主动防御这一概念自提出之日起,便备受争议。有人将它视作信息网络安全今后发展的必然趋势,有人则认为它只是存留于理想状态的文字游戏而已。常言道:话不说不透,理不辩不明。讨论主动防御究竟是否行得通,首先要弄明白一点,什么是主动防御?
主动防御的概念及优势
顾名思义,主动防御就是指能够主动检测和拦截未知威胁的防御方法。传统的防御方法主要是基于特征码识别技术,它具有明显的滞后性。厂商只有发现新病毒或新漏洞之后,才有可能从病毒体中提取其特征值,继而对其进行签名或是给漏洞打上补丁,这中间的时间差足以对用户构成极大威胁,此种方式在防范已知威胁时效果还不错,但在应对未知攻击时就显得十分被动。病毒的代码可以千变万化,但其目的却不外乎以下几种:键盘记录、远程控制、修改文件数据、盗取用户资料等等。只要针对病毒行为特征进行归类总结,并研究出应对方法,就能够做到以静制动,使企业最大限度地免受未知威胁的攻击,而这也是主动防御最值得称道的地方。
主动防御的必要性
网络是企业通信基础结构的核心。今天的网络应用能够支持关键任务的执行和交易、客户与合作伙伴关系、会议、财务转发、对机密信息的分布式访问以及更多其他活动。保护网络就是保护企业本身。
随着Web2.0的普及,它在给企业带来便利的同时,也带来了巨大的潜在威胁。从前仅限于消息层的攻击将可以通过Web和网络层渗透到企业中。现在,通信服务已嵌入系统和应用程序,这也是频繁导致混合威胁的因素之一。恶意威胁的进化和衍变速度加快,传统的防御方法如基于签名的反应式系统、黑名单/白名单技术、检查应用层的较旧封包式防火墙等已不足以与其对抗,企业安全岌岌可危。因此,企业对现代网关安全提出了新要求:第一,能够积极预料威胁,以便在威胁造成损害之前,将其捕获;第二,采用实时全球智能技术,作为多层防护的一部分,集成多种安全技术,全面确保安全。要应对这些更高的安全需求,主动防御,舍我其谁。
主动防御技术参差不齐
从消极应对到主动出击,按理说,主动防御应该是受到普遍欢迎才对,为什么业界对它会有如此大的争议呢?这是因为目前很多安全厂商在推出新产品时,都会强调其产品具有"主动防御"技术。然而事实却是,各厂商对主动防御技术的理解差异,导致用户在选择时无所适从。
如前所述,主动防御技术要发挥效用,必须基于对大量数据进行统计和分析。只有广泛收集大量的威胁行为,为对其行为特征进行科学合理的归类总结,在此基础上,才能对未知攻击做出准确的评价。而现在大多数的主动防御产品,虽然已经具备了"主动出击"的功能,但由于数据库不够完善,对未知攻击难以做出精准的评价,不是误报率太高,就是对真正的威胁视而不见。
每个厂商都希望自己的主动防御技术是行业标准,但在这一领域,与其说需要标准,倒不如说需要一个合理的框架。要实现安全策略,需要放在框架里做,在这个框架中,最重要就是产品设备的架构,即核心设备是否有漏洞,是否被攻破过,进而使整个框架牢不可破。因此,其主动的、智能化的、无漏洞的防御体系正是最佳最理想的实施途径。主动防御也就不仅仅是一种技术,还应该是一个框架、一个体系。
TrustedSource:全球领先的主动安全信誉系统
目前,世界上最完善的主动前瞻性防御体系当属Secure Computing公司的TrustedSource。作为Secure Computing 的整个企业网关安全解决方案的基础,TrustedSource从 68 个国家的 7000多台传感器(每月包括超过 1100 亿条消息和数百万个 URL)积累了大量的数据,以便极其准确地创建 Internet 中所有发件人、消息、网站和域活动的档案,然后,TrustedSource 就可以使用这些档案来监视是否存在违反预期的行为。
为了提供现实世界中的 TrustedSource 系统示例,我们来讨论一下关于机场安全的问题。众所周知,为了预防恶意攻击,必须加大对人员和行李的检查力度。但是,当今最新的机场安全水平仍然是反应式的。依赖于我们已知的、恐怖分子已经尝试过的威胁类型(鞋底炸弹、气溶胶污染物等)。因此,我们要求任何人(无论其身份或职业)均脱下鞋子,并限制将化妆品置于小容器中,以自封口胶袋包装。不过更糟糕的是,当恐怖分子试图在机场部署新的攻击措施后,应对措施通常需要几天后才会出现。
但是,如果机场安全部门部署一个类似 TrustedSource 的系统,即时获悉恐怖分子(因为此人具有可疑行为的"信誉分数")预订了航班机票,因而将其阻止或列入高危险名单中。该人士及其行李将在机场接受彻底检查;而具有"良好信誉分数"的旅客只需接受常规审查。该类似于 TrustedSource 的系统将向各地的航空公司和交通安全管理局通告更改该预订人士的信誉–持续跟踪并作为历史记录中的一部分。TrustedSource 系统可以做到实时运行,因此,如果某位具有良好信誉的人士预订了航班,但是,后来却进入监视名单或由于违反安全行为被逮捕,TrustedSource 会立即更新该信誉信息,并警示航空公司和交通安全管理局。同样,如果某位新恐怖分子试图在新加坡活动,系统将立即展开分析,并共享其详细信息,即时在全球范围内的其他机场部署新的安全措施。
从上面这个例子我们可以清楚地了解到TrustedSource系统的工作流程,那么,与其它安全框架相比,它的优势在哪里呢?
第一,收集数据的数量庞大。与世界上的任何其他消息安全技术相比,TrustedSource 能够注意到发送至更多企业和政府的电子邮件。每月的消息数量超过 1100 亿条。
第二,收集数据的准确性高。TrustedSource 采用 80 多个行为分类器执行实时行为分析,检查超过 1000 个特性,并且通常每天能够识别多达 400,000 种新的网络僵尸。通过以智能方式统计全球行为,并发送可供每位发件人使用的模范知识,TrustedSource 可以与分配到每个身份的信誉相互关联。
第三,数据来源广泛。TrustedSource 结合了从多种来源获取的信息,这些来源包括病毒检测Web 页面和电子邮件流量。这可以确保 TrustedSource 能够收集到比任何单一来源更多的数据,并进行智能统计,以帮助识别和阻止使用多个协议的混合威胁。
第四,反应迅速。通过结合发件人、消息、域、图像和 URL 信誉,并将这些信息相互关联,TrustedSource 能够在混合威胁出现时立即进行识别和阻止。借助TrustedSource,组织不需要再等待反应式签名更新文件的发布。
正如前面反复提到的一样,实施主动防御的关键在于拥有大量翔实可靠的数据,只有在这一基础上才能对未知威胁做出妥当处理。TrustedSource在这一点上拥有无可匹敌的优势,而且这种优势会随着时间愈发明显。主动防御真正由理想走向现实。
双管其下 保障安全
需要强调的是,主动防御的实现是建立在被动防御基础之上的,主动防御并不能100%发现病毒或者攻击,通常的成功率大概在60%-80%之间, Secure Computing的产品,即便采用了全球最领先的TrustedSource信誉体系,也仍然具有0.003%的误判率。只有主动防御+被动防御,双管其下,才能确保企业网络的绝对安全。从全球网络安全主流厂商的动态来看,"主动防御"和"特征码"技术相结合,也是今后安全系统发展的必然趋势。
无需赘言,主动防御之路必定行得通,而且将和被动防御携手同行!