威胁管理作为一种全新的技术在逐渐成熟,随着云安全技术的带动,新型的威胁管理也在走进广大企业中去,其中的技术看点不容忽视。
时事造英雄
当前,随着网络安全的复杂度越发提高,信息安全、数据泄露等问题层出不穷。对此,记者曾在本报31期的《云安全2.0之三大看点》专门撰文指出,威胁发现与管理将会成为2009年的强势看点,而安全全新的市场机会也存在于此。
事实上,随着人们工作方式发生巨大变革以及新技术的不断涌现,网络威胁也呈现出不同的形式。例如:随着移动用户与便携渠道(USB 装置)数量增加,IT 信息技术在控制用户连接方式与连接位置等方面面临巨大挑战。
根据IDC的调查,全球范围内的用户普遍在使用P2P、流媒体、即时通信等不稳定技术。此外,桌面自动抗病毒程序面临着新的压力,例如难以检测的零时差恶意软件等。未受保护的渠道同样产生新的威胁,例如Webmail、或通过无线网络漏洞等。
现实情况是,由于工作地点变换,增加了恶意软件进入内部网络的几率,企业面临着更大的风险。受感染的机器可能通过网络向网络罪犯泄漏资料,致使因数据大量损失而丢失机密信息的客户及声誉受到不可挽回的损害的企业面临许多问题。
换句话说,在业务影响或成本方面,企业数据资产面临着越来越大的威胁。全美产业监控机构Attrition.org 的调查显示,去年全球一共发生了1.62亿次企业信息风险事件;而美国身份盗窃资源调查中心也公布了最新统计,去年美国总共发生了7900万次信息安全事件。
在这种情况下,需要一项新的技术,去分析威胁来源及其表现,当内部入侵载体增加时,信息技术管理员可以通过检测安全基础设施深入研究问题,以便更好地理解网络受感染的原因,然后研发更有效的保护方法。
针对这项需求,威胁发现管理技术被提上了日程,并且已经开始在北美逐渐采用,这种新技术适用于检测、减轻并管理企业内部网络威胁。这种技术用于鉴定并控制下一代威胁,帮助公司最大程度地降低恶意软件引起的数据损失,减少网络损害控制成本并提高整体安全性能。
与"云"集成
此前趋势科技中国区总裁张伟钦在接受记者采访时表示,威胁发现管理技术包括两大步骤:首先,通过"发现威胁",检测内部网络安全威胁;其次,通过威胁发现管理服务,对第一步骤检测到的信息,执行清除、删除及修补等动作。如果是在云计算环境中,威胁发现管理服务可以与保护网络的相关云端服务器协作,提前检测新威胁,按照企业用户的要求发送报告并提出相应建议。
据介绍,威胁发现是威胁发现管理技术中关键的步骤。目前业界的设计思路是通过一种威胁探测器来提供精确、及时的安全信息,以便开展实时的网络安全管理。威胁探测器应用于各网络层交换机,通过访问权限、资源分配、核心控制等手段,保护网络节点。
对此记者的看法是,这种威胁探测器如果希望发挥最大的"能动性",肯定是需要与一些管理手段相结合,因为只有这样才能高效地监控网络可疑行为。要知道,传统的模式匹配的检测方法已经被证实不能探测新型的恶意软件,特别是那些基于僵尸网络构建的恶意软件集群。另外,目前的威胁探测器可以检测基于WWW 或电子邮件内容的攻击,包括跨站脚本攻击、钓鱼攻击等。
不过记者在一些技术白皮书里发现,这种技术并非没有风险。当前的主要挑战在于威胁探测器是否能够鉴定未经授权的应用程序与违反策略、干扰网络、占据大量网络带宽或引起潜在安全风险的服务。
对于此类威胁的检测可能会涉及到即时通信、P2P 文件共享、流媒体、各种内部服务等,甚至是一些SMTP协议、开放式转信系统、恶意域名服务器等服务都要能够被支持。此外,在威胁探测器提供大量的有关网络协议与应用程序方面的资料的基础上,检测网络流量也是重要的工作。
记者的看法是,在一个企业的网络内部,从第二层到第七层,都会存在潜在的破坏性应用,例如Bittorrent、Kazaa、eDonkey、 MSN、雅虎通等等,由于应用的千差万别,客观上需要对威胁发现管理技术的本地化支持提出很高的要求。也许在与云安全整合之后,这项技术的可用性将会获得提升,不过目前仍须拭目以待。
服务很重要
其实在目前的威胁发现管理技术之中,配套的管理服务相当重要。记者曾就此问题专门咨询过一些业内的专家,并在31期报道中做过引述,大家的看法是,威胁发现管理服务其实属于一种控制手段,这种控制类似于传统的关联分析,为的是确保更有效地检测、分析网络威胁及其原因。
换句话说,通过这种服务的控制过程,一个企业或者一个终端用户的行为,都可以通过高级关联分析呈现出来,而其操作的各种纪录文件,也都会被审计与检测,以便发现隐藏的网络威胁,提高检测精确度。
事实上,一套有效的威胁管理服务体系需要依据发现威胁过程中搜集的信息,报告企业安全的状态。目前的技术主要是通过集中威胁发现管理模块,协助企业的IT经理进行信息管理。例如:通过每日管理报告,解释事故响应并提交互式展开报表,详细、全面地描述网络威胁。有专家提出,如果将这种服务的机制与云安全体系结合在一起,可以收到更好的效果。毕竟在分析并检测恶意软件的最新动作趋势上面,集成化的管理服务会更加有效率。据专家介绍,目前主流的管理服务包括:域名服务器DNS检测、超文本传输协议HTTP检测、文件检查、过滤网络钓鱼攻击、阻拦广谱网络威胁等。因此有理由相信,在未来的技术发展趋势中,威胁发现技术将会越走越远。