云安全體系可以令安全廠商更準(zhǔn)確地了解全球安全威脅的變化態(tài)勢��,同時(shí)也有助于廠商發(fā)現(xiàn)新的安全威脅��。無論是國外廠商還是國內(nèi)廠商,真正在云安全領(lǐng)域有所投入的廠商,其采集威脅的速度和數(shù)量都呈現(xiàn)出幾何級數(shù)增長的態(tài)勢�。趨勢科技自有的云服務(wù)器數(shù)量就達(dá)到數(shù)萬臺,而金山也在總部的辦公樓開辟了一層專門用于放置云安全系統(tǒng)��,這些在云安全領(lǐng)域投入重金的廠商掌握的病毒樣本數(shù)量早已達(dá)到千萬級���。
更重要的是�,擁有了海量的安全威脅數(shù)據(jù)之后����,廠商就可以根據(jù)安全威脅情況動(dòng)態(tài)地變更其云防護(hù)體系的工作狀態(tài)。類似趨勢科技的安全爆發(fā)防御體系���,它就需要足夠數(shù)量的監(jiān)測點(diǎn)和統(tǒng)計(jì)數(shù)據(jù)作為支撐����,也可以視為云安全最早的應(yīng)用嘗試之一����。
從核心模式上來說,當(dāng)前的云安全應(yīng)用主要側(cè)重于阻斷用戶訪問已經(jīng)被辨識的安全威脅和可能存在風(fēng)險(xiǎn)的安全威脅��,這主要源于云安全體系可以大幅度加快廠商對安全威脅的響應(yīng)速度����。這其中比較容易引起誤解的一點(diǎn)是�����,云安全是否能夠更好地應(yīng)對未知安全威脅呢?從本質(zhì)上來講,云安全的主要改進(jìn)在于能夠更好地����、更快地響應(yīng)已知安全威脅。不過在一些特定條件下���,云安全也可以對未知安全威脅防護(hù)提供幫助��。
假設(shè)一個(gè)剛剛被放入互聯(lián)網(wǎng)的惡意軟件感染了第一臺計(jì)算機(jī)����,這個(gè)惡意軟件對于這臺計(jì)算機(jī)是一個(gè)未知的安全威脅;如果該計(jì)算機(jī)將這個(gè)感染行為以及這個(gè)程序提交給了云安全網(wǎng)絡(luò)��,那么相比傳統(tǒng)模式而言���,其他使用該安全云服務(wù)的計(jì)算機(jī)就有更大的機(jī)會(huì)避免被該程序感染��。
也就是說�����,云安全體系更多地是避免一個(gè)未知安全威脅所帶來的破壞���,讓廠商和用戶能更快地發(fā)現(xiàn)新出現(xiàn)的安全威脅���,而與未知威脅檢測技術(shù)無關(guān)。
云安全的選擇及路徑
當(dāng)"云安全"作為一個(gè)名詞吸引了公眾的注意之后���,所有的安全廠商都陸續(xù)宣布了對云安全的支持��,這一幕看起來與UTM剛剛問世時(shí)何其相似�。如何正確看待云安全的效果���,如何選擇真正支持云安全的產(chǎn)品����,這些問題需要選購安全產(chǎn)品的用戶認(rèn)真對待����。
就目前的情況來看,選擇一線廠商的產(chǎn)品所獲得的保障無疑要更強(qiáng)一些�,而這并非只是源于品牌和信譽(yù)�。對一個(gè)云安全體系來說�,其投入規(guī)模和所擁有的用戶數(shù)量,相當(dāng)于云的大小和密度����,也決定了云的工作質(zhì)量。
第一代云安全技術(shù):海量采集應(yīng)對海量威脅
最開始被集成到安全產(chǎn)品中的云安全技術(shù)����,主要集中于將從終端客戶處收集到的信息返回到安全云端��,同時(shí)將分析后的結(jié)果返回給終端客戶�。這種作法的好處在于能夠利用云安全體系的巨大運(yùn)算處理能力和共享的安全威脅信息,為終端用戶提供更及時(shí)����、更有效的安全保護(hù)服務(wù)。在傳統(tǒng)的安全防護(hù)模式下��,安全廠商通常依賴人工方式采集安全威脅信息�����。
