主动面对更迅速的混合式攻击
众所周知,目前网络安全防范的主要难点,其一在于攻击的“快速性”:漏洞从被发现到受到第一波攻击,可能只有一天的时间;病毒从某一台电脑到感染全球,也许只需要几个小时。这一切都让被动式防御变得越来越被动,越来越力不从心;其二,安全威胁越来越趋向于“复合性”:这种复合性包含了攻击手段和传播途径两个层面,一方面,我们面对的是包括了病毒、木马、钓鱼、间谍软件、黑客、内部攻击在内的安全威胁,另一方面,这些威胁感染网络的途径也多种多样,包括邮件、 网络资源共享 、P2P、即时消息……等等。我们需要更先进、更全面化的主动防御技术和产品,才能在攻击面前泰然自若。
以防火墙、防病毒软件和 IDS 为首的安全产品中,越来越多地体现出了主动防御的特性,从而给用户带来了越来越多的信心。
安全威胁愈演愈烈,而且入侵手段也越来越隐蔽、狡猾、快速。相应的,安全产品也在不断“进化”,不断完善自己,发展出应对安全威胁的更好的方法。在相互较量的过程中,网络安全产品需要变被动防御为主动出击,以一种更积极的姿态去化解安全危机。
像防病毒软件、防火墙、反垃圾邮件、反间谍软件、 入侵检测系统 (IDS)、SSL VPN、统一威胁管理(UTM)等产品都已经找到了自己演进的方向,并正在付诸行动。
防病毒软件:主动防御依靠行为识别技术
防毒关键在于主动
人们长期以来对于 计算机病毒 只能被动防御的局面必须要改变,才能真正确保网络的安全。趋势科技(中国)有限公司资深技术顾问齐军认为,对于企业来说,面临的最大问题是基于签名的识别技术不能有效防御新病毒,比如蠕虫和特洛伊木马。企业要想有效地制止攻击,行为识别是首选的解决方案。
软件采用行为识别和特征识别技术,可非常高效的实现对计算机病毒、蠕虫、木马等恶意攻击行为的主动防御,能较好地解决现有产品或系统以被动防御为主、识别未知攻击行为能力弱的缺陷。基于行为的反防毒保护并不依靠一对一的签名校对来实现恶性代码的识别,而是通过检查病毒及蠕虫的共有特征发现可能的恶性软件。采用这一技术的优势在于:该技术可识别未知的病毒,以抵御“零日”攻击。
随着其他设备的网络化,比如打印机与复印机,或者 IP语音 硬件日益普及,它们也成了攻击目标,或者成为新的攻击手段。这些攻击类型在未来一两年内将变得司空见惯。特别是随着像PDA以及智能手机之类网络电子产品的普及,今后的反病毒技术必将从现有的基于签名的技术,转向下一代基于行为的策略。
行为识别技术暂时不能商业化
可以说由签名识别技术转移到行为识别技术,是大势所趋。但是,目前的事实是,行为识别技术暂时还没有走向商业化。趋势科技进行了多次市场评估,得出的结论是:1. 由于签名识别技术在网络安全中的应用已经很成熟,因此,不可能一下就停用。用户接纳行为识别技术需要一个过程。2.目前,行为识别技术还不是十分完善,存在一定的弊端。例如,误报率容易对用户产生不良影响、性能消耗大、目前流行配置的PC难以承受,这也是它目前不能走向商业化的一个重要原因。
两种技术并用
综合各方面因素,反病毒软件在接下来的2-4年将会更多地走向签名识别技术和行为识别技术并用的时代。目前,已经有越来越多的厂商投入到行为识别技术的研究当中,并相继推出了新产品。安全专家表示,这两种技术的结合接下来还会有更大的突破。
反垃圾邮件产品:行为判别技术成新方向
国内外主要的反垃圾邮件系统,普遍采用的是关键字内容过滤技术,采取“截获样本,解析特征,生成规则,规则下发,内容过滤” 这种类似传统杀病毒系统的原理,而这种技术存在着许多难以克服的问题:
◆垃圾邮件内容变化快,数量远远大于病毒,任何一家安全公司都很难保证样本采集的数量和及时性,也就很难保证反垃圾邮件的使用效果和效果的持久性;
◆必须比对完所有的关键字规则,一封信才能被确信不是垃圾邮件,导致效率低下、资源消耗大、网关系统不稳定,尤其是在遭受巨量邮件攻击时,可能导致系统崩溃;
◆依赖关键字规则判别垃圾邮件,导致误判率较高,垃圾邮件识别准确性低,效果差;
◆系统自维护能力差,管理员维护大量规则库,工作量大;
◆信件必须接收完整才能进行内容过滤,导致国际网络流量费用高;
