云安全企业用户追踪寻访(中)

弥补安全的缺口

“长期以来,一直吃病毒的苦头,虽然一直在强调追求事前预防,但实际上总慢半拍。安全毕竟不是100%的,我们只能尽最大努力将病毒产生的威胁降到最低。”吴慧玲说。

纵观2008年的一些流行病毒,如机器狗、磁碟机等,无一例外均为对抗型病毒。而且一些病毒制作者也曾扬言“饿死杀毒软件”。尽管对抗杀毒软件和破坏系统安全设置的病毒以前也有,但2008年表现得尤为突出。

程源认为:“信息安全不可能是无缺口的,安全不可能光靠软件和人力去实现。这方面还需要企业员工行为的规范化。如果员工使用不当,被恶意软件攻击,那么安全防护再好,也不够。要将软件和人结合得更好,如果能在软件中给用户使用习惯和规范有一些提示,那么就更好了,更加人性化了。我们在服务方面的安全防护,也是耗费人力比较多的,对内的服务包括邮件服务、Web服务、主页服务,还有对外提供的服务,例如招生、宣传、名师推荐等。”

上海出入境检验检疫局虽然只有4个人负责信息安全,但要管理32个分支机构的整体安全策略。由于病毒千变万化,人手又不足。通常遇到安全状况时是发现一台,处理一台,都是事后操作。

吴慧玲说:“幸好在2008年北京奥运会前夕部署了IWSA,并且加强巡检工作形成了立体的防护框架,才避免了PE_LOOKED病毒扩散,提高了整体防护能力。而且要求内部部分终端是不能连接外网的,我们通过为每个网段设置一台种子机为不能上网的机器提供升级服务,还节省了带宽资源。”

为了迎接2010年的上海世博会,上海出入境检验检疫局邀请了上海东吉数码科技有限公司,进一步将巡检普及到32个分支机构的更深处。让第三方公司的人到分支机构进行巡检,能够更细致入微。而且改变了安全防护的策略部署方向,曾经是从上往下统一部署,现在是从下往上排查。

事实上如今的恶意软件已经变得日益复杂和难以防御,而且安全防护工作正面临着重大难题:

一是存在太多独特的恶意软件样本。防恶意软件引擎需要搜索上千万的签名,以明确可疑文件没有受到感染。但是,很多签名可能从未使用过——由于清除这类签名的风险太大,因此它们仍然是特征码文件。当然,这意味着典型的特征码文件变得越来越大、越来越笨重。从而在扫描和定期更新签名方面对实际性能造成很大影响。

二是恶意软件传播判断模式不易。当遇到未知文件时,用户需要用一种方法来做出最终判断,该文件是不是恶意软件。今天的恶意软件从广泛发布到第一次感染之间的间隔时间比以前大大缩短。这就意味着,签名太慢而难以更新。

在公布和部署之间无可避免的延迟,为未探测到的恶意软件感染计算机留出了时间。

徐学龙说:“相同的分析工作,过去需要一天的运算时间,改用云安全技术后,现在只需要几秒钟。可以说云安全使防御Web威胁不再是单一款产品做的事,而是和所有互联网使用者一起和Web威胁做斗争,云安全让每个人都成为了识别安全威胁的贡献者。”

陈波表示:“根据我们的经验,在部署云安全之前,一定要经过测试、评估、分析的一系列过程,最终生成一份详细的报告。因为企业的网络结构不同,管理管理方式也不同,要量身定制解决方案,以免影响防护效果。比如以前我们部署过一套网络管理软件,虽然产品本身没问题,在其他环境也能用,但是到我们这边就不行。”

云中拦截恶意软件的竞赛

虽然国内很多用户在不知不觉中就部署了基于云安全的解决方案,但为了检验云安全的真实作用,我们可以参考独立实验室Cascadia Labs在2008年12月发布的《网络安全测试》。该报告公布了对McAfee、Websense、BlueCoat、IronPort、趋势科技和 SurfControl六种市场上优秀的URL过滤和网络安全产品横向测试的结果。

六款测试产品中包括网关设备和服务器软件,趋势科技的Web安全网关解决方案(IWSA)获得了70%的加权得分获得冠军,而亚军产品McAfee 网络安全设备3300分的加权得分则为64%,该产品配备了增强型URL过滤数据库(Enhanced URL Filtering Database),这两家厂商也都是云安全的代表厂商。

防范恶意软件的第一道防线

防范恶意软件,企业往往依赖URL过滤和网络安全产品来保护计算机和网络免受危险的、不适当的和不受欢迎的网络内容的攻击。除了拦截含有低俗、暴力或非法 内容的网页外,这些产品还在保护企业网络方面发挥着日益重要的作用——它们铸成了防止恶意网页的第一道防线,同时也可以对带宽的流量实施管控。

