云安全體系可以令安全廠商更準確地了解全球安全威脅的變化態(tài)勢�,同時也有助于廠商發(fā)現(xiàn)新的安全威脅��。無論是國外廠商還是國內廠商����,真正在云安全領域有所投入的廠商����,其采集威脅的速度和數量都呈現(xiàn)出幾何級數增長的態(tài)勢。趨勢科技自有的云服務器數量就達到數萬臺�����,而金山也在總部的辦公樓開辟了一層專門用于放置云安全系統(tǒng)����,這些在云安全領域投入重金的廠商掌握的病毒樣本數量早已達到千萬級。
更重要的是����,擁有了海量的安全威脅數據之后,廠商就可以根據安全威脅情況動態(tài)地變更其云防護體系的工作狀態(tài)�。類似趨勢科技的安全爆發(fā)防御體系,它就需要足夠數量的監(jiān)測點和統(tǒng)計數據作為支撐�����,也可以視為云安全最早的應用嘗試之一����。
從核心模式上來說,當前的云安全應用主要側重于阻斷用戶訪問已經被辨識的安全威脅和可能存在風險的安全威脅��,這主要源于云安全體系可以大幅度加快廠商對安全威脅的響應速度�。這其中比較容易引起誤解的一點是����,云安全是否能夠更好地應對未知安全威脅呢?從本質上來講�����,云安全的主要改進在于能夠更好地�����、更快地響應已知安全威脅��。不過在一些特定條件下�����,云安全也可以對未知安全威脅防護提供幫助����。
假設一個剛剛被放入互聯(lián)網的惡意軟件感染了第一臺計算機���,這個惡意軟件對于這臺計算機是一個未知的安全威脅;如果該計算機將這個感染行為以及這個程序提交給了云安全網絡�,那么相比傳統(tǒng)模式而言�����,其他使用該安全云服務的計算機就有更大的機會避免被該程序感染。
也就是說����,云安全體系更多地是避免一個未知安全威脅所帶來的破壞,讓廠商和用戶能更快地發(fā)現(xiàn)新出現(xiàn)的安全威脅����,而與未知威脅檢測技術無關。
云安全的選擇及路徑
當"云安全"作為一個名詞吸引了公眾的注意之后��,所有的安全廠商都陸續(xù)宣布了對云安全的支持���,這一幕看起來與UTM剛剛問世時何其相似��。如何正確看待云安全的效果���,如何選擇真正支持云安全的產品,這些問題需要選購安全產品的用戶認真對待����。
就目前的情況來看,選擇一線廠商的產品所獲得的保障無疑要更強一些���,而這并非只是源于品牌和信譽��。對一個云安全體系來說�,其投入規(guī)模和所擁有的用戶數量,相當于云的大小和密度���,也決定了云的工作質量����。
第一代云安全技術:海量采集應對海量威脅
最開始被集成到安全產品中的云安全技術�����,主要集中于將從終端客戶處收集到的信息返回到安全云端��,同時將分析后的結果返回給終端客戶���。這種作法的好處在于能夠利用云安全體系的巨大運算處理能力和共享的安全威脅信息,為終端用戶提供更及時�、更有效的安全保護服務。在傳統(tǒng)的安全防護模式下�����,安全廠商通常依賴人工方式采集安全威脅信息。
由于高速互聯(lián)網連接的普及��,一個新出現(xiàn)的安全威脅完全有能力在數個小時甚至不到一個小時之內在全球網絡內實現(xiàn)傳播�����,而舊有的安全響應體系已經漏洞百出�。在應用了云安全體系之后,廠商可以將威脅的采集工作更多地轉移到終端用戶的計算機上���,根據其訪問行為和受感染情況來更準確地獲知安全威脅的產生和蔓延情況����。
對于一些明顯可能造成破壞的安全操作��,云安全系統(tǒng)會自主將其標示為安全威脅��,這樣在其它計算機執(zhí)行相同或相似的操作時���,就會獲得來自云端的警告�,從而以接近實時的速度獲得對安全威脅的免疫����。
事實上��,在一個運行良好的云安全體系當中����,從一個新威脅被識別到被標識��,所耗費的時間極短��,甚至要少于終端計算機更新病毒特征碼以及完成特征碼加載的時間���,這為安全產品提高響應速度提供了很好的技術基礎��。
第二代云安全技術:更加全面徹底的云安全
事實上���,第一代的云安全技術表現(xiàn)在產品功能上,更多的是以信息采集為主���,真正能夠產生效果的安全功能寥寥無幾。在第二代的云安全技術應用上��,一個顯著的特征就是安全功能對云安全體系更充分��、更廣泛的利用���。目前已有多家主流的安全廠商都推出了具有云安全2.0技術特征的產品���。以最先倡導云安全技術的趨勢科技來說���,其最新版本的產品線都集成了被稱之為文件信譽的安全技術。
