主動防御的必要性
網(wǎng)絡(luò)是企業(yè)通信基礎(chǔ)結(jié)構(gòu)的核心��。今天的網(wǎng)絡(luò)應(yīng)用能夠支持關(guān)鍵任務(wù)的執(zhí)行和交易��、客戶與合作伙伴關(guān)系��、會議、財務(wù)轉(zhuǎn)發(fā)�����、對機密信息的分布式訪問以及更多其他活動��。保護網(wǎng)絡(luò)就是保護企業(yè)本身���。
隨著Web2.0的普及�,它在給企業(yè)帶來便利的同時�����,也帶來了巨大的潛在威脅�。從前僅限于消息層的攻擊將可以通過Web和網(wǎng)絡(luò)層滲透到企業(yè)中。現(xiàn)在��,通信服務(wù)已嵌入系統(tǒng)和應(yīng)用程序�,這也是頻繁導(dǎo)致混合威脅的因素之一。惡意威脅的進化和衍變速度加快���,傳統(tǒng)的防御方法如基于簽名的反應(yīng)式系統(tǒng)�、黑名單/白名單技術(shù)����、檢查應(yīng)用層的較舊封包式防火墻等已不足以與其對抗�����,企業(yè)安全岌岌可危。因此����,企業(yè)對現(xiàn)代網(wǎng)關(guān)安全提出了新要求:第一,能夠積極預(yù)料威脅���,以便在威脅造成損害之前��,將其捕獲���;第二,采用實時全球智能技術(shù)���,作為多層防護的一部分����,集成多種安全技術(shù)��,全面確保安全。要應(yīng)對這些更高的安全需求�����,主動防御��,舍我其誰�����。
主動防御技術(shù)參差不齊
從消極應(yīng)對到主動出擊��,按理說���,主動防御應(yīng)該是受到普遍歡迎才對�����,為什么業(yè)界對它會有如此大的爭議呢�����?這是因為目前很多安全廠商在推出新產(chǎn)品時���,都會強調(diào)其產(chǎn)品具有"主動防御"技術(shù)�。然而事實卻是��,各廠商對主動防御技術(shù)的理解差異�����,導(dǎo)致用戶在選擇時無所適從�����。
如前所述���,主動防御技術(shù)要發(fā)揮效用,必須基于對大量數(shù)據(jù)進行統(tǒng)計和分析����。只有廣泛收集大量的威脅行為,為對其行為特征進行科學(xué)合理的歸類總結(jié)��,在此基礎(chǔ)上�,才能對未知攻擊做出準(zhǔn)確的評價。而現(xiàn)在大多數(shù)的主動防御產(chǎn)品�,雖然已經(jīng)具備了"主動出擊"的功能,但由于數(shù)據(jù)庫不夠完善�����,對未知攻擊難以做出精準(zhǔn)的評價,不是誤報率太高�����,就是對真正的威脅視而不見����。
每個廠商都希望自己的主動防御技術(shù)是行業(yè)標(biāo)準(zhǔn),但在這一領(lǐng)域���,與其說需要標(biāo)準(zhǔn)�,倒不如說需要一個合理的框架�。要實現(xiàn)安全策略,需要放在框架里做�����,在這個框架中��,最重要就是產(chǎn)品設(shè)備的架構(gòu)�,即核心設(shè)備是否有漏洞,是否被攻破過,進而使整個框架牢不可破����。因此,其主動的���、智能化的��、無漏洞的防御體系正是最佳最理想的實施途徑��。主動防御也就不僅僅是一種技術(shù)����,還應(yīng)該是一個框架���、一個體系。
TrustedSource:全球領(lǐng)先的主動安全信譽系統(tǒng)
目前����,世界上最完善的主動前瞻性防御體系當(dāng)屬Secure Computing公司的TrustedSource。作為Secure Computing 的整個企業(yè)網(wǎng)關(guān)安全解決方案的基礎(chǔ)�����,TrustedSource從 68 個國家的 7000多臺傳感器(每月包括超過 1100 億條消息和數(shù)百萬個 URL)積累了大量的數(shù)據(jù)����,以便極其準(zhǔn)確地創(chuàng)建 Internet 中所有發(fā)件人�����、消息�����、網(wǎng)站和域活動的檔案�����,然后����,TrustedSource 就可以使用這些檔案來監(jiān)視是否存在違反預(yù)期的行為�。
