那　罡

互聯(lián)網(wǎng)上每天新增的惡意代碼和惡意網(wǎng)頁嚴重威脅著用戶的上網(wǎng)安全。這些惡意代碼,和曾經(jīng)風(fēng)靡一時的沖擊波等傳統(tǒng)病毒相比,變種更多、更新、更快,完全以經(jīng)濟利益為導(dǎo)向,更以網(wǎng)頁掛馬形式實施大面積傳播。

“所以,傳統(tǒng)以惡意代碼簽名為主的防御技術(shù)已力有未逮,各大安全廠商都紛紛在安全領(lǐng)域嘗試新的思路和技術(shù),在網(wǎng)絡(luò)安全領(lǐng)域也出現(xiàn)了一個新名詞——云安全。但云安全只是一種基礎(chǔ)架構(gòu),重要的是為用戶提供多種實時的安全服務(wù),如防病毒、URL及垃圾郵件過濾等,甚至還可以與軟件即服務(wù)(SaaS)等商業(yè)模式配合,提供給用戶更強大的安全防護能力與更多的選擇?！?賽門鐵克中國區(qū)技術(shù)支持部首席解決方案顧問林育民說。

信譽服務(wù)識別Web攻擊

過去,用戶只有在訪問惡意網(wǎng)站或者惡意電子郵件時才有可能受到感染威脅。而現(xiàn)在,攻擊者通過感染合法網(wǎng)站并利用其作為傳播介質(zhì)來攻擊企業(yè)和個人用戶,而且會特別針對用戶所信賴的網(wǎng)站,例如社交網(wǎng)站等。

林育民認為,面對不斷變化的惡意網(wǎng)站,需要重新思考應(yīng)對模式。為此,賽門鐵克透過用戶自愿參與的社群、全球超過200個國家部署的20萬個以上的風(fēng)險監(jiān)測點,以及全球1.3億以上的賽門鐵克用戶不斷提交的惡意代碼,在云端組成一個完整的資料庫,共享網(wǎng)站安全訊息,以Web 2.0的思維實時對抗最新的Web威脅。

記者了解到,當全球任何角落的終端用戶在加入賽門鐵克信息安全共享社群后,會與云端的服務(wù)器保持實時聯(lián)絡(luò)。當發(fā)現(xiàn)異常行為或病毒等風(fēng)險后,訊息會被自動提交到云端的服務(wù)器群組中,由云計算技術(shù)進行集中分析和處理。

借助URL信譽數(shù)據(jù)庫,賽門鐵克可以按照惡意軟件行為分析所發(fā)現(xiàn)的網(wǎng)站頁面、歷史位置變化和可疑活動跡象等因素來指定信譽分數(shù),從而追蹤網(wǎng)頁的可信度。然后將通過該技術(shù)繼續(xù)掃描網(wǎng)站并防止用戶訪問被感染的網(wǎng)站。

林育民說:“為了提供更精確的訊息,賽門鐵克不但為網(wǎng)站指定了信譽分值,通過不同的顏色給用戶直觀的體驗,更提供了詳細的帶毒URL的位置、惡意代碼文件名、簽名(MD5)及威脅名稱?！蓖ㄟ^URL信譽分值的比對,用戶可以知道某個網(wǎng)站潛在的風(fēng)險級別。當用戶訪問具有潛在風(fēng)險的網(wǎng)站時,就可以及時獲得系統(tǒng)提醒或阻止,從而幫助用戶快速地確認目標網(wǎng)站的安全性。通過這種URL庫的信譽評分機制,可以防范惡意程序源頭。由于對零日攻擊的防范是基于網(wǎng)站的可信程度而不是真正的內(nèi)容,因此能有效預(yù)防惡意軟件的初始下載,用戶訪問惡意網(wǎng)站前就能夠獲得防護能力。

文件信譽評等將是趨勢

賽門鐵克認為單靠傳統(tǒng)的黑名單防護技術(shù)已經(jīng)不能滿足當前的安全需求。為此,賽門鐵克不但采用主動式防御技術(shù)以防范各類未知惡意代碼,而且還縮短病毒定義庫發(fā)布時間以實時防范各類新興安全威脅,更推出了文件信譽評等云安全服務(wù)。

林育民補充說:“賽門鐵克自2007年對自愿參與的諾頓用戶社群提供文件信譽評等服務(wù)后,已收集了超過3億份不同文件的背景信息。事實上,用戶對電腦中的文件,不可能像在Web 2.0網(wǎng)站中對讀過的書或購得的商品做出評等。為此,賽門鐵克在設(shè)計文件信譽評等技術(shù)之初,即以對用戶不造成干擾的自動化評等技術(shù)為主要目標?！蓖高^收集文件的名稱與位置、簽名(MD5)與第一次出現(xiàn)的時間等背景訊息,結(jié)合賽門鐵克云端服務(wù)的數(shù)據(jù)庫即可計算出該文件的信譽分值。當遇到既有的黑白名單均無法識別的文件時,透過云端取得該文件是否是最近出現(xiàn)的、已有多少終端存在此文件及賽門鐵克是否已分析過該文件等背景信息,即可判斷是否該攔阻或放行該文件的運行。

記者了解到,賽門鐵克的文件信譽評等技術(shù),可與現(xiàn)有的病毒簽名、啟發(fā)式和入侵檢測技術(shù)互補,來甄別各種新型網(wǎng)絡(luò)威脅和有針對性的攻擊,提供對不斷推陳出新的惡意代碼更為主動與實時的安全防護。事實上,賽門鐵克文件信譽評等技術(shù)需要龐大的數(shù)據(jù)庫來做支撐,如果沒有多年的技術(shù)沉淀和積累,想做到這一點是有難度的。利用以Web 2.0思維出發(fā)的文件信譽評等技術(shù)可以在當前惡意程序迅猛增長的情況下,有效地降低新型攻擊帶來的安全風(fēng)險。

此外,賽門鐵克于2008年并購了MessageLabs,結(jié)合云安全與軟件即服務(wù)(SaaS)的商業(yè)模式,提供給用戶更實時的安全防護與更多的選擇。