安全新趋势:信誉服务大行其道

DoSECU 安全报道 4月8日消息:在过去的几年里,电子邮件和网络安全企业都非常擅长使用通过大规模互联网流量监控网络而收集的行为数据,这些数据都来源于域,IP地址,邮件内容和URL链接的信誉得分。然后电子邮件和网络安全工具不需要接触网络内容,就可以利用这些信誉得分来允许或者阻止网络连接。

位于亚利桑那州图桑市的咨询公司Opus One的资深合作伙伴兼安全专家杰伊.辛纳迪表示,如今有很多反间谍和反木马安全厂商都能为他们的产品提供信誉得分服务,并且多数服务都是非常实用的。特别是思科系统公司2007年收购IonPort Systems而来的IronPort SenderBase也注意到了这一点。迈克菲公司2006年收购的Secure Computing而组建的TrustedSource和开源Spamhaus也有这种服务。

举例来说,辛纳迪在测试中发现在SenderBase的信誉得分服务中,对垃圾邮件的平均捕捉率达到88%,错误率很低。总的来说,这种捕捉率没有文件过滤器的阻断比率高。比如辛纳迪在最近的测试中发现,IronPort文件过滤器能阻止96%的垃圾邮件,但是文件过滤器要进行繁重的处理过程,而信誉得分服务则没有这种需要,

信誉得分服务不需要接触网络内容,它只是简单的查询厂商数据库中的得分,然后根据这个得分做出判断–是允许连接,将其隔离还是直接删除。多数厂商都提供预先设定的规则,但是用户可以根据垃圾邮件的侵略程度来修改这些规则。举例来说,在SenderBase信誉得分服务中,思科公司推荐阻断得分率在-10到-3(评分范围是从+10到-10之间)之间的电子邮件地址。得分是通过12种属性之间的相互关系而得出的。

当信誉得分服务和文件过滤器结合使用时就能实现终极保护。辛纳迪解释说:"在使用文件过滤器之前,如果你使用信誉得分服务能阻断大约86%到90%的垃圾邮件,然后你能充分发挥过滤器性能的优势"。辛纳迪引用最近的测试结论表示,IronPort的文件过滤器在信誉服务之前使用,阻断率可以提高到98%。两个百分点看起来可能不多,但是当90%的电子邮件都是垃圾邮件时,一些细微的差距就有很大的不同。

因此如今的信誉服务提供商致力于将他们的评分机制放置在企业安全线中也在情理之中。举例来说,迈克菲公司已经使用他们安全防火墙中的TrustedSource IP信誉服务来允许或者阻止连接。迈克菲公司的营销副总裁Ken Rutsky表示,数据库每天要从防火墙中执行大约200万次查询。

通过在周长设备中集成信誉智能,安全厂商就能提高防火墙和入侵检测系统的有效性和性能,甚至路由器,交换机和电子邮件以及网络安全工具也能从中受益。

South Bend, Ind.公司教师信誉联盟的网络工程师罗伯特.伯尼也非常欣赏这种想法。他表示"我确实看到基于信誉控制的使用范围正在扩大。我们正在和那些有着有效流量的厂商合作,他们让我们有能力进行调整,这是很有意义的"。

安全系统工程师兼资深安全博主Jamey Heary认为,将IP信誉服务与所有类型的安全硬件结合在一起是今年安全领域中最令人兴奋的趋势。真正令人期待的是这种结合所能带来的性能提升。

Heary引用电子邮件安全为例表示"信誉查询只会占用中央处理器循环周期的一小部分,通过反病毒,反间谍或者木马引擎对电子邮件进行实时扫描"。Heary估计信誉查询与通过垃圾邮件过滤器处理相比,运行速度能快90%。Heary还举例说,使用入侵检测系统处理的文件内容能减少对带宽的需求。Heary还解释说"如果入侵防御系统执行信誉查询,那么需要三种入侵检测系统和一些负载平衡来处理所用数据的企业可能只需要一个入侵检测系统就够了"。

根据专家的说法,IP信誉服务可以和深入的安全战略结合在一起。

思科研究员兼SenderBase研发团队的研究专家帕特.彼得森认为"我们知道在互联网上隐藏着很多肮脏而可怕的网站,比如Russian Business Network就寄生了数量庞大且类型繁多的恶意内容。为什么你不提前告知防火墙进行防御呢,特别是如果你和这些网站没有日常联系或者你不是一家跨国公司,那么99%的时间你所接触的网络会和这些恶意行为扯上关系吗?"。

同样的逻辑也适用于那些依靠签名文件来做出访问判断的入侵检测系统。彼得森解释说"了解签名文件是来自信誉良好的服务器还是恶评服务器将为用户提供更加可靠的风向标,这比只判断签名文件更加有用"。

思科公司还没有将SenderBase IP信誉服务与防火墙或者入侵检测系统结合在一起,不过自从思科公司收购了IronPort之后,这种服务有望尽快实现。思科公司还预计在本月即将召开的2009年RSA大会上发布相关声明。彼得森还强烈建议立即实现这种结合。彼得森表示"我们认为现在是时间向入侵检测系统和防火墙连接增加这些特性。如果能向他们提供大量的信誉服务,那么为什么要关闭这些设备呢?"。

