那　罡

互聯(lián)網(wǎng)上每天新增的惡意代碼和惡意網(wǎng)頁嚴(yán)重威脅著用戶的上網(wǎng)安全。這些惡意代碼,和曾經(jīng)風(fēng)靡一時(shí)的沖擊波等傳統(tǒng)病毒相比,變種更多、更新、更快,完全以經(jīng)濟(jì)利益為導(dǎo)向,更以網(wǎng)頁掛馬形式實(shí)施大面積傳播。

“所以,傳統(tǒng)以惡意代碼簽名為主的防御技術(shù)已力有未逮,各大安全廠商都紛紛在安全領(lǐng)域嘗試新的思路和技術(shù),在網(wǎng)絡(luò)安全領(lǐng)域也出現(xiàn)了一個(gè)新名詞——云安全。但云安全只是一種基礎(chǔ)架構(gòu),重要的是為用戶提供多種實(shí)時(shí)的安全服務(wù),如防病毒、URL及垃圾郵件過濾等,甚至還可以與軟件即服務(wù)(SaaS)等商業(yè)模式配合,提供給用戶更強(qiáng)大的安全防護(hù)能力與更多的選擇?！?賽門鐵克中國區(qū)技術(shù)支持部首席解決方案顧問林育民說。

信譽(yù)服務(wù)識(shí)別Web攻擊

過去,用戶只有在訪問惡意網(wǎng)站或者惡意電子郵件時(shí)才有可能受到感染威脅。而現(xiàn)在,攻擊者通過感染合法網(wǎng)站并利用其作為傳播介質(zhì)來攻擊企業(yè)和個(gè)人用戶,而且會(huì)特別針對用戶所信賴的網(wǎng)站,例如社交網(wǎng)站等。

林育民認(rèn)為,面對不斷變化的惡意網(wǎng)站,需要重新思考應(yīng)對模式。為此,賽門鐵克透過用戶自愿參與的社群、全球超過200個(gè)國家部署的20萬個(gè)以上的風(fēng)險(xiǎn)監(jiān)測點(diǎn),以及全球1.3億以上的賽門鐵克用戶不斷提交的惡意代碼,在云端組成一個(gè)完整的資料庫,共享網(wǎng)站安全訊息,以Web 2.0的思維實(shí)時(shí)對抗最新的Web威脅。

記者了解到,當(dāng)全球任何角落的終端用戶在加入賽門鐵克信息安全共享社群后,會(huì)與云端的服務(wù)器保持實(shí)時(shí)聯(lián)絡(luò)。當(dāng)發(fā)現(xiàn)異常行為或病毒等風(fēng)險(xiǎn)后,訊息會(huì)被自動(dòng)提交到云端的服務(wù)器群組中,由云計(jì)算技術(shù)進(jìn)行集中分析和處理。

借助URL信譽(yù)數(shù)據(jù)庫,賽門鐵克可以按照惡意軟件行為分析所發(fā)現(xiàn)的網(wǎng)站頁面、歷史位置變化和可疑活動(dòng)跡象等因素來指定信譽(yù)分?jǐn)?shù),從而追蹤網(wǎng)頁的可信度。然后將通過該技術(shù)繼續(xù)掃描網(wǎng)站并防止用戶訪問被感染的網(wǎng)站。

林育民說:“為了提供更精確的訊息,賽門鐵克不但為網(wǎng)站指定了信譽(yù)分值,通過不同的顏色給用戶直觀的體驗(yàn),更提供了詳細(xì)的帶毒URL的位置、惡意代碼文件名、簽名(MD5)及威脅名稱?！蓖ㄟ^URL信譽(yù)分值的比對,用戶可以知道某個(gè)網(wǎng)站潛在的風(fēng)險(xiǎn)級(jí)別。當(dāng)用戶訪問具有潛在風(fēng)險(xiǎn)的網(wǎng)站時(shí),就可以及時(shí)獲得系統(tǒng)提醒或阻止,從而幫助用戶快速地確認(rèn)目標(biāo)網(wǎng)站的安全性。通過這種URL庫的信譽(yù)評分機(jī)制,可以防范惡意程序源頭。由于對零日攻擊的防范是基于網(wǎng)站的可信程度而不是真正的內(nèi)容,因此能有效預(yù)防惡意軟件的初始下載,用戶訪問惡意網(wǎng)站前就能夠獲得防護(hù)能力。

文件信譽(yù)評等將是趨勢

賽門鐵克認(rèn)為單靠傳統(tǒng)的黑名單防護(hù)技術(shù)已經(jīng)不能滿足當(dāng)前的安全需求。為此,賽門鐵克不但采用主動(dòng)式防御技術(shù)以防范各類未知惡意代碼,而且還縮短病毒定義庫發(fā)布時(shí)間以實(shí)時(shí)防范各類新興安全威脅,更推出了文件信譽(yù)評等云安全服務(wù)。

林育民補(bǔ)充說:“賽門鐵克自2007年對自愿參與的諾頓用戶社群提供文件信譽(yù)評等服務(wù)后,已收集了超過3億份不同文件的背景信息。事實(shí)上,用戶對電腦中的文件,不可能像在Web 2.0網(wǎng)站中對讀過的書或購得的商品做出評等。為此,賽門鐵克在設(shè)計(jì)文件信譽(yù)評等技術(shù)之初,即以對用戶不造成干擾的自動(dòng)化評等技術(shù)為主要目標(biāo)?！蓖高^收集文件的名稱與位置、簽名(MD5)與第一次出現(xiàn)的時(shí)間等背景訊息,結(jié)合賽門鐵克云端服務(wù)的數(shù)據(jù)庫即可計(jì)算出該文件的信譽(yù)分值。當(dāng)遇到既有的黑白名單均無法識(shí)別的文件時(shí),透過云端取得該文件是否是最近出現(xiàn)的、已有多少終端存在此文件及賽門鐵克是否已分析過該文件等背景信息,即可判斷是否該攔阻或放行該文件的運(yùn)行。

記者了解到,賽門鐵克的文件信譽(yù)評等技術(shù),可與現(xiàn)有的病毒簽名、啟發(fā)式和入侵檢測技術(shù)互補(bǔ),來甄別各種新型網(wǎng)絡(luò)威脅和有針對性的攻擊,提供對不斷推陳出新的惡意代碼更為主動(dòng)與實(shí)時(shí)的安全防護(hù)。事實(shí)上,賽門鐵克文件信譽(yù)評等技術(shù)需要龐大的數(shù)據(jù)庫來做支撐,如果沒有多年的技術(shù)沉淀和積累,想做到這一點(diǎn)是有難度的。利用以Web 2.0思維出發(fā)的文件信譽(yù)評等技術(shù)可以在當(dāng)前惡意程序迅猛增長的情況下,有效地降低新型攻擊帶來的安全風(fēng)險(xiǎn)。

此外,賽門鐵克于2008年并購了MessageLabs,結(jié)合云安全與軟件即服務(wù)(SaaS)的商業(yè)模式,提供給用戶更實(shí)時(shí)的安全防護(hù)與更多的選擇。