由于高速互聯(lián)網(wǎng)連接的普及�����,一個(gè)新出現(xiàn)的安全威脅完全有能力在數(shù)個(gè)小時(shí)甚至不到一個(gè)小時(shí)之內(nèi)在全球網(wǎng)絡(luò)內(nèi)實(shí)現(xiàn)傳播,而舊有的安全響應(yīng)體系已經(jīng)漏洞百出���。在應(yīng)用了云安全體系之后��,廠商可以將威脅的采集工作更多地轉(zhuǎn)移到終端用戶的計(jì)算機(jī)上�,根據(jù)其訪問行為和受感染情況來更準(zhǔn)確地獲知安全威脅的產(chǎn)生和蔓延情況�����。
對于一些明顯可能造成破壞的安全操作���,云安全系統(tǒng)會(huì)自主將其標(biāo)示為安全威脅���,這樣在其它計(jì)算機(jī)執(zhí)行相同或相似的操作時(shí),就會(huì)獲得來自云端的警告���,從而以接近實(shí)時(shí)的速度獲得對安全威脅的免疫���。
事實(shí)上,在一個(gè)運(yùn)行良好的云安全體系當(dāng)中����,從一個(gè)新威脅被識別到被標(biāo)識�,所耗費(fèi)的時(shí)間極短�����,甚至要少于終端計(jì)算機(jī)更新病毒特征碼以及完成特征碼加載的時(shí)間��,這為安全產(chǎn)品提高響應(yīng)速度提供了很好的技術(shù)基礎(chǔ)���。
第二代云安全技術(shù):更加全面徹底的云安全
事實(shí)上�����,第一代的云安全技術(shù)表現(xiàn)在產(chǎn)品功能上,更多的是以信息采集為主����,真正能夠產(chǎn)生效果的安全功能寥寥無幾。在第二代的云安全技術(shù)應(yīng)用上�����,一個(gè)顯著的特征就是安全功能對云安全體系更充分��、更廣泛的利用。目前已有多家主流的安全廠商都推出了具有云安全2.0技術(shù)特征的產(chǎn)品���。以最先倡導(dǎo)云安全技術(shù)的趨勢科技來說����,其最新版本的產(chǎn)品線都集成了被稱之為文件信譽(yù)的安全技術(shù)����。
顧名思義,與在云端檢測Web地址安全性的Web信譽(yù)技術(shù)一樣���,文件信譽(yù)技術(shù)旨在通過云安全體系判斷位于客戶端的文件是否包含惡意威脅�����。在傳統(tǒng)的特征碼識別技術(shù)中����,通常是將文件內(nèi)容不同部分的Hash值與所檢測文件的Hash值進(jìn)行比較�,從而判別文件是否受到感染。
與傳統(tǒng)的將特征碼放置在客戶端的方式不同��,基于云安全體系的文件信譽(yù)技術(shù)����,支持將特征等檢測所用的信息放置在云端(比如全球性的云安全網(wǎng)絡(luò)或局域網(wǎng)中的云安全服務(wù)器)�。這樣做的顯見好處是�,解決了從更新文件發(fā)布,到客戶端部署了更新這段時(shí)間間隔里�,防護(hù)系統(tǒng)無法識別最新安全威脅的問題。
通過連接到云端服務(wù)器�,終端計(jì)算機(jī)始終能獲得最新的防護(hù)。如果說第一代云安全技術(shù)提高了發(fā)現(xiàn)安全威脅的速度�,那么第二代云安全技術(shù)則讓安全防護(hù)功能得以用接近實(shí)時(shí)的速度檢測和識別最新的安全威脅。
下一代云安全技術(shù):靈動(dòng)的云