IT基础架构服务提供商Savvis公司的首席安全官Don Bertier也是同样的看法。Savvis公司已经使用了思科的基于信誉的IronPort网络安全应用工具。Bertier对如何将信誉数据库结合到数据库中进行了分析,他认为这种做法能减少来自DMZ和互联网入口的威胁。Bertier解释说"我看到信誉是沿着周长来运动的,我们很期盼能看到思科公司能将信誉服务作为自然属性结合在防火墙中"。

Bertier还补充说"我们公司的工程师自己编订了部分黑名单,但是这需要耗费他们大量的精力。实现和防火墙的自动化无缝对接就好得多了"。

对于这个部分,Opus One公司辛纳迪从入侵检测系统来分析了集成信誉数据库。他预想了三种可能性。

首先,信誉得分将为用户提供更多电子邮件验证的方法。辛纳迪表示"这种方式根本不会对入侵检测系统的运行产生影响,但是它将帮助分析师来更好的看待问题"。

从另一方面来看,入侵检测系统会复制电子邮件或者网络安全网管的角色,从而减少这些设备处理工作负载的负担。减少大型网络上的网关负载是个不错的想法,也比较容易实现,小型企业也有必要在入侵检测系统中增加信誉服务。

第三种可能也是最有前景的,同时也是最难实现的一种。辛纳迪补充说,在这种情况下,入侵检测系统不仅是对垃圾邮件或者网络流量做出反馈,而且会改变基于IP连接信誉的行为。辛纳迪解释说"我会设置入侵检测系统来阻断信誉得分糟糕的网络流量,但也可能会出现判断失误的情况"。直到思科公司和其他制造商明确了他们的入侵检测系统集成计划,用户才能开始进行测试。辛纳迪对潜在的企业价值保持中立的态度。他认为"使用基于信誉的入侵检测系统可能对企业是无害的,但是我的疑问是这种方式是否能带来好处"。

信誉得分与身份验证的配合

根据业界观察家的看法,显然网络不会成为IP信誉服务的终点。Nemertes研究公司的分析师Andreas Antonopoulos表示"这比防火墙或者垃圾邮件更让人关注"。

Antonopoulos举例说,将信誉服务和身份验证结合起来,让他们协同工作,相互补充。

思科的彼得森也同意这种说法。但他也警告说"具体细化到用户信誉或者在线验证信誉的概念将是非常强大的,但是目前它仍然还处在初级阶段。显然这是未来发展的方向,但是出于各种原因它也充满了挑战性"。

比如说,在种类繁多的在线身份中,你如何搞清楚ppeterson99@yahoo.com与ppeterson99@linkedin.com是同一个人?又如何恰当的应用信誉得分呢。另外,IP信誉服务提供商未必乐意从私有社区网络,网络邮件或者博客网站上去收集行为信息。

与验证服务合作

还有一些类似信誉得分服务也在验证领域扮演着日渐重要的角色。

想象一下:黑客窃取了信誉良好的网络地址的身份信息,IP信誉服务发现这个网络地址的信誉得分在访问协议允许的范围之内,就会允许它进行连接。这可是件糟糕的事。资信管理公司ActivIdentity Inc.的全球市场副总裁斯特恩.乔治表示,我们真正需要的不仅是网络级别上的信誉服务,而且还有应用软件层面的类似信誉的访问控制。

换句话说,与IP信誉服务类似的验证软件会收集网址属性并判断风险得分。举例来说,在常规验证流程的开始阶段,这些软件会着眼于计算机上的行为信息和IP地址。正常来说用户不仅要在企业工作时间对应用软件有所需求,而且会在凌晨2点突然要求他们也这么做吗?乔治解释说,这是高级验证所需的一种类似信誉的服务需求。

Northrop Grumman Corp.的企业安全和身份管理项目总监基斯.沃德也同意这种说法。类似信誉的验证已经成为企业使用的规则。来自美国,英国和荷兰的8家空间宇宙和防御企业和政府机构都参与了联合环球安全合作项目(TSCP),他们就是采用了这种验证方法。

沃德举例说,安全的协作性电子邮件是由Northrop Grumman, Boeing, Lockheed Martin以及联合项目的其他参与者共同支持的TSCP规范。沃德称"由于应用软件经过了专门参与联合项目的员工的测试,因此位于微软电子邮件顶部的应用程序是安全的"。

这个过程与信誉得分是类似的。沃德解释说"如果员工的任何一项属性发生了变化,我们有一个18小时开启的窗口来通知联合环境中的每个人,改变物理建筑入口,逻辑应用软件或者入门访问的访问控制协议"。

显然,信誉服务在企业安全中的重要性正在逐步提高,用它来防御垃圾邮件和木马控制,改进应用软件访问控制。尽管很多理念还很新并且未经证实,但IT安全管理者不能对其视而不见。正如Opus One的辛纳迪所言"尽管这还只是新兴技术,但是随着它的深入发展,我会鼓励企业去积极尝试"。