目前,“肉鸡建构僵尸网络”成为网络安全的最新焦点。有关研究机构调查表明,与2006年每天新发现肉鸡250,000 个的数量相比,2007年每天新发现肉鸡数量为400,000 以上,其增长速度为60个百分点,其速度惊人。此外,,与去年70%以上是垃圾/恶意的邮件相比,今年已突破85% 的比例,增长速度为 30%;同时,漏洞攻击的报告数量也从2000年1,090,到2005年的5,990 个,再到2006年的8064个,以35%的速度增长。网络钓鱼站点在今年平均每个月出现37,444个,与去年的7197个相比增长了420%;已知的病毒及恶意软件从去年的150,000升到600,000,增长了400%。一串串惊人的跳跃式数字仿佛一层阴云出现在网络的天空中,这不免让业内及相关领域;甚至用户怀疑:这一阴云带来的将是网络安全产业发展的春天还是冬天,并将如何应对?!
威胁有四,深入诠释
威胁一、老三样问题重重。
目前,网络安全中传统不能再传统的“老”三样——防火墙、IPS、防病毒墙仍发挥着他们具有局限性的网络安全防护作用,然后更多业内专业人士意识到到老三样面对如今网络安全威胁的日益变化已经不能够有效的应对各种新兴的网络安全威胁问题。企业安全系统采用的以“板桶原理”为基础的老三样,其串行的结构决定了网络安全性能必然受制于性能最低的设备,基于不同平台的系统其安全和稳定性也必然取决于最弱的设备,从而大大降低了网络的安全系数。
另一方面,串连方式中IPS设备在实时监测发现IP和网络层的攻击行为以及发现和阻断针对操作系统、数据库、应用软件的应用层的攻击行为,以及过滤报文内的恶意流量和攻击行为,保护存在的漏洞、防止操作系统和应用程序损坏或宕机方面提供较为有效的防护功能的同时,更始增加了网络的延时;而在解决IPS设备的容灾备份问题时也增加了网络的负载性,重重的新设备的加入又进一步加重了管理和审计的负担。同时,对于通过https加密隧道中的攻击数据和通过加密方式进行升级和命令控制的木马软件,其IPS则无法进行监测和拦截。
而在安全防护仅仅是对于本地和本网络的数据和行为的分析上,IPS和防病毒设备对于更具威胁性和易用性的黑客技术来说,则更需要综合性的主动的基于行为的恶意软件全面分析和立体防护。
威胁二、垃圾邮件,病毒邮件,网络钓鱼邮件全球泛滥。
面对威胁,除了来自自身低安全级别的设备构成方式,还有来自外部客观的攻击与威胁,就如同开篇说到的一串串数字那样。随着电子邮件应用越来越广泛,垃圾邮件,病毒邮件,网络钓鱼邮件全球性泛滥,及利用邮件协议的攻击手段多变无穷,如应用特洛伊木马(Trojan)、蠕虫、恶意代码等植入手段控制无数计算机,使之成为“僵尸” 。而每天以250,000 -> 350,000的“肉鸡”增长速度和高负载的邮件系统发生的频繁DDoS攻击证实了被攻击的主机不断的面对快速变化的恶意行为和正常请求。
由此看来,威胁来源的不断动态化和扩大化,动态攻击交替式方法针对主机进行攻击,即通过DNS黑名单方式来进行网络层的阻挡,这种方法已无能为力,因此对于垃圾邮件和病毒需要在源头阻断。
威胁三、Web2.0存在双向安全问题。
目前,对Web2.0 的安全威胁全球达成的共识。从Secure Computing公司对Web2.0技术在全球应用的调研报告中我们可以得到以下一组数字,即在过去12个月中Web2.0的广泛应用所带来的各种网络安全问题发生的情况统计数字,其结果显示,病毒发生率73%、间谍软件发生率57%、Trojans木马和KeyLogger发生率46%、僵尸宿主驻留发生率12%以及类似问题却无法确认的问题的发生率8%。
由此分析,在Web2.0大行其道的今天,一些恶意软件的源代码在网站上发布只能算是Web2.0安全威胁的小儿科,仅是出于恶作剧的目的,并且以提供间谍软件扩展开发包、按需开发功能、提供技术支持才是成为恶意软件攻击的“常态”,究其根本,Web2.0安全潜在的巨大隐患是真实的网络犯罪和以经济利益为目的攻击,例如2006-2007年中国互联网上流行的熊猫烧香病毒。而在对其出站安全来说,敏感信息保护的要求无处不在,大到维护维护互联网的知识产权,小到企业客户信息、财报等,另外博客以及其他基于Web2.0技术的应用如 Webmail、P2P、IM等也存在很大程度上的泄密现象。