相信用不了多久��,幾乎所有的安全功能都將順暢地接入云端����,從而實(shí)現(xiàn)云級別的安全防護(hù)。解決了安全威脅響應(yīng)速度這一核心問題之后�,對安全防護(hù)的質(zhì)量提升將是云安全的下一命題�����。
由于云安全體系所擁有的龐大的資源配給��,用戶無疑會(huì)對其能夠在多大程度上替代人工分析和操作�,抱有極大的興趣���。事實(shí)上,這也是能否從本質(zhì)上提升安全產(chǎn)品保護(hù)能力的一個(gè)重要指標(biāo)���。
另一方面��,終端用戶應(yīng)期待可以通過自己的產(chǎn)品界面�����,對安全云進(jìn)行更多的操作和管理����。以往對于客戶端防護(hù)產(chǎn)品的定制能力將轉(zhuǎn)移到云端���,用戶可以決定哪些安全功能需要連入云端����,而哪些功能必須使用本地的防護(hù)引擎����。在3.0乃至4.0的云安全技術(shù)體系中,用戶將獲得更大限度的自由,安全保護(hù)的新時(shí)代也將隨之展開���。
模擬真實(shí)環(huán)境 破解云安全謎團(tuán)
為了更好地模擬管理中心����、服務(wù)器客戶端���、工作站客戶端等常見的安全對象���,在本次評測過程中我們啟用了五臺計(jì)算機(jī),其中一臺用作管理服務(wù)器���,其它計(jì)算機(jī)作為終端計(jì)算機(jī)���。
在網(wǎng)絡(luò)環(huán)境方面,我們使用一臺TP-Link的TL-R860路由器作為連接設(shè)備��,所有測試用計(jì)算機(jī)都以百兆以太網(wǎng)形式接入該設(shè)備�����。同時(shí)在該設(shè)備上還接入了2Mbps的網(wǎng)通寬帶���,用以提供互聯(lián)網(wǎng)連接�����。在測試過程中����,我們對產(chǎn)品的測試實(shí)現(xiàn)完全分離�����,也即完整地測試完一個(gè)產(chǎn)品之后�,再測試另一個(gè)產(chǎn)品,以避免測試過程中相互干擾�。
本次測評參測產(chǎn)品4款,包括趨勢科技OfficeScan10.0��、熊貓AdminSecureBusiness���。令我們感覺有些遺憾的是��,由于另外兩家參測廠商即將發(fā)布新的產(chǎn)品版本�,所以在本次評測中隱去其真實(shí)廠商及產(chǎn)品名稱���。在這里�����,我們將在總體上對其進(jìn)行適當(dāng)?shù)狞c(diǎn)評���,以讓讀者了解這些產(chǎn)品最新的發(fā)展?fàn)顩r����。文中以X和Y表示用來表示隱去其真實(shí)廠商的產(chǎn)品名稱�。
在性能表現(xiàn)方面,產(chǎn)品安裝后的系統(tǒng)資源占用情況以及產(chǎn)品的運(yùn)行速度都是關(guān)注的重點(diǎn)����。通過比較安裝前后的磁盤空間占用情況,我們可以了解產(chǎn)品對硬盤的消耗���。同時(shí)針對管理服務(wù)器�����、客戶端的處理器和內(nèi)存資源使用情況����,測試工程師也給出了相應(yīng)的評價(jià)。
檢測引擎的速度一直是評估安全產(chǎn)品性能的保留項(xiàng)目�,本次評測過程中通過對一個(gè)包含4GB文件的系統(tǒng)內(nèi)分區(qū)進(jìn)行掃描來完成該項(xiàng)測試�。為了判斷產(chǎn)品的檢測引擎是否支持文件指紋機(jī)制,該項(xiàng)測試共進(jìn)行兩次���,每次測試之間計(jì)算機(jī)會(huì)重新啟動(dòng)以令時(shí)間記錄更加精確��。
惡意軟件檢測