尽管过滤低俗级别和浪费生产力的网站是非常普通的一项功能,但是各个产品在应对更具挑战性的网络内容类型方面却大为不同,而且拦截安全威胁时也有很大差 异。

含有高效网络安全功能的URL过滤产品可以提供第一道防线,保护用户和公司不受恶意内容的侵害。除了安全,URL过滤产品在增强企业的网络使用政策方面还 发挥着重要作用。Cascadia Labs的测试表明,所有产品都能拦截大多数低俗内容和生产效率&娱乐URL,而且在带宽占用、通信和责任方面的表现非常出色——尽管还有改进空 间。

Cascadia Labs通过对原始的拦截应用得分加权而得出总分,Cascadia Labs认为,原始得分反映了一般企业客户心目中的相对重要性。由于Cascadia Labs每个季度都会重新评估加权结果,所以在过去几年中,安全类测试的权重不断增加。

在此次的测试中,安全类测试占总分的30%、低俗内容测试占20%、带宽占用测试占15%、责任测试占15%、通信测试占10%、生产效率&娱乐 测试占10%。

尽管加权结果反映出作为深度防御安全战略组成部分的URL过滤的重要性日益提升,但是它也表明企业需要不断拦截可视内容才能换取安全的环境,例如具有恶意 代码的攻击性网页。而趋势科技在责任测试、通信测试和生产效率&娱乐测试方面表现不俗,SurfControl在带宽测试方面表现最 好,McAfee则在低俗内容测试方面拔得头筹。

此外,趋势科技、McAfee、Blue Coat和IronPort的产品还结合了Web信誉功能。由于Web信誉主要是针对安全性URL,因此仅在安全类别中进行了测试。

测试方法和测试数据库

Cascadia Labs一直以来提供客观而独立的技术产品评估,此次测试更关注产品的URL数据库的拦截有效性和Web信誉功能,因此并没有评估产品的用户界面、特征、 功能或可扩展性。

为了区分六大产品的核心URL过滤功能,Cascadia Labs测试的产品中没有包括协议过滤、二进制扫描、防病毒扫描或防间谍软件扫描。虽然协议过滤可以有效拦截即时信息和其它不受欢迎的服务,但是由于用户 需要保障网络的畅通更为重要,协议过滤对于HTTP显得并不实用。

Cascadia Labs主要依靠维护英语的URL数据库来满足企业市场的要求。该数据库包括150多万个URL,被分成六组22个小类。Cascadia Labs为低俗内容、带宽占用、通信、责任和生产效率&娱乐中的每个组别随机选择至少1000个样本,这样足以得出重要的统计结论。

Cascadia Labs为权重最多的安全类测试专门选择了1000个样本、750个不同类型的恶意二进制URL、100个漏洞利用程序、50个网络钓鱼URL、50个代 理和50个潜在不受欢迎的应用程序。

由于每个厂商都使用了其自己的数据库分类集合来对URL进行分类。Cascadia Labs根据自己的分类和厂商选择的分类进行配比创建了匹配的小类,确保对每个产品都拥有可对比的拦截配置。为此,Cascadia Labs执行了初步测试,确保每个产品都有合适的类别映射。

配置与优化

Cascadia Labs针对互联网上的有效服务器测试拦截准确性。在设置上,让每个产品拦截各个小类组成的整个大类,这样可以确保Cascadia Labs的拦截结果不会因厂商类别选择的微小差异而受到影响。

例如,有些厂商可能把保龄球URL放入体育类别中,而其它厂商可能将其归入业余爱好和娱乐类别中。在Cascadia Labs的测试中,两种情况下的保龄球页面分类都会遭到拦截,因为体育和业余爱好及娱乐都包括在Cascadia Labs的生产效率&娱乐组中。

在测试产品的配置方面,Cascadia Labs以代理的形式进行配置。由于McAfee、趋势科技、BlueCoat和IronPort都是网关设备,所以将SurfControl和 Websense与Microsoft ISA服务器集成在一起。在测试过程中保障每天对所有产品至少更新一次,而且在测试期间为采用本地数据库的各个产品记录所使用的数据库的版本。

Cascadia Labs在测试中应用了趋势科技的防网络钓鱼模块和Blue Coat的可疑URL分类。此外,趋势科技、McAfee和IronPort都能提供Web信誉特征,Cascadia Labs在安全性测试中也使用了这一特征。

除了Amazon.com和espn.go.com等流量较大网站之外,Cascadia Labs在配置好的数据库中,不断排除使用过的URL,以防止任何厂商在后续的测试中获得优势。