| 摘要:本文介绍了Anchiva、Blue Coat、Hill stone、Secure Computing、Web sense、Wedge Networks、趋势科技的安全技术专家,对当前热门的Web安全技术进行分析。 |
另外,李松对于Web内容的深度检测也非常看重。他说:“当前防御来自HTTP的威胁已经成为安全网关的首要问题之一。而大量存在漏洞的Web服务器更是随时可能被攻击并被利用来传播或发布恶意软件。网站内容的可变性决定了只有进行内容检查才能得到最可靠的结果。而HTTP访问对于即时性有很高的要求,传统基于X86架构的安全设备在性能处理上存在瓶颈,面对应用层安全设备的高性能需求,利用ASIC芯片扫描技术可以对Web内容进行流畅的扫描。Anchiva目前采用ASIC芯片来进行病毒扫描,加上自主研发的性能优化操作系统,单台设备可以做到千兆级别的线速吞吐。”
在多核的应用上,王钟也非常积极,不过他对实时的内容检测技术有所担心。他说:“针对基于Web的安全威胁,我跟踪了相当长的时间,这方面国外厂商积累了较为资深的经验,从实践来看,效果还不错。针对网页内容引发的Web风险,我更青睐基于URL的网页过滤,以及基于应用协议分析的管控手段。因为安全检测到了内容级,都会消耗较多的系统资源。所以大家才会有这样一个共识,事先对Web内容做安全性检测,提供出对应的URL列表。但这种技术对相应的安全数据库有较高的要求,必须做到经常更新,确保控制的有效性。其实,任何安全防范手段都有其时效性的问题。考虑到开启深度内容检测功能带来的性能下降问题,多数厂商选择放弃,而只提供了入口级的控制手段。如果厂商能解决好处理性能问题,比如将多核处理器支持运用的如火纯青,会为用户提供更为稳固的安全防范手段。”
在功能的全面性与性能的平衡上,Secure Computing的做法比较独特。有意思的是,这家公司本月初刚刚被IDC认定为“全球Web安全产品和解决方案领域市场份额第一,居于市场领导者地位。”
Ecure Computing中国区总裁蔡勇先生表示,Web安全需要全方位的技术方案,包含了从防火墙、Web控制、邮件安全的各个层面。因此对于安全问题,并非某个独立的应用,而是需要在各种不同层次的安全设备中,提供对混合威胁(blended threat)的防护。
他说:“安全做到现在的阶段,我越来越感到安全本身的复杂与庞大。如果要做到全面的安全,单靠某一点的努力已经远远不够了。比如我们一直在推动全球最大和历史最久的信誉系统Trusted Source,目的就是希望通过对不同国家、多种应用的分析----包括对IP地址、域名、邮件、图片、URL等多种对象的数据关联分析,提供最全面、准确和实时的信誉评估,从而最大程度地保护用户的网络和应用。当然,这仅仅是基础,一个优秀的Web安全网关,还需要对SSL扫描进行支持,因为当前隐藏在SSL流量中的恶意软件不胜枚举----全面就不能忽视安全的细节。”
针对当前用户比较头疼的HTTP防御和Web服务器漏洞保护问题,他提出了五点建议:第一,HTTP防御中最困难和最复杂的是解决应用层面的攻击,例如SQL注入、特殊编码、恶意变换URL等;第二,Secure Computing的Sidewinder防火墙通过采用应用代理技术,可以从根本上确定安全防御的模型,确保应用协议的规范性,以及应用的可控性,从而为应用的安全控制提供了管理的可能;第三,利用高效IPS引擎对已经过规范性审核的HTTP流量进行特征检查,可以即时发现恶意攻击;第四,通过Sidewinder中的Geo Locator功能,可以针对不同地域来源的访问设定不通的安全防护级别,优化系统资源与效能;第五,Trusted Source信誉体系提供的信誉评估数据,可以使得安全设备识别出访问的意图,从网络的边缘拒绝掉恶意的僵尸主机攻击,提高正常访问的比率,在提高了安全性的同时节省了带宽。
另外,针对新型Web安全网关的部署模式问题,Web sense中国区技术经理刘沛旻透露,目前主流的Web安全防御方案,主要采用的是旁路监听方式和结合网关设备的方式。如果是采用旁路监听的方式,可以通过复制出口流量来进行内容分析,只有在发现异常数据时才会通过相关组件发送阻断指令,阻断不良、恶意连接,这样的方式是完全不会造成任何网络延迟的。结合网关设备的方式则利用网关设备和Web安全防御方案联动的方式进行,客户的请求将由网关设备转交给Web安全防御产品处理,再决定用户的请求是否被允许,这样的工作方式的确可能造成一定的互联网访问的延迟,但是因为目前主流的Web安全防御方案还是主要采用URL匹配的方式来发现恶意的网站,而不是本地分析整个网页的内容,因此,匹配过滤的速度还是相当快速的。
