论文部分内容阅读
只有实现云安全——安全的互联网化,将整个互联网变成一个巨大的安全软件,才是应对病毒互联网化最可靠的出路。
传统的安全模式亟待变革,否则无论是安全厂商还是互联网用户,都将被淹没在木马病毒的海洋中,互联网的各项基础应用和发展也将极大受损。
传统的信息安全策略显然已经不能适应病毒互联网化这样一个新形势的发展。任何一个事物,都有自己发展的周期和生命的周期,如果不能适应新形势的发展,那么它的顶点往往也就是衰落的开始。
如果把传统的信息安全模式比作上午8、9点钟的太阳,现在已经快11点半了。
如果不从现在开始做准备,如果不从现在开始寻找应对的策略的话,我们很有可能会被这个时代所摈弃。
传统安全策略的死胡同
其实病毒在技术上并没有进步,但是病毒制造者充分利用了互聯网,通过互联网的高效便捷来整合整个运作链条,提高运作效率。于是,传统的安全策略开始有些水土不服。
传统的安全策略可以归纳为两点:首先是缩短升级软件所需的间隔时间,来加快对用户中病毒后的反应速度。另外一种方式就是发展和完善更多的主机反病毒技术,在产品中应用更多的病毒解决方法和防御技术。
问题一:病毒库更新意义不大
瑞星从2002年到2007年升级频率的变化趋势如下:在2002年的时候,每周升级一次,2003年每周升级3次,2004年每周升级4次,2005年每周升级5次,2007年每周升级21次。也就是说,从2002年到2007年,瑞星的升级频率增加了20倍。
但是病毒更新的频率增加多少呢?病毒的数量增加多少呢?在2002年全球爆发的新的病毒数量就已经达到了2万种之多,到了2008年,每天新增的病毒样本数就已经达到了2万多种。
以前的黑客编写病毒、传播、窃取账号、出售等环节都需要自己完成,由于现在整个链条通过互联网运作,从挖掘漏洞、制造病毒、传播病毒到出售窃取来的账号,形成了一个高效的流水线,黑客可以选择自己擅长的环节运作,从而使得产业的运作效率更高。
实际上现在病毒的互联网化使病毒的更新更快了,病毒可以以10分钟为单位更新一次,甚至更快。那我们的杀毒软件可以不可以这样更新呢?
也是可以的,完全没有问题,我们也可以10分钟升级一次病毒库。那是什么概念呢?就是一个小时要升级6次,一天24小时要升级144次。从技术上来讲都不是问题,但是能有哪个用户受得了一天升级144次的频率?所以频繁地缩小这种软件升级的间隔,增加软件升级的频率,显然是死路一条,已经走到了尽头。
问题二:过期的防御方式
目前业界常用的一些反病毒技术,大致可以分为两类:一类是病毒的检测技术,一类是病毒的防御技术。这些都是传统的病毒解决模式。
当一个用户受到了恶意的威胁时,这个用户会通过电子邮件等方式与杀毒软件厂商取得联系,将病毒样本上报。杀毒软件厂商获得了这些样本以后,把样本提供给分析处理系统,由分析处理系统提出解决方案,然后提供给技术服务器,再由技术服务器制造出新的版本升级。
这种被动的安全模式,主要依赖用户对威胁的感知能力。这个出发点就是错的,因为用户对威胁的感知能力是不一样的,厂商监控互联网威胁的模式过于盲目。
另外,传统的安全防御思想是基于单机设计的,光顾着发展单机的检测和防御技术,产品互联网化的程度也只停留在利用互联网这个渠道升级或者进行白名单验证。
互联网的关键问题
如果用一句话来概括当今的病毒状况就是它的传播或者发展已经互联网化。但是我们的信息安全的思路、功能还只停留在单机时代,还没有进入互联网时代,这也就是现代的模式无法应对新形式病毒的关键所在。(如图1所示)
为什么业内很多安全厂商认为云安全这种架构能够迅速地对互联网化的威胁作出反应呢?简单来说,云安全客户端区别于我们以往理解的单机的客户端,它不是一个人在战斗,它是一个针对传统客户端进行互联网化改造的客户端。
当一个恶意程序在互联网的某个角落产生威胁时,它可能会通过下载网站、门户网站等等各种渠道进行传播。此时,基于云安全的客户端就感知并截获了,然后迅速地把威胁传递给威胁信息数据中心。
威胁信息数据中心的概念是收集威胁信息并提供给客户端协作信息的一个机构,它实际上具有两个功能:第一个功能就是收集威胁信息,第二个功能是客户端的协作信息的查询和反馈。
收集威胁信息的功能,是将从云安全的客户端收集上来,截获的恶意威胁的信息,及时传递给数据中心,传递功能传递给来源挖掘和挖掘服务集群,来源挖掘和挖掘服务集群会根据这些数据来挖掘用户面临的恶意威胁的来源。
明确恶意威胁来源后,可以对来源实施实时监控。一旦病毒来源有了变种,或者有了变化的时候,就可以及时收集到这个信息,反馈给云安全的客户端,阻断病毒传播的通路。
协作信息查询功能,就是把各个终端中的异常特征集合在一起进行处理,然后再反馈给云安全客户端一个整体的解决方案,实际上就是信息反馈和查询的过程,主要是为了避免头疼医头,脚疼医脚。