我們選用了100個(gè)采集自實(shí)際應(yīng)用環(huán)境的惡意程序樣本����。其中覆蓋了蠕蟲����、木馬程序、腳本病毒�����、廣告軟件和黑客工具等多個(gè)常見的惡意軟件類別����。另外,在測試樣本中也包含了一些未被驗(yàn)證的����、可能包含安全威脅的程序����,用以驗(yàn)證參測產(chǎn)品在檢測未知威脅方面的能力���。在該項(xiàng)測試過程中�,所有產(chǎn)品的檢測引擎的識別能力和識別范圍均開啟為最高��,所有有助于提高檢測效果的選項(xiàng)也均被啟用�����。
防火墻測試
防火墻作為另一個(gè)核心的安全防護(hù)模塊����,也設(shè)定了多個(gè)專門的測試項(xiàng)目?;贕RC網(wǎng)站提供的在線檢測工具ShieldsUP!,我們能夠了解一臺計(jì)算機(jī)的網(wǎng)絡(luò)端口在外網(wǎng)看起來是處于什么狀態(tài)�。
該檢測分析計(jì)算機(jī)的前1056個(gè)端口,并且提供計(jì)算機(jī)是否響應(yīng)Ping請求的附加測試結(jié)果�。另外,我們通過一組工具來測試在終端計(jì)算機(jī)上利用各種方法建立外向連接時(shí)����,防火墻組件的反應(yīng)行為是否正確�。下面提供了這些測試工具的工作機(jī)制等相關(guān)描述��。
LeakTest:該工具在被測計(jì)算機(jī)上建立外向連接�����,如果防火墻組件發(fā)現(xiàn)了建立連接的行為�,視為能夠識別基本的外向連接活動(dòng)���。
FireHole:該工具調(diào)用系統(tǒng)中的缺省瀏覽器傳送數(shù)據(jù)到遠(yuǎn)程主機(jī)��,在計(jì)算機(jī)上建立具有攔截功能的DLL����,從而偽裝瀏覽器進(jìn)程進(jìn)行數(shù)據(jù)發(fā)送���。
PCFlank:與FireHole工具類似�,該工具檢驗(yàn)一個(gè)防火墻信任的程序在調(diào)用另一個(gè)程序時(shí)�����,在工作方式上利用了Windows的OLE自動(dòng)化機(jī)制。
ZAbypass:該工具使用直接數(shù)據(jù)交換(DDE�����,DataDirectExchange)技術(shù)����,以借助系統(tǒng)中的IE瀏覽器訪問互聯(lián)網(wǎng)服務(wù)器上的數(shù)據(jù)。
Jumper:該工具會(huì)生成一個(gè)DLL文件���,將其掛接到Explorer.exe之后關(guān)閉和重啟該程序���,從而執(zhí)行該DLL。這項(xiàng)測試同時(shí)考察防火墻組件的防DLL注入能力以及對注冊表關(guān)鍵位置的保護(hù)能力�����。
Ghost:通過修改瀏覽器進(jìn)程的PID來欺騙防火墻組件����,從而通過系統(tǒng)缺省瀏覽器向互聯(lián)網(wǎng)發(fā)送信息,主要用于測試防火墻是否能夠?qū)崿F(xiàn)進(jìn)程級別的監(jiān)控����。
云安全測試
針對當(dāng)下最熱門的云安全技術(shù)�����,在本次評測中也專設(shè)了多個(gè)測試項(xiàng)目����。首先我們的工程師會(huì)驗(yàn)證參測產(chǎn)品是否支持云安全網(wǎng)絡(luò)�����,以及支持哪些云端安全功能�����。例如�����,通過訪問包含有惡意代碼的網(wǎng)站來判別參測產(chǎn)品是否支持云端Web威脅識別�����。
另外����,我們會(huì)嘗試使用產(chǎn)品的云端功能檢測前面所準(zhǔn)備的100個(gè)惡意軟件樣本,比較其檢測率和處理能力相較使用傳統(tǒng)掃描引擎是否有所提高�,從而驗(yàn)證云安全機(jī)制對于產(chǎn)品效能的提高發(fā)揮的作用。