因此,对恶意软件代码的攻击,判断访问网站是否存在安全隐患是预防和防范Web2.0安全威胁的最主要任务,进而要积累和获得网站的信誉值,避免成为僵尸病毒驱动的机器人。所以我们得出结论:高质量的基于信誉系统的URL网址过滤才是防止Web2.0安全危险的有效手段,并需要主动的基于行为的恶意软件分析和防护来应对Web2.0存在的双向安全威胁。
威胁四、访问风险危及使用。
从技术演进历程看,从密码、VPN 、Citrix、操作系统的访问控制,到目前以令牌、智能卡、生物特征、密码为基础的基于设备、中央管理、安全审核的强化身份认证,再到出露端倪的远程访问、网络访问控制、无线网络访问控制、认证和访问集成控制、验证服务等方式的集成式访问多层控制网关,让身份认证和访问控制的发展从单点控制走向整体控制,这是由企业业务的扩展所决定的,同时这种趋势也决定了企业网络上更多的访问用户,从而不仅是员工、客户,还有更多的合作伙伴和不确定的来访者,甚至受到黑客的关注,因此更多的访问增加未授权数据访问的风险。
在中国,这种整体控制的雏形尚在形成过程中,随着国内银行的电子银行认证方式的增加,如数字证书、数字证书、USB-KEY、密码卡、动态键盘、短信密码等,都已经应用在银行的网络系统中。然而,目前对于访问者,拥有多个银行帐户并不为奇,他们需要多个证书或者USB-KEY,有时密码短信延时和丢失也会给访问者带来诸多不便和隐患,最重要的是证书和密码的静态则有被窃取的可能。因此,在其访问技术发展的趋势驱动下,应用整体控制理论的身份认证和访问控制还需要相关整体化解决方案的进一步强化和完善。
应对威胁,驱动应用
对于上述目前存在的最新四大威胁,一个共同问题就是因缺少统一、集中的全球智能型防范体系而使我们的网络边界、Web的出站与入站、邮件系统以及数据访问安全最主要的四个领域受到严重威胁,而全球智能型信誉体系的建立却是一个长期经验积累与技术实力累加的过程,这样的网络建立将可以对网络进行实时的全球智能保护,能够及时发现和阻止恶意威胁源头,提供主动的安全防护。如这些电子邮件是否是垃圾邮件、网络钓鱼或恶意攻击,Web页面是否包含恶意代码,用户是否受到过来自这些IP或域的DDoS、肉鸡或其它类型的攻击,这些问题如果仅通过IDS、反病毒、反垃圾等基于特征码,以及基于本地行为的分析,将无异于警察在每一个罪犯手腕上系了一个带子,无误判,但少量并有延时,也无异于安检人员在机场检查可疑的行为,有相对的误判和局限性。因此,基于信誉的全球智能分析,如同国际型警组织在世界范围内使用全球数据库来追踪罪犯及共享其犯罪和活动记录,,进行关联分析全球信息和准确追踪威胁来源。故全球化智能分析则是预先探测威胁最可靠的方法。
对于Secure Computing经过多年建立起来的完备成熟的TrustedSource® 全球智能化信誉网络则将网络安全建设从目前的本地行为、基于特征码以及被动有余主动不足的安全防范措施,彻底、全面地推向全球化、智能化、整体化的全球智能分析。这也将导致分类的网络安全产品要朝着统一整合的智能型解决方案及集成化产品方向迈进。TrustedSource® 全球智能化信誉网络不仅融入到各线产品,集合了网络边界安全、Web内容安全、邮件系统安全和身份认证安全的多种功能,并且每一层面的安全解决方案也都拥有了更多单一产品集合的功效。
Secure Computing中国大陆及台湾地区总经理 蔡勇
正是遍布全球的Secure Computing安全设备为 TrustedSource 收集数据信息,从大型企业、ISP、垃圾陷阱、DNS Zone文件、网页爬虫中监控全球数据,每月分析量达1100亿封邮件之多,并对交际网络、持续性、时效期等进行自动分析,日发现量25万台僵尸主机,在对IP、Domain、URL、图像及电子邮件进行动态评判信誉的确定,进而通过Edge / Firewall、Web 网关、邮件网关、身份认证的有形设备实现对威胁的检测和防范。