◆通过拆信检查内容的方式进行反垃圾邮件,侵犯了公民电子邮件通信自由权和隐私权,这种内容过滤技术将受到广泛的法律质疑。
传统反垃圾邮件技术,只能提升信噪比,以免垃圾邮件淹没正常邮件,但垃圾邮件与病毒邮件仍然占用了大量带宽与存储资源,垃圾邮件的发送仍处于非受控状态。
要想从根本上解决反垃圾邮件的技术难题,就要采用主动型垃圾邮件行为模式识别的技术,这样才能做到主动的邮件攻击行为防御、主动的垃圾邮件阻断,从而最大程度地提高垃圾邮件识别率、拦截率,降低资源消耗,真正达到电信级的网关处理速度。
行为模式识别模型包含了邮件发送过程中的各类行为要素,例如:时间、频度、发送IP、协议声明特征、发送指纹等。在统计分析中,可以发现在行为特征上,垃圾邮件与正常邮件具有极高的区分度,且不论内容如何均相对为固有特征,特别是对大量的采用动态IP发送的邮件更是如此。垃圾邮件行为模式识别模型在理论计算上有着较高的垃圾邮件区分度(>90%),在实证分析中也暗合“小偷的行为心理异于常人”的道理,经得起逻辑和哲学理论的推敲。
采用垃圾邮件行为模式识别模型不仅大大提高了垃圾邮件辨别的准确率,而且不需要对信件的全部内容进行扫描,所以又可以大大提高计算处理能力,为电信级的邮件过滤打下了坚实的基础。
此外,采用垃圾邮件行为模式识别模型识别垃圾邮件,也可以从另一方面给垃圾邮件攻击者以压力,迫使发送者必须按照一定的规范发送邮件。也就是说迫使邮件发送者只能从正常渠道,以正常方式发送邮件,从而使得邮件的发送处于受控状态。
垃圾邮件行为模式识别模型是完全不同其他邮件过滤技术或算法的技术,虽说依然是站在巨人的肩膀上,但通过推出这种行为识别技术,可以说是将目前的邮件过滤技术带入到下一代的技术革新中。相信不久的将来,在全球的邮件过滤器上都会应用到行为识别技术
防火墙:多种技术齐头并进
作为网络安全领域的旗舰产品,防火墙发挥了重要的网络保护作用。但是随着网络应用的发展,对于各种网络危机的防范,传统的状态检测防火墙显得捉襟见肘。需求产生新的市场,市场促进技术发展,这个规则在网络安全领域同样有效。目前的防火墙已经不仅仅只是进行状态检测,还提供了更多的安全功能,从各个方面对网络安全威胁进行防护,主动扩大战线。
新一代NP技术
用CPU、ASIC还是NP,一直是大家不断争论的一个问题,其实这个问题非常简单。在能达到同样性能的情况下,优选CPU,其次是NP,然后是ASIC。目前很多厂商使用CPU+特定业务ASIC来实现高速处理,这是比较常见的方式。在性能不能解决的情况下,选择NP是必然的做法。但不管是IBM,还是Intel的NP,一个主要问题是开发成本太高,微码的开发难度和进度都不是普通公司能够短期搞定的,而带来的维护成本和对客户的响应速度都是很大的问题。这两年推出的新一代网络业务NP,通过直接集成多个通用CPU在一个处理器中,既可以保证高性能,又能借助软件的灵活性处理高层业务数据。新一代NP直接支持C语言和标准协议栈,性能高达10G,是期望中的业务网关处理芯片。使用新一代NP技术的防火墙将会获得性能和功能上两全的保障。
防火墙深包检测
防火墙最初的功能就是进行访问控制、状态检测,以及地址转换功能。通过对报文网络层信息的检测,来实现在网络层上对报文的控制。比如,哪些用户可以访问哪些地址(访问控制),哪些流量可以从外网进入内网(状态检测),如何隐藏内部网络的地址(地址转换)。随着网络应用的发展,高层协议得到越来越多的应用,互联网也从多种协议并驾齐驱发展成少数应用协议成为主流。而针对这些协议,用户需要进行控制。比如,需要控制用户不能访问非法网址,带有恶意信息的报文不能进入内网。而这些功能,仅仅依靠传统防火墙技术实现的对网络层信息进行检查和判断,是不能实现的,需要检查报文中的更深层次的内容,于是发展出了深度检测技术。深度检测可以检测报文中的内容信息,从而实现URL过滤、FTP命令过滤、网页中ActiveX控件过滤等功能,达到控制应用内容的目的。集成深包检测的防火墙将会越来越多。通过深包检测对内容进行控制,而不仅仅是对网络层信息进行控制,使防火墙对智能攻击有了主动防护能力。
