智能統(tǒng)計(jì)����,以幫助識(shí)別和阻止使用多個(gè)協(xié)議的混合威脅。
第四����,反應(yīng)迅速。通過結(jié)合發(fā)件人�����、消息��、域�、圖像和 URL 信譽(yù),并將這些信息相互關(guān)聯(lián)���,TrustedSource 能夠在混合威脅出現(xiàn)時(shí)立即進(jìn)行識(shí)別和阻止。借助TrustedSource�,組織不需要再等待反應(yīng)式簽名更新文件的發(fā)布�。
正如前面反復(fù)提到的一樣���,實(shí)施主動(dòng)防御的關(guān)鍵在于擁有大量翔實(shí)可靠的數(shù)據(jù)���,只有在這一基礎(chǔ)上才能對(duì)未知威脅做出妥當(dāng)處理。TrustedSource在這一點(diǎn)上擁有無可匹敵的優(yōu)勢(shì)��,而且這種優(yōu)勢(shì)會(huì)隨著時(shí)間愈發(fā)明顯���。主動(dòng)防御真正由理想走向現(xiàn)實(shí)�����。
雙管其下 保障安全
需要強(qiáng)調(diào)的是���,主動(dòng)防御的實(shí)現(xiàn)是建立在被動(dòng)防御基礎(chǔ)之上的,主動(dòng)防御并不能100%發(fā)現(xiàn)病毒或者攻擊����,通常的成功率大概在60%-80%之間, Secure Computing的產(chǎn)品�,即便采用了全球最領(lǐng)先的TrustedSource信譽(yù)體系,也仍然具有0.003%的誤判率�����。只有主動(dòng)防御+被動(dòng)防御,雙管其下�,才能確保企業(yè)網(wǎng)絡(luò)的絕對(duì)安全。從全球網(wǎng)絡(luò)安全主流廠商的動(dòng)態(tài)來看���,"主動(dòng)防御"和"特征碼"技術(shù)相結(jié)合�,也是今后安全系統(tǒng)發(fā)展的必然趨勢(shì)���。
無需贅言�����,主動(dòng)防御之路必定行得通���,而且將和被動(dòng)防御攜手同行!
