论文部分内容阅读
现在的安全威胁情势迫使信息安全厂商不得不改变其保护客户资料的方法。研究机构TrendLabs表示:现在,网络犯罪者平均每秒就制造出 3.5 个新的安全威胁。传统的信息安全方法根本就赶不上这样的速度。以下就是传统方法的典型写照:
客户将可疑的文件传送到他们的信息安全产品厂商进行分析;
信息安全厂商分析文件之后确认为恶意文件;
厂商撷取出文件的特徵,做出病毒代码来侦测该文件;
厂商将新的病毒代码发布到服务器上;
接着,客户将这个新病毒代码更新到自己内部网络上的每一部电脑 (这类更新通常每天一次)。
这样的流程不仅缓慢、缺乏效率,而且客户的 IT 系统管理员很难有效率管理。此外,由于威胁数量惊人,这样的更新方式根本赶不上新威胁出现的速度。解决之道就是,信息安全厂商必须开发出一种能够自动采样、分析并且自动发布最新威胁防护的机制来保护客户,而且不需客户做任何动作。这就是云计算与后来衍生的云安全所能使力之处。
云安全不仅能透过云计算来更有效管理这项信息安全流程,而且未来还能随威胁情势的升高而不断扩充规模。让我们来看看这套新流程中的每一个步骤。
1.采集最新的威胁
防护网要能发挥效用,其关键要素之一,就是要能自动采集最新的威胁样本。威胁情报可能来自各种不同管道,但全都需要一样共通的特质。那就是透过自动化的采集流程而不需人力介入。这些采样来源当中,有的是信息安全厂商自己架设的机制,如:诱补网络、地毯式搜索等等,但更常见的则是透过产品自动回馈机制从其客户端所收集回来的样本。客户端产品所执行的自动化 URL、IP、域名与文件查询,可让厂商轻松迅速获得有关潜在威胁的信息。厂商因而能够快速自动采集到最新的威胁,而不必要求客户提供样本。然而,采集样本只是开始而已。
2.分析与发掘最新威胁
如今的威胁已不如以往单纯,是多方面的。几乎所有种类的威胁都是网络犯罪者更大的攻击计划之一环,这些攻击同时运用了多种方法来进行感染、散布与窃取资料的行动。因此,信息安全厂商现在必须随时监控及分析电子邮件、网页与文件当中的潜在威胁,因为这一切都是互相关联的。一种作法就是,在云端基础架构内,利用行为分析方法来找出这些威胁之间的关联,此一基础架构可自动透过上述方法取得威胁信息,然后透过分析来找出同一攻击不同元件之间的行为模式,进而发掘恶意的活动。例如,我们可以分析 IP 位址与网络之间的对应关系。通常,正常的网络不会经常更换IP位址,但网络犯罪者则必须经常更换IP位址或建立新的网络来躲避信息安全厂商的侦测。另一个例子是分析携带着URL的电子邮件来发掘新的垃圾邮件来源与恶意网站。这项云端式行为监控机制(也就是云端式行为分析)会不断搜索所有不同威胁管道之间的恶意行为。此外,在云端执行这类行为分析还有一项额外优点,那就是厂商可发掘误判的情况,并且尽量将误判降至最低。接下来,当发现最新威胁之后,下一步就是要将最新的防护提供给客户。
3.云端式信誉评等数据库
如同我们前面所看到的,传统的信息安全防护方法在制作好的最新防护之后,必须通过层层的下载才能到达所有的端点装置,因此,在防护最新威胁的时效性方面将大打折扣,尤其在面对数量庞大、翻新速度惊人的威胁,更显得捉襟见肘。而云安全网则结合了所谓的信誉数据库,因此,厂商的信息安全产品可直接向云端数据库查询,而不需将病毒代码下载到装置上。这样一来,厂商不仅更容易管理更新,而且所有的客户在同一时间都能获得防护。現在,当员工出差在外连上网页或从互联网下载文件时,他们的电脑再也不会还再使用旧的病毒代码,再也不会无法应付最新的威胁。员工的装置只需一道简单的手续,向云端信誉数据库查询一下,就能知道某个电子邮件、网页或文件是否有问题。而且,这还能降低电脑资源与网络带宽的占用。例如,一旦恶意文件 URL 遭到了封锁,使用者就不会因为下载恶意文件而浪费网络带宽。此外,也不用浪费装置的 CPU 与记忆体来扫瞄这个文件,因为文件在源头就已经挡掉了。
总而言之,只要信息安全厂商建置了强大的云安全网络,其客户就能比传统信息安全方法的使用者拥有更大的优势。本文所描述的种种细节,一般来说客户是看不见的。这是件好事,因为客户要的,无外乎就是确保资料安全无虞。但是,除非厂商具备自动采样、分析与自动提供最新防护的能力 (而且要快又有效),否则就无法确保客户的安全。在这方面,云安全网绝非浪得虚名。