在使用了TrustedSource全球智能化信誉网络的Sidewinder中,IPS的检测模块的自适应学习算法分布在遍及全球的网格侦测系统嗅探互联网数据包,并且使用算法对数据包进行模式匹配确认,确认为“未知数据包”的被转发到数据收集中心,系统自动产生签名候选档案等待人工检索,签名档案被确认后发送到下载中心,由Sidewinder自动下载签名,因此,这个基于TrustedSource的Sidewinder,不仅能检测到已知威胁,还可实时检测未知威胁,大大提高了应对未知威胁的前瞻性。同时,Sidewinder IPS的检测模块设计采用了业界领先的加速技术来提供最好的检测性能,降低了因原有IPS设备在检测时的网络延时和容灾备份的负载。而对于通过https加密隧道中的攻击数据和通过加密方式进行升级和命令控制的木马软件,Sidewinder的SSL端结服务可以进行监测和拦截。因此,对于这种以不牺牲性能和提供管理复杂程度为代价的高性能网络边界UTM防火墙,在引入了TrustedSource技术的前提下,已经走向成熟,以美国军用级防火墙的高安全性的口碑广泛应用于全球的各个重要领域。Sidewinder 为SIAC(securities industry automation corporation),即迄今为止Citrix最大的远程桌面接入系统(美国股市交易系统)提供商提供着服务,在基于包过滤和状态检测技术方面受到相当赏识,确保了应用程序网络的高可靠性。
同样,在TrustedSource全球智能化信誉网络的WebwasherWeb2.0安全网关中,值得提到的是与传统的网址过滤技术不同,它是结合了多种URL过滤方式(规则过滤、类别过滤、SmartFilter、实时分析、安全搜索、本地评判),这是基于信誉系统的增强型的网址过滤技术,即在过滤机制上增加了网站信誉评分的策略。而无论是对于Web1.0还是Web2.0,其高速缓存最初是被设计用于加速内容访问,并为企业节省购买昂贵的带宽的费用,高速缓存是每人加速应用程序的选择。目前,一些传统的缓存解决方案在缓存对象前按照基于签名的反病毒解决方案检查该对象。每次病毒签名文件更新时,缓存必须被清除,同时必须从互联网再次获取该文件。在如今的 Web 2.0 世界中,病毒检测引擎每小时进行更新的情况并不罕见。而这对性能的影响显而易见。而Webwasher 将病毒签名扫描结果与该对象同时进行缓存,无须在每次签名文件更新时清除缓存,仅需重新扫描升级后首次请求的对象。这样相对于那些传统解决方案来说,Webwasher为使用者提供了更加有效高速缓存方案,大大减少了缓存开销,并相对于十年前设计的传统缓存解决方案,Webwasher具有更好的安全融合性。
目前,邮件系统安全问题持续升温,IronMail利用TrustedSource全球智能化信誉网络技术,形成了邮件连接控制管理,多种专利技术的行为分析和内容分析技术集于一身的产品特点,具有极高的垃圾邮件发现率和极低的误判率。以CBIZ(全美著名的大型会计和咨询公司)的应用为例,其客户邮件系统曾为DDOS攻击的目标,每小时有200万的入站邮件连接,总共300万入站邮件连接,IronMail Edge实施应用后,应对DDOS邮件攻击,保证了邮件接收没有延时,其中55,000封邮件得以转发到IronMail安全网关,97%的垃圾邮件被IronMail Edge成功阻挡。在澳大利亚Dominion能源公司,每天350万封邮件中的无效邮件80%被拒绝,有效提高带宽使用率达到60%以上,减少邮件网管人工干预时间从每周35个小时到每天30分钟,大量节省了人力资源。在中国境内,某大型移动运营商与ICP-互联网内容提供商的邮件连接网络,曾有大量垃圾邮件通过ICP或者是移动运营商网络互发,导致大量可以带宽被占用,并试图实施精细化邮件安全网关设备,但是由于ICP下挂很多行业客户,客户邮件属性差异化过大,精细化邮件网关产生大量误判,影响了各个行业客户的正常邮件通讯,在实施IronMail Edge后,垃圾邮件明显减少,恶意邮件连接80%~93%被拒,网间网互联带宽的有效使用率大幅提高,行业客户的互联网应用的速度得到提高,有效保护了移动运营商和ICP互联网内容提供商良好的企业声誉。这些例子表明,融入了TrustedSource的IronMail在全球范围内都以关联分析全球信息追踪威胁来源,将垃圾邮件和病毒在网络边界层就高效阻断,消失在安全威胁的源头。