顧名思義����,與在云端檢測Web地址安全性的Web信譽技術一樣,文件信譽技術旨在通過云安全體系判斷位于客戶端的文件是否包含惡意威脅�。在傳統(tǒng)的特征碼識別技術中,通常是將文件內容不同部分的Hash值與所檢測文件的Hash值進行比較�,從而判別文件是否受到感染。
與傳統(tǒng)的將特征碼放置在客戶端的方式不同���,基于云安全體系的文件信譽技術����,支持將特征等檢測所用的信息放置在云端(比如全球性的云安全網絡或局域網中的云安全服務器)����。這樣做的顯見好處是,解決了從更新文件發(fā)布��,到客戶端部署了更新這段時間間隔里,防護系統(tǒng)無法識別最新安全威脅的問題�����。
通過連接到云端服務器�����,終端計算機始終能獲得最新的防護�。如果說第一代云安全技術提高了發(fā)現(xiàn)安全威脅的速度,那么第二代云安全技術則讓安全防護功能得以用接近實時的速度檢測和識別最新的安全威脅���。
下一代云安全技術:靈動的云
相信用不了多久��,幾乎所有的安全功能都將順暢地接入云端���,從而實現(xiàn)云級別的安全防護。解決了安全威脅響應速度這一核心問題之后�����,對安全防護的質量提升將是云安全的下一命題����。
由于云安全體系所擁有的龐大的資源配給,用戶無疑會對其能夠在多大程度上替代人工分析和操作���,抱有極大的興趣��。事實上�����,這也是能否從本質上提升安全產品保護能力的一個重要指標����。
另一方面����,終端用戶應期待可以通過自己的產品界面,對安全云進行更多的操作和管理�。以往對于客戶端防護產品的定制能力將轉移到云端,用戶可以決定哪些安全功能需要連入云端��,而哪些功能必須使用本地的防護引擎��。在3.0乃至4.0的云安全技術體系中�����,用戶將獲得更大限度的自由,安全保護的新時代也將隨之展開�����。
模擬真實環(huán)境 破解云安全謎團
為了更好地模擬管理中心�、服務器客戶端、工作站客戶端等常見的安全對象�����,在本次評測過程中我們啟用了五臺計算機�,其中一臺用作管理服務器,其它計算機作為終端計算機�����。
在網絡環(huán)境方面�,我們使用一臺TP-Link的TL-R860路由器作為連接設備,所有測試用計算機都以百兆以太網形式接入該設備�。同時在該設備上還接入了2Mbps的網通寬帶,用以提供互聯(lián)網連接�。在測試過程中,我們對產品的測試實現(xiàn)完全分離���,也即完整地測試完一個產品之后��,再測試另一個產品���,以避免測試過程中相互干擾。
本次測評參測產品4款�,包括趨勢科技OfficeScan10.0、熊貓AdminSecureBusiness��。令我們感覺有些遺憾的是����,由于另外兩家參測廠商即將發(fā)布新的產品版本,所以在本次評測中隱去其真實廠商及產品名稱����。在這里,我們將在總體上對其進行適當的點評�����,以讓讀者了解這些產品最新的發(fā)展狀況����。文中以X和Y表示用來表示隱去其真實廠商的產品名稱��。
在性能表現(xiàn)方面�,產品安裝后的系統(tǒng)資源占用情況以及產品的運行速度都是關注的重點�。通過比較安裝前后的磁盤空間占用情況,我們可以了解產品對硬盤的消耗���。同時針對管理服務器���、客戶端的處理器和內存資源使用情況,測試工程師也給出了相應的評價�。
檢測引擎的速度一直是評估安全產品性能的保留項目,本次評測過程中通過對一個包含4GB文件的系統(tǒng)內分區(qū)進行掃描來完成該項測試�����。為了判斷產品的檢測引擎是否支持文件指紋機制����,該項測試共進行兩次,每次測試之間計算機會重新啟動以令時間記錄更加精確����。
惡意軟件檢測
我們選用了100個采集自實際應用環(huán)境的惡意程序樣本。其中覆蓋了蠕蟲�、木馬程序����、腳本病毒����、廣告軟件和黑客工具等多個常見的惡意軟件類別。另外����,在測試樣本中也包含了一些未被驗證的�����、可能包含安全威脅的程序�,用以驗證參測產品在檢測未知威脅方面的能力。在該項測試過程中����,所有產品的檢測引擎的識別能力和識別范圍均開啟為最高,所有有助于提高檢測效果的選項也均被啟用�����。
防火墻測試
防火墻作為另一個核心的安全防護模塊�,也設定了多個專門的測試項目���。基于GRC網站提供的在線檢測工具ShieldsUP!�,我們能夠了解一臺計算機的網絡端口在外網看起來是處于什么狀態(tài)。
該檢測分析計算機的前1056個端口����,并且提供計算機是否響應Ping請求的附加測試結果。另外�,我們通過一組工具來測試在終端計算機上利用各種方法建立外向連接時,防火墻組件的反應行為是否正確��。下面提供了這些測試工具的工作機制等相關描述�。