应用状态检测
安全领域中长期依赖、发挥最大作用的无非是状态防火墙,通过协议状态检测技术实现数据访问单向流动,从而有效的保护内部网络不受攻击。而对服务器,采取暴露端口的形式。随着应用的增多和对安全性要求的提高,对这种开放端口的服务器同样需要保护,在网络层状态检查的基础上需要扩展到应用层的状态检查,从而对暴露在网络中的服务器进行保护。这种趋势会产生一系列的应用层安全网关,比如Web安全网关、语音安全网关等专用协议网关。当然,其网络位置不必是整个网络的出口,只要在保护资源的通路上即可。目前的专有过滤网关就是这一趋势的一个表现。这种技术在具体产品形态上表现为:防垃圾邮件网关——针对目前网络垃圾邮件泛滥的产品;应用防火墙——专门保护应用层安全的防火墙,其中的代表是Web应用防火墙。
安全技术融合
传统的网络层安全技术,如NAT、状态防火墙、VPN将不再作为专有设备,网络中路由器、交换机性能的提升和硬件构架的换代将直接提供网络层的安全功能,传统意义上的防火墙功能可以集成在路由器中。而另一方面,随着协议和接口的统一,防火墙也可以取代路由器或者交换机的位置。安全厂商或许会变化成网络设备厂商,网络设备厂商也能变为安全厂商,而由于积累的不同,网络设备厂商具有更大的优势。比如,现在的交换机成本和以前的Hub一样,但是抛弃了原来的交换芯片,使用新的硬件,不但提供交换,而且提供安全和业务特性,将来会直接把安全延伸到整个内部网络,彻底解决目前的内网安全问题。那么,传统的安全厂商如何发展?1、把自己融合进网络设备厂商。2、向安全的新领域—业务安全(而不是网络安全)进军。3、组建安全联盟,形成一个大的安全体系,自己成为其中一个基石。
VPN功能集成
从厂商的角度来说,希望一个环境中既使用VPN设备,又使用防火墙。但是,由于VPN设备对数据的隧道封装会导致防火墙设备上对VPN数据检测出现失准的现象,而同时维护两套配置策略也是没有必要的。为了减少重复处理,降低维护工作,提高防火墙的防护范围,直接在防火墙上集成VPN功能是非常有效的方法。如IPSec VPN、SSL VPN、L2TP VPN直接通过防火墙来支持,应用效果提高,而且降低了用户的投入成本。
防火墙技术在新的挑战下会继续向前发展,提供越来越多的智能和主动防御功能。防火墙中各个功能的协调工作,以及和网络中其他硬件、软件组件的配合联动,才能达到真正意义上的智能安全和主动防御。而这些,都需要安全厂商不断的创新。
反间谍软件:摸索中前行
与其他网络安全产品相比,反间谍软件可谓后起之秀,但它却是今年最耀眼的产品之一。
对付间谍软件,第一个任务就是要有一个清晰的标准来定义它,并以此作为准绳进行判断和查杀。但难点恰巧是这个标准很难定义。通常情况下我们可以这样定义:任何在计算机用户不知不觉的情况下,秘密搜集使用者的相关信息,并将其发给幕后操纵者的软件都可以称之为间谍软件,但是,很多合法的广告软件实现的也是类似的功能,这使得界定起来非常困难。
有的人认为,可以通过传送信息的最终结果是否带有恶意来进行判定,但实际上,是否具有“恶意”,人类能够通过智力和直觉来判断,但要没有意识的计算机软件来进行区分,却难以实现。
由于缺乏统一的标准,不同的厂家都有不同的方式,像赛门铁克所采取的“风险影响模型”,就是综合多种行为因素,包括能否让用户自由选择删除等,来判定是不是间谍软件。
反间谍软件和防病毒类似,都需要一种可靠的解决方案和专门的研究及响应机制,来跟踪新的间谍软件风险,并及时提供随威胁变化而变化的升级版本。虽然恶意软件与传统病毒存在区别,但是防范它们的目标是相同的,即保护客户电脑不受有害软件的侵扰。
由于防病毒厂商能够迅速探测到全球爆发的威胁,在第一时间内发布计算机防护和恢复的安全更新,并且能够集中管理已部署解决方案,因此面对不断增长的间谍软件风险,防病毒厂商在提供长期全面解决方案方面拥有无可比拟的优势。