在网络访问的身份认证领域,对于访问者拥有多个银行帐户,用户和管理员也要记录多个密码,增加了访问时的攻击风险,因此为了给自身和用户提供更可靠的防护,就要求对网络的任何访问均通过强大的双因子认证,即用户所拥有的(如身份证、令牌或密钥)和用户所知道的(如 PIN 码或密码)。SafeWord™就是双因子认证的典范,支持时间同步、事件同步、挑战应答技术,一卡多用,可保证动态密码的及时变化——使SafeWord™在电子银行领域得以广泛应用。美国一大型银行机构实施其新的安全策略,对其网络的所有远程访问进行防护,往来银行也同样要通过 SafeWord 对其自身进行严格认证,以进行先进管理交易,如线速转帐。目前,SafeWord受到银行的大力推广,用户已达400,000 名,此外,SafeWord为用户和管理员简化了每天的网络访问——用户仅需要记住一个 ID 与一个 PIN 码,而不必记住多个密码。不仅如此,SafeWord 在支持多种平台,包括 RADIUS、TACACS+、Citrix 和 UNIX 的同时,还可与组织的 Web 访问、虚拟专用网络、已有系统等兼容,增加了扩展性和灵活性,并能通过SafeWord架构的真正的端到端的企业信息保护,使每台服务器实时镜像至网络中的其他服务器,使每台服务器中的内容均有备份,并对任何服务器的变更均自动备份在其他服务器上。这则为网络和数据正常运行与可靠性提供了保障,确保在服务器故障时不会导致用户访问被拒绝,为企业节省了大笔开支。因此,SafeWord™不仅仅是一款产品,更是目前双因子认证市场的领先业界的一整套解决方案,体现了访问控制朝整体化方向发展的大趋势。
伫立于IT安全业界最前沿
从上述的分析和来自实践的经验来看,TrustedSource全球智能化信誉网络为全面的安全防护提供可靠的数据分析和技术保证,从而减弱了前述四大威胁给网络带来的巨大安全隐患和潜在风险,并将融入了TrustedSource的Sidewinder、Webwasher、Ironmail、Safeword统一起来,使之相互配合、协调构筑了以TrustedSource为核心技术的各色各行业的解决方案,基于TrustedSource领先的、业界独有的全球智能主动防御体系成为网络安全解决方案的领跑者,提供着最为全面的、深入的邮件安全和Web网关安全,以及提供全球最安全的防火墙设备和身份认证和访问控制管理解决方案,成为Gartner和IDC公认的网络安全解决方案的优秀提供商。
经过数十年的发展,伴随着安全问题的出现,曾经服务于美国国防领域的高安全级别的防火墙浮出水面,成为民用安全市场中最具竞争力的产品和解决方案,并随着业务的扩展和技术的创新,拥有了更多令业界称道的骄人的成功应用。目前,分布在全球106个国家的各行各业的20,000多客户,60%的财富500强公司、56%的道琼斯全球50强企业,世界前10的顶级银行中的8家银行都已是拥有TrustedSource核心技术的Secure Computing公司的忠实客户。
Secure Computing公司中国区总经理Patrick表示:“上述所讨论的新近威胁,其出现的特征不是突然性的爆发,对于时刻准备、拥有相当防范意识和体系的网络其攻击性会明显减弱。正如基于TrustedSource全球智能化信誉网络的解决方案正在中国境内得到广泛推广与应用,并坚信以全球的眼光和适合中国特色的业界前沿技术会在中国拥有稳健的良性市场,拥有更多信赖自己的伙伴和客户,为国内网络安全保障工作提供基于全球的高质量的威胁分析和防护。”