传统的安全模式亟待变革,否则无论是安全厂商还是互联网用户,都将被淹没在木马病毒的海洋中,互联网的各项基础应用和发展也将极大受损。
传统的信息安全策略显然已经不能适应病毒互联网化这样一个新形势的发展。任何一个事物,都有自己发展的周期和生命的周期,如果不能适应新形势的发展,那么它的顶点往往也就是衰落的开始。
如果把传统的信息安全模式比作上午8、9点钟的太阳,现在已经快11点半了。
如果不从现在开始做准备,如果不从现在开始寻找应对的策略的话,我们很有可能会被这个时代所摈弃。
传统安全策略的死胡同
其实病毒在技术上并没有进步,但是病毒制造者充分利用了互聯网,通过互联网的高效便捷来整合整个运作链条,提高运作效率。于是,传统的安全策略开始有些水土不服。
传统的安全策略可以归纳为两点:首先是缩短升级软件所需的间隔时间,来加快对用户中病毒后的反应速度。另外一种方式就是发展和完善更多的主机反病毒技术,在产品中应用更多的病毒解决方法和防御技术。
问题一:病毒库更新意义不大
瑞星从2002年到2007年升级频率的变化趋势如下:在2002年的时候,每周升级一次,2003年每周升级3次,2004年每周升级4次,2005年每周升级5次,2007年每周升级21次。也就是说,从2002年到2007年,瑞星的升级频率增加了20倍。
但是病毒更新的频率增加多少呢?病毒的数量增加多少呢?在2002年全球爆发的新的病毒数量就已经达到了2万种之多,到了2008年,每天新增的病毒样本数就已经达到了2万多种。
以前的黑客编写病毒、传播、窃取账号、出售等环节都需要自己完成,由于现在整个链条通过互联网运作,从挖掘漏洞、制造病毒、传播病毒到出售窃取来的账号,形成了一个高效的流水线,黑客可以选择自己擅长的环节运作,从而使得产业的运作效率更高。
实际上现在病毒的互联网化使病毒的更新更快了,病毒可以以10分钟为单位更新一次,甚至更快。那我们的杀毒软件可以不可以这样更新呢?
也是可以的,完全没有问题,我们也可以10分钟升级一次病毒库。那是什么概念呢?就是一个小时要升级6次,一天24小时要升级144次。从技术上来讲都不是问题,但是能有哪个用户受得了一天升级144次的频率?所以频繁地缩小这种软件升级的间隔,增加软件升级的频率,显然是死路一条,已经走到了尽头。
问题二:过期的防御方式
目前业界常用的一些反病毒技术,大致可以分为两类:一类是病毒的检测技术,一类是病毒的防御技术。这些都是传统的病毒解决模式。
当一个用户受到了恶意的威胁时,这个用户会通过电子邮件等方式与杀毒软件厂商取得联系,将病毒样本上报。杀毒软件厂商获得了这些样本以后,把样本提供给分析处理系统,由分析处理系统提出解决方案,然后提供给技术服务器,再由技术服务器制造出新的版本升级。
这种被动的安全模式,主要依赖用户对威胁的感知能力。这个出发点就是错的,因为用户对威胁的感知能力是不一样的,厂商监控互联网威胁的模式过于盲目。
另外,传统的安全防御思想是基于单机设计的,光顾着发展单机的检测和防御技术,产品互联网化的程度也只停留在利用互联网这个渠道升级或者进行白名单验证。
互联网的关键问题
如果用一句话来概括当今的病毒状况就是它的传播或者发展已经互联网化。但是我们的信息安全的思路、功能还只停留在单机时代,还没有进入互联网时代,这也就是现代的模式无法应对新形式病毒的关键所在。(如图1所示)
为什么业内很多安全厂商认为云安全这种架构能够迅速地对互联网化的威胁作出反应呢?简单来说,云安全客户端区别于我们以往理解的单机的客户端,它不是一个人在战斗,它是一个针对传统客户端进行互联网化改造的客户端。
当一个恶意程序在互联网的某个角落产生威胁时,它可能会通过下载网站、门户网站等等各种渠道进行传播。此时,基于云安全的客户端就感知并截获了,然后迅速地把威胁传递给威胁信息数据中心。
威胁信息数据中心的概念是收集威胁信息并提供给客户端协作信息的一个机构,它实际上具有两个功能:第一个功能就是收集威胁信息,第二个功能是客户端的协作信息的查询和反馈。
收集威胁信息的功能,是将从云安全的客户端收集上来,截获的恶意威胁的信息,及时传递给数据中心,传递功能传递给来源挖掘和挖掘服务集群,来源挖掘和挖掘服务集群会根据这些数据来挖掘用户面临的恶意威胁的来源。
明确恶意威胁来源后,可以对来源实施实时监控。一旦病毒来源有了变种,或者有了变化的时候,就可以及时收集到这个信息,反馈给云安全的客户端,阻断病毒传播的通路。
协作信息查询功能,就是把各个终端中的异常特征集合在一起进行处理,然后再反馈给云安全客户端一个整体的解决方案,实际上就是信息反馈和查询的过程,主要是为了避免头疼医头,脚疼医脚。