一款好的反间谍软件工具,要给用户提供实时的保护。不仅应该能够检测尽可能多的间谍软件,毫无残留地消除“间谍”在系统每一个角落中留下的残渣余孽,避免死灰复燃,还应该安装和部署简便,可以方便地升级间谍软件特征表。好的反间谍工具应该提供迅捷明了的状态显示报告,可以让用户及时了解间谍软件给公司造成多大的损害,最大的风险和威胁在哪里。当然,在企业中,一个方便管理的中央控制台也是必不可少的。反间谍软件可见的发展趋势和防病毒软件类似,也是依靠行为识别技术实现主动防御。
目前,“从什么位置阻挡间谍软件是最有效的”这个问题还有争论。有的厂商认为应当从桌面阻止,因为移动技术在企业内的大量应用,使得越来越多的计算设备脱离了由网关所划定的安全疆域,如果用户在网关的保护之外感染了间谍软件,然后又再次接入网络,这台机器本身就成了协助“间谍”潜入的跳板。所以,先要保证每一个“内部成员”的可靠性。
而另外一部分厂商则认为,桌面工具始终是被动防线,“更好的”间谍软件总会突破这道防线。因此,应该在网关处采取防护措施。
当然,如果资金足够,企业应该采取多层次的防护措施来阻止间谍软件,这样才能收到理想的效果。
IDS:强调可用性
“IDS会被IPS取代”、 “IDS要和防火墙联动”……这两年来,市场上关于IDS的技术观点层出不穷。但是,这些概念更多地是在炒作。
长期以来,IDS的“漏报”和“误报”问题一直困扰着用户。加强攻击检测是减少“漏报”和“误报”现象的首要手段。过去,攻击检测是IDS的全部。而今天,它只是IDS的一个重要方面。IDS要实现全面关注网络健康,还应该能够做到帮助用户对检测内容进行深层次的分析,主动防御,最终提交给用户一份有意义的报告。
在某些IDS产品中已经新增加了内容恢复和应用审计功能,能针对常用的多种应用协议,比如HTTP、FTP、SMTP、POP3、Telnet、NNTP、IMAP、DNS、Rlogin、MSN等进行内容恢复,能完全真实地记录通信的全部过程与内容,并将其进行回放。此功能对于了解攻击者的攻击过程、监控内部网络中的用户是否滥用网络资源、发现未知的攻击具有重要和积极的作用。例如,在恢复HTTP的通信内容时,可恢复出其中的文本与图形等信息;而应用内容的审计则可发现内部的攻击,了解哪些人员查看了不该查看的内容。
此外,实时监测网络流量并及时发现攻击行为,亦是IDS的一项基本特征。现在的IDS产品增加了对网络实时监控和诊断功能,尤其是增加了扫描器,能对全网络进行主动扫描,实时发现网络中的异常,并给出详细的检测报告。
这种在审计和监控等多项功能上得到加强的IDS已经超越了传统意义上的IDS,是适用于用户需求、保护用户网络健康的新型IDS。
IPS:御敌于网外
入侵防护系统(IPS)的检测功能类似于IDS,但IPS检测到攻击后会采取行动阻止攻击。真正的入侵防护解决方案,可使企业不必进行分析即可采取措施保护系统。同时,它可防止攻击对操作系统、应用程序和数据造成损坏。一个理想的入侵防护解决方案应该包括以下8大特点:
1. 主动、实时预防攻击。IPS解决方案应该提供对攻击的实时预防和分析。它应该在任何未授权活动开始前找出攻击,并防止它进入重要的服务器资源。
2. 补丁等待保护。补丁管理是一个复杂的过程。在补丁被开发和安装之间,黑客会对服务器和重要数据造成破坏,入侵防护解决方案需要为系统管理员提供补丁等待期内的保护和足够的时间,以测试并安装补丁。
3. 保护每个重要的服务器。服务器中有最敏感的企业数据,是大多数黑客攻击的主要目标。所以,拥有专门为保护服务器定制的入侵防护解决方案十分重要。
4. 签名和行为规则。检测入侵最有效的方法是采取混合方式,即整合针对具体攻击的签名和行为规则的力量。这一混合方式可提供已知和未知攻击保护,而同时将误报率保持在最低,从而无须做出任何损失性让步。
5. 深层防护。强大的安全都是基于深度防御的概念,可进行深层防护。
6. 可管理性。理想的入侵防护解决方案可使安全设置和政策被各种应用程序、用户组和代理程序利用,从而降低安装并维护大型安全产品的成本。
7. 可扩展性。企业级入侵防护解决方案必须可升级,以满足企业不断发展的需求,而同时保持高水平的安全。可扩展性体现在可支持众多受保护的服务器、支持大流量和支持分散型安全管理,以满足大型分散式企业的需求。