管理機(jī)制測試
管理能力是企業(yè)級安全產(chǎn)品的重中之重����,通過對參測產(chǎn)品的終端管理、終端部署�����、權(quán)限管理����、配置管理等諸多方面的能力進(jìn)行考察和評估,我們可以獲得產(chǎn)品管理機(jī)制是否健壯有效的第一手證據(jù)�����。
與此同時(shí)����,產(chǎn)品客戶端所具備的特性,特別是管理端對于客戶端的授權(quán)和控制�����,也是網(wǎng)絡(luò)版安全產(chǎn)品需要重點(diǎn)關(guān)注的問題。
易用性測試
在易用性方面���,我們遵循軟件業(yè)內(nèi)常見的一些評估方式�����,進(jìn)行體現(xiàn)物理操作負(fù)擔(dān)的肌肉事件測試��,針對界面設(shè)計(jì)的屏幕利用率測試以及體現(xiàn)操作流程的記憶負(fù)擔(dān)測試等諸多測試項(xiàng)目�����。
結(jié)合針對界面元素排布、界面指引等方面的分析��,最終形成對軟件易用性的綜合性評價(jià)����。在易用性的測試過程中,主要面向參測產(chǎn)品的控管中心模塊����,對于部署于服務(wù)器和工作站上的終端軟件不進(jìn)行評估。
評測總結(jié)
在本次評測中,通過對比應(yīng)用云安全的產(chǎn)品和傳統(tǒng)形式的產(chǎn)品����,我們發(fā)現(xiàn)云安全類型的產(chǎn)品帶給客戶端的負(fù)擔(dān)更小。趨勢科技已經(jīng)近乎徹底地實(shí)現(xiàn)了產(chǎn)品的云安全化���,無論從基礎(chǔ)架構(gòu)還是從核心功能上看��,云安全技術(shù)都在充分地發(fā)揮作用���。
而熊貓的云安全應(yīng)用,則更多地停留在后臺輔助服務(wù)方面���,用戶從前端功能還無法明確了解云安全的具體應(yīng)用狀態(tài)���。相對地,X和Y在云安全應(yīng)用領(lǐng)域也取得了相當(dāng)?shù)某晒?���,并且擁有相?dāng)規(guī)模的云安全網(wǎng)絡(luò)支持,對其安全威脅的發(fā)現(xiàn)和采集提供了相當(dāng)?shù)膸椭?/p>
通過評測�,我們也發(fā)現(xiàn)目前的主流企業(yè)級安全產(chǎn)品并沒有走向完全趨同的發(fā)展道路?�;诓煌氖袌隼斫夂筒煌目蛻羧∠颍煌瑥S商在構(gòu)造自己的產(chǎn)品時(shí)�,都體現(xiàn)出鮮明的功能和設(shè)計(jì)特點(diǎn)。
從產(chǎn)品的適用群體來看���,趨勢科技是一個(gè)可以適應(yīng)任何用戶群體的產(chǎn)品���,其表現(xiàn)相當(dāng)均衡。而熊貓更適合具有系統(tǒng)平臺混雜���、外網(wǎng)連接受限等特征的企業(yè)��,例如一些商業(yè)營業(yè)型的企業(yè)����。
由于產(chǎn)品在各個(gè)方面都具有上佳表現(xiàn)�����,而且集成了強(qiáng)大的2.0級別云安全技術(shù)�����,趨勢科技毫無爭議地獲得了本次評測的"狀元"���。無論是防護(hù)能力還是管理能力����,趨勢科技都完全能滿足中小企業(yè)用戶的需要�����,我們強(qiáng)烈推薦用戶考慮應(yīng)用這款產(chǎn)品來保護(hù)自己的企業(yè)網(wǎng)絡(luò)�����,其效率和安全強(qiáng)度的提升都相當(dāng)可觀