LeakTest:該工具在被測計算機上建立外向連接,如果防火墻組件發(fā)現(xiàn)了建立連接的行為����,視為能夠識別基本的外向連接活動。
FireHole:該工具調用系統(tǒng)中的缺省瀏覽器傳送數據到遠程主機����,在計算機上建立具有攔截功能的DLL,從而偽裝瀏覽器進程進行數據發(fā)送�。
PCFlank:與FireHole工具類似,該工具檢驗一個防火墻信任的程序在調用另一個程序時���,在工作方式上利用了Windows的OLE自動化機制��。
ZAbypass:該工具使用直接數據交換(DDE�,DataDirectExchange)技術,以借助系統(tǒng)中的IE瀏覽器訪問互聯(lián)網服務器上的數據��。
Jumper:該工具會生成一個DLL文件�,將其掛接到Explorer.exe之后關閉和重啟該程序,從而執(zhí)行該DLL�。這項測試同時考察防火墻組件的防DLL注入能力以及對注冊表關鍵位置的保護能力。
Ghost:通過修改瀏覽器進程的PID來欺騙防火墻組件����,從而通過系統(tǒng)缺省瀏覽器向互聯(lián)網發(fā)送信息�,主要用于測試防火墻是否能夠實現(xiàn)進程級別的監(jiān)控。
云安全測試
針對當下最熱門的云安全技術��,在本次評測中也專設了多個測試項目��。首先我們的工程師會驗證參測產品是否支持云安全網絡���,以及支持哪些云端安全功能�。例如�����,通過訪問包含有惡意代碼的網站來判別參測產品是否支持云端Web威脅識別。
另外�����,我們會嘗試使用產品的云端功能檢測前面所準備的100個惡意軟件樣本�,比較其檢測率和處理能力相較使用傳統(tǒng)掃描引擎是否有所提高,從而驗證云安全機制對于產品效能的提高發(fā)揮的作用�����。
管理機制測試
管理能力是企業(yè)級安全產品的重中之重���,通過對參測產品的終端管理�、終端部署�、權限管理、配置管理等諸多方面的能力進行考察和評估���,我們可以獲得產品管理機制是否健壯有效的第一手證據�。
與此同時��,產品客戶端所具備的特性,特別是管理端對于客戶端的授權和控制�����,也是網絡版安全產品需要重點關注的問題�。
易用性測試
在易用性方面,我們遵循軟件業(yè)內常見的一些評估方式���,進行體現(xiàn)物理操作負擔的肌肉事件測試���,針對界面設計的屏幕利用率測試以及體現(xiàn)操作流程的記憶負擔測試等諸多測試項目。
結合針對界面元素排布���、界面指引等方面的分析����,最終形成對軟件易用性的綜合性評價����。在易用性的測試過程中�����,主要面向參測產品的控管中心模塊��,對于部署于服務器和工作站上的終端軟件不進行評估。
評測總結
在本次評測中����,通過對比應用云安全的產品和傳統(tǒng)形式的產品,我們發(fā)現(xiàn)云安全類型的產品帶給客戶端的負擔更小��。趨勢科技已經近乎徹底地實現(xiàn)了產品的云安全化��,無論從基礎架構還是從核心功能上看��,云安全技術都在充分地發(fā)揮作用�����。
而熊貓的云安全應用����,則更多地停留在后臺輔助服務方面����,用戶從前端功能還無法明確了解云安全的具體應用狀態(tài)。相對地����,X和Y在云安全應用領域也取得了相當的成果���,并且擁有相當規(guī)模的云安全網絡支持,對其安全威脅的發(fā)現(xiàn)和采集提供了相當的幫助��。
通過評測���,我們也發(fā)現(xiàn)目前的主流企業(yè)級安全產品并沒有走向完全趨同的發(fā)展道路��?�;诓煌氖袌隼斫夂筒煌目蛻羧∠?����,不同廠商在構造自己的產品時���,都體現(xiàn)出鮮明的功能和設計特點。
從產品的適用群體來看���,趨勢科技是一個可以適應任何用戶群體的產品,其表現(xiàn)相當均衡�����。而熊貓更適合具有系統(tǒng)平臺混雜、外網連接受限等特征的企業(yè)����,例如一些商業(yè)營業(yè)型的企業(yè)。
由于產品在各個方面都具有上佳表現(xiàn)�����,而且集成了強大的2.0級別云安全技術�,趨勢科技毫無爭議地獲得了本次評測的"狀元"。無論是防護能力還是管理能力�����,趨勢科技都完全能滿足中小企業(yè)用戶的需要��,我們強烈推薦用戶考慮應用這款產品來保護自己的企業(yè)網絡��,其效率和安全強度的提升都相當可觀