另外,他也建议,如果用户采用网关设备结合部署,可以采用Proxy设备及硬件缓存设备来进行结合,因为这类网关设备可提供本地的缓存能力,可以为用户提供更快速的内容缓存和页面内容过滤的缓存。
云安全模型引入到Web安全技术之中
就是各家安全厂商都在或多或少地将最新的云计算模型引入到Web安全技术之中,并构建了完善的云安全方案。
在云安全方面投入力量最早的是趋势科技,他们早在两年前就开始针对云安全进行研究,并且在全球部署了34000台云端服务器,同时与顶级域名管理机构合作,在DNS中增加参数,进行全球域安全解析。无疑,所有的努力都是为了尽可能全面地应对Web安全的挑战。
趋势科技资深技术顾问徐学龙表示,云计算是一个数据处理的概念,在处理海量数据的时候的模型,大量集群服务器收集信息,给出结果。这种模式是一种模型,安全厂商利用这种模型推出来的服务,就是云安全方案。
他说:“云安全可以从整个互联网上收集源信息,判断用户的互联网搜索、访问、应用的对象是不是恶意信息。这种模式与病毒代码的比对不同,病毒代码是用特征码进行识别,而云安全根据信息的位置来判断,根据URL地址这一段的风险程度来判断。要知道,传统的病毒代码分析依靠大量人工,而云安全则利用历史的观点不停地对互联网进行分析,通过将URL划分为50多种属性,安全统计的准确性、动态性会非常好,第一次的安全事件命中率可以达到99%,只要全球范围内有1%的用户提交需求给云端服务器,15分钟之后全球的云安全库就会进行策略控制。目前云安全的分析方法是根据信息所在地址的多种属性来分析,通过长期跟踪,几乎没有误报。”
长远来看,针对Web安全中比较头疼的病毒、木马、间谍软件、恶意软件与恶意站点攻击,采用云安全技术确实可以有效阻止此类威胁的蔓延。据统计,目前全球的病毒代码约为100万个,并且在不断增长,这就造成病毒代码比对的难度越来越高。在记者看来,云安全的出发点则是阻止整个互联网中的“威胁块”,这里说的“威胁块”不仅仅是指某个网站,有时候就是一个网页中的一小部分。
云安全是一个技术,不是单一的产品。云安全技术是第一道防线,用户可以选择对访问目标(下载的文件)进行病毒代码扫描,并且与云端服务器进行安全回馈。对企业用户来说,具体的回馈敏感度管理员可以根据使用情况来调整。
最后,徐学龙列出了一套完整的云安全方案需要的组件:Web信誉服务、邮件信誉服务、文件信誉服务。
中国工商银行总行的IT负责人介绍,他们近期已经为全行采购了趋势科技的Web安全网关IWSA,出发点就是看中了其中集成的相关信誉服务体系。随着Web病毒越来越多,Web信誉的价值越发明显。而文件信誉服务则是追踪整个互联网上文件的信誉,跟踪文件的生命周期。包括本地U盘拷贝等,通过MD5算出的32位值比对云端的恶意文件匹配,从而确保了文件安全与防泄漏。
另外,Blue Coat资深技术经理毛骏表示:“为了获得更加完整的安全效果,公司推出基于分层理念的Web安全防御体系。其中包括了云计算层和网关层两大部分。云计算层提供基于全球的网站分类、样本收集与策略分发,而网关层涵盖了基本内容过滤、Web防病毒、用户行为管理、数据防泄露四部分。两大部分相互结合,组成全面、准确、及时的Web安全方案。”
其实,相对于大而全的云安全方案,还有一些在Web安全网关中应用了云安全模型的技术值得关注。
比较有代表性一类包括Blue Coat的Web Pluse网络脉冲技术、Wedge Networks的Trusted Cloud Forest云信任森林技术,他们的共同之处都是将技术嵌入到自家的Web安全网关之中,并且利用在互联网上部署的上万台设备,采集上百万客户端的样本,并且由统一的中心进行分析,全球每天15亿次的各种请求最终形成自身的安全策略进行下发。
另一类则是以Secure Computing的Trusted Source和Web sense的Threat Seeker为代表的信誉体系技术。他们的共同点都是利用云计算的特征,在全球范围内部署设备收集信息,同时进行关联分析,甚至利用蜜罐、网格计算技术为安全规则库更新信息。这种精细化的策略,能够更精准的进行控制,并且减少设备管理上的负担。
责任编辑:Lily
评论表单加载中...