8. 经验证的防护技术。企业要确认所选择的IPS解决方案是否采用了业界先进的新技术,是否经过充分测试、使用,并在受到持续不断地维护,这一点很重要。
SSL VPN:越走越宽的安全大道
在VPN领域,SSL VPN无疑是个新贵。总体来看,SSL VPN还没有达到厂商们期望的大规模应用,然而种种迹象表明,SSL VPN的前景看好。
一份最近的研究表明,近90%的企业利用VPN进行的内部网和外部网的连接都只是用来进行Internet访问和电子邮件通信,而这些应用都利用了一种更加简单的VPN技术——SSL VPN。基于SSL协议的VPN远程访问方案的确更加容易配置和管理,由于不需要客户端软件,网络配置成本比起目前主流的IPSec VPN要低很多,所以许多企业已经开始利用基于SSL加密协议的远程访问技术来实现VPN通信了。
SSL VPN的优势包括:
◆由于客户端与SSL VPN网关之间实现高强度的加密信息传输,因此虽然信息传输是通过公网进行的,但是其安全性是可以得到保证的。第三方即使可以得到传输数据,但是却无法得到隐藏在其中的明文信息;
◆SSL VPN的访问要经过认证和授权,充分保证用户身份的合法性。如果请求连接的用户没有合法身份,则SSL VPN将拒绝其连接请求,从而限制了非法用户对内网的访问;
◆SSL VPN方案实施起来非常简单,只需要在企业的数据中心部署SSL VPN网关即可,无需在各分支机构部署硬件或软件设备。SSL VPN方案是无客户端的VPN方案,客户端只需要具备标准的浏览器即可。SSL VPN的管理工作属于集中管理和集中维护模式,可以极大地降低管理和维护成本。
在去年的时候,SSL VPN的性能曾经遭到过质疑。在《网络世界》评测实验室组织的2005年度SSL VPN网关公开比较评测中,我们发现,性能已不是问题,SSL VPN完全可以满足用户在远程安全连接方面的需求。据我们了解,即便是最高端的用户,也很少会分配高达100Mbps的带宽给SSL VPN应用,再加上Internet网速受多方面影响,因此,从实际吞吐量角度看,100Mbps是实际应用环境的极限。而且VPN设备可以提供数据压缩能力,即数据经过压缩后向外网发送,这可使用户更加有效地利用昂贵的带宽资源。
UTM:性能功能两手抓
统一威胁管理(UTM)是将企业防火墙、入侵检测和防御以及防病毒结合于一体的设备。IDC极为看好UTM设备,并认为UTM市场到2008年时,将占有整个信息安全市场的半壁江山,达到57.6%。
由于集成了多个功能,因此UTM的性能提升是一个发展方向,这取决于硬件技术的发展。除了性能之外,UTM的功能也在不断的升级,以实现更主动的防御。比如SonicWALL的产品中就新加入了反间谍软件,能够封堵最新的聊天软件Skype、BT、eMule等等。还有Fortinet的实时扫描技术在其产品中的应用,使网络防毒墙这一产品形态真正靠近了用户需求。它集成状态防火墙功能,并对报文进行流还原、深度检查,从而在报文转发过程中对网络数据进行病毒扫描,实现病毒实时扫描的产品,解决了用户对各个终端不能有效监控的问题,至少对病毒的来源之一——网络进行了有效的封堵,能解决用户的实际问题。
UTM要想被用户广泛接受和认可,还有一个重要的工作要做,那就是提高UTM的稳定性和防范的有效性。因为各安全功能在同一个系统中工作,各功能之间需要保证完全的协调和稳定。另外,UTM设备需要加强逻辑关系分析,提升关联性。
全球威胁管理安全设备分类销售收入预测,2003-2008年(单位:百万美元)
2003 2004 2005 2006 2007 2008 2003年占有率(%) 2003~2008年均变化率(%) 2008年占有率(%)
防火墙/VPN 1479.1 1667.7 1791.6 1804.4 1623.5 1462.3 93.4 -0.2 42.4
UTM安全设备 104.9 225.0 517.5 828.0 1324.8 1987.2 6.6 80.1 57.6
总计 1584.0 1892.7 2309.1 2632.4 2948.3 3449.5 100.0 16.8 100.0