為了提供現(xiàn)實世界中的 TrustedSource 系統(tǒng)示例,我們來討論一下關(guān)于機場安全的問題�����。眾所周知�����,為了預(yù)防惡意攻擊,必須加大對人員和行李的檢查力度�。但是,當(dāng)今最新的機場安全水平仍然是反應(yīng)式的�����。依賴于我們已知的�����、恐怖分子已經(jīng)嘗試過的威脅類型(鞋底炸彈��、氣溶膠污染物等)�。因此,我們要求任何人(無論其身份或職業(yè))均脫下鞋子��,并限制將化妝品置于小容器中�,以自封口膠袋包裝�����。不過更糟糕的是��,當(dāng)恐怖分子試圖在機場部署新的攻擊措施后,應(yīng)對措施通常需要幾天后才會出現(xiàn)����。
但是,如果機場安全部門部署一個類似 TrustedSource 的系統(tǒng)�,即時獲悉恐怖分子(因為此人具有可疑行為的"信譽分?jǐn)?shù)")預(yù)訂了航班機票,因而將其阻止或列入高危險名單中���。該人士及其行李將在機場接受徹底檢查�����;而具有"良好信譽分?jǐn)?shù)"的旅客只需接受常規(guī)審查�����。該類似于 TrustedSource 的系統(tǒng)將向各地的航空公司和交通安全管理局通告更改該預(yù)訂人士的信譽–持續(xù)跟蹤并作為歷史記錄中的一部分���。TrustedSource 系統(tǒng)可以做到實時運行,因此�,如果某位具有良好信譽的人士預(yù)訂了航班,但是��,后來卻進入監(jiān)視名單或由于違反安全行為被逮捕,TrustedSource 會立即更新該信譽信息��,并警示航空公司和交通安全管理局。同樣����,如果某位新恐怖分子試圖在新加坡活動,系統(tǒng)將立即展開分析�,并共享其詳細(xì)信息,即時在全球范圍內(nèi)的其他機場部署新的安全措施�。
從上面這個例子我們可以清楚地了解到TrustedSource系統(tǒng)的工作流程,那么����,與其它安全框架相比,它的優(yōu)勢在哪里呢�?
第一,收集數(shù)據(jù)的數(shù)量龐大���。與世界上的任何其他消息安全技術(shù)相比���,TrustedSource 能夠注意到發(fā)送至更多企業(yè)和政府的電子郵件。每月的消息數(shù)量超過 1100 億條���。
第二���,收集數(shù)據(jù)的準(zhǔn)確性高。TrustedSource 采用 80 多個行為分類器執(zhí)行實時行為分析�,檢查超過 1000 個特性,并且通常每天能夠識別多達 400,000 種新的網(wǎng)絡(luò)僵尸�����。通過以智能方式統(tǒng)計全球行為�����,并發(fā)送可供每位發(fā)件人使用的模范知識���,TrustedSource 可以與分配到每個身份的信譽相互關(guān)聯(lián)�����。
第三����,數(shù)據(jù)來源廣泛����。TrustedSource 結(jié)合了從多種來源獲取的信息,這些來源包括病毒檢測Web 頁面和電子郵件流量�。這可以確保 TrustedSource 能夠收集到比任何單一來源更多的數(shù)據(jù)��,并進行智能統(tǒng)計��,以幫助識別和阻止使用多個協(xié)議的混合威脅��。
第四��,反應(yīng)迅速���。通過結(jié)合發(fā)件人、消息��、域���、圖像和 URL 信譽��,并將這些信息相互關(guān)聯(lián)���,TrustedSource 能夠在混合威脅出現(xiàn)時立即進行識別和阻止。借助TrustedSource���,組織不需要再等待反應(yīng)式簽名更新文件的發(fā)布����。
正如前面反復(fù)提到的一樣,實施主動防御的關(guān)鍵在于擁有大量翔實可靠的數(shù)據(jù)����,只有在這一基礎(chǔ)上才能對未知威脅做出妥當(dāng)處理��。TrustedSource在這一點上擁有無可匹敵的優(yōu)勢�����,而且這種優(yōu)勢會隨著時間愈發(fā)明顯���。主動防御真正由理想走向現(xiàn)實�。
雙管其下 保障安全
需要強調(diào)的是���,主動防御的實現(xiàn)是建立在被動防御基礎(chǔ)之上的����,主動防御并不能100%發(fā)現(xiàn)病毒或者攻擊�����,通常的成功率大概在60%-80%之間��, Secure Computing的產(chǎn)品,即便采用了全球最領(lǐng)先的TrustedSource信譽體系�,也仍然具有0.003%的誤判率。只有主動防御+被動防御�����,雙管其下��,才能確保企業(yè)網(wǎng)絡(luò)的絕對安全�。從全球網(wǎng)絡(luò)安全主流廠商的動態(tài)來看,"主動防御"和"特征碼"技術(shù)相結(jié)合�����,也是今后安全系統(tǒng)發(fā)展的必然趨勢���。
無需贅言����,主動防御之路必定行得通�����,而且將和被動防御攜手同行!