客户将可疑的文件传送到他们的信息安全产品厂商进行分析;
信息安全厂商分析文件之后确认为恶意文件;
厂商撷取出文件的特徵,做出病毒代码来侦测该文件;
厂商将新的病毒代码发布到服务器上;
接着,客户将这个新病毒代码更新到自己内部网络上的每一部电脑 (这类更新通常每天一次)。
这样的流程不仅缓慢、缺乏效率,而且客户的 IT 系统管理员很难有效率管理。此外,由于威胁数量惊人,这样的更新方式根本赶不上新威胁出现的速度。解决之道就是,信息安全厂商必须开发出一种能够自动采样、分析并且自动发布最新威胁防护的机制来保护客户,而且不需客户做任何动作。这就是云计算与后来衍生的云安全所能使力之处。
云安全不仅能透过云计算来更有效管理这项信息安全流程,而且未来还能随威胁情势的升高而不断扩充规模。让我们来看看这套新流程中的每一个步骤。
1.采集最新的威胁
防护网要能发挥效用,其关键要素之一,就是要能自动采集最新的威胁样本。威胁情报可能来自各种不同管道,但全都需要一样共通的特质。那就是透过自动化的采集流程而不需人力介入。这些采样来源当中,有的是信息安全厂商自己架设的机制,如:诱补网络、地毯式搜索等等,但更常见的则是透过产品自动回馈机制从其客户端所收集回来的样本。客户端产品所执行的自动化 URL、IP、域名与文件查询,可让厂商轻松迅速获得有关潜在威胁的信息。厂商因而能够快速自动采集到最新的威胁,而不必要求客户提供样本。然而,采集样本只是开始而已。
2.分析与发掘最新威胁
如今的威胁已不如以往单纯,是多方面的。几乎所有种类的威胁都是网络犯罪者更大的攻击计划之一环,这些攻击同时运用了多种方法来进行感染、散布与窃取资料的行动。因此,信息安全厂商现在必须随时监控及分析电子邮件、网页与文件当中的潜在威胁,因为这一切都是互相关联的。一种作法就是,在云端基础架构内,利用行为分析方法来找出这些威胁之间的关联,此一基础架构可自动透过上述方法取得威胁信息,然后透过分析来找出同一攻击不同元件之间的行为模式,进而发掘恶意的活动。例如,我们可以分析 IP 位址与网络之间的对应关系。通常,正常的网络不会经常更换IP位址,但网络犯罪者则必须经常更换IP位址或建立新的网络来躲避信息安全厂商的侦测。另一个例子是分析携带着URL的电子邮件来发掘新的垃圾邮件来源与恶意网站。这项云端式行为监控机制(也就是云端式行为分析)会不断搜索所有不同威胁管道之间的恶意行为。此外,在云端执行这类行为分析还有一项额外优点,那就是厂商可发掘误判的情况,并且尽量将误判降至最低。接下来,当发现最新威胁之后,下一步就是要将最新的防护提供给客户。
3.云端式信誉评等数据库
如同我们前面所看到的,传统的信息安全防护方法在制作好的最新防护之后,必须通过层层的下载才能到达所有的端点装置,因此,在防护最新威胁的时效性方面将大打折扣,尤其在面对数量庞大、翻新速度惊人的威胁,更显得捉襟见肘。而云安全网则结合了所谓的信誉数据库,因此,厂商的信息安全产品可直接向云端数据库查询,而不需将病毒代码下载到装置上。这样一来,厂商不仅更容易管理更新,而且所有的客户在同一时间都能获得防护。現在,当员工出差在外连上网页或从互联网下载文件时,他们的电脑再也不会还再使用旧的病毒代码,再也不会无法应付最新的威胁。员工的装置只需一道简单的手续,向云端信誉数据库查询一下,就能知道某个电子邮件、网页或文件是否有问题。而且,这还能降低电脑资源与网络带宽的占用。例如,一旦恶意文件 URL 遭到了封锁,使用者就不会因为下载恶意文件而浪费网络带宽。此外,也不用浪费装置的 CPU 与记忆体来扫瞄这个文件,因为文件在源头就已经挡掉了。
总而言之,只要信息安全厂商建置了强大的云安全网络,其客户就能比传统信息安全方法的使用者拥有更大的优势。本文所描述的种种细节,一般来说客户是看不见的。这是件好事,因为客户要的,无外乎就是确保资料安全无虞。但是,除非厂商具备自动采样、分析与自动提供最新防护的能力 (而且要快又有效),否则就无法确保客户的安全。在这方面,云安全网绝非浪得虚名。