安全问题仍然是阻碍企业采用云计算的最主要问题,至少对于任务关键型或敏感数据型应用程序是如此。与竞争对手共享基础设施上的敏感数据将继续困扰企业,但云计算现在被作为一种有效处理动态高级威胁的方式。
一些安全供应商甚至期望云计算赋予他们的竞争优势帮助他们实时检测和缓解以前不知道的威胁。那么,云计算能否解决新的网络威胁又或是它仅仅是安全行业新一轮的营销炒作?
在相当长的一段时间里,安全研究人员一直在说,基于签名的技术不再能够应对最新的威胁。因为攻击更新很快,当我们认定一个威胁的时候,这种威胁早已经出现了新的变种,任何基于签名的安全系统都变得无能为力。
安全公司Imperva的研究表明,只有不到5%的前40名的反病毒系统能够在初期检测到未编录的新型病毒。这项研究使用80多个以前未编录的病毒种类,也发现了许多系统在初次扫描一个月或更长的时间后才会更新他们的签名。
Imperva CTO Amichai Shulman表示,“企业安全已经通过反病毒软件方案勾画了一个框架,但实际情况是,每一个新病毒都可能会破坏这些解决方案。我们不相信企业投资数十亿美元的反病毒解决方案是物有所值,特别是在我们研究中,某些免费软件解决方案比付费解决方案要好。”
基于云的情报数据库
鉴于本研究以及其他类似的研究,那些位于安全研究的人也认同现在是时候采用不同的方法。企业需要快速地发现新的威胁,并在它们造成较大损失前把危害降低,但云计算是最正确的方式吗?
最起码,安全公司Webroot公司认为,云计算是未来防御恶意软件的关键。完全依靠云可以在离线的时候让端点进行自我保护。Webroot公司的高级企业产品市场营销经理George Anderson认为只有使用云基础设施才可能用各种恶意软件数据库扫描,分析和比对来历不明的软件根据。
恶意软件情报和评估都是在Webroot公司的云环境中执行,而不是在每个端点上放置一个综合恶意软件签名文件。由于该软件客户端不是非得接收和处理签名文件,所以传统的软件客户端占用的空间比软件客户端小。
基于云的方法,Webroot公司称,意味着没有必要对软件客户端的持续更新,所以扫描速度更快,对系统资源的影响小,提高了效益。Webroot公司支持低性能影响,称PassMark软件的基准测试中,安全供应商在总分80分的评比中得分为78,得分率为97.5%。而其竞争对手得分为55,得分率为69%。
自定义风险承受能力
根据Forrester Research的报告,使用基于云的情报资料库提供实时威胁防护是大多数主流安全厂商的趋势。安全厂商已经意识到,利用他们的已有的安装基础,他们可以收集文件操作信息,并根据信任度做决策。这包括简单的文件白名单和黑名单列表,此外,还有允许用户根据自己对未知文件的风险承受能力自定义信任级别,Forrester Research公司首席分析师Andrew Rose称。不过他表示,虽然基于云的解决方案多多,可是他仍然有些担心。
“完全依赖于云会导致端点离线时进行自我抵御。虽然沙盒可以提供一些帮助,但我寻求的保障要求当地的安全代理能灵活启用复杂功能并确保在一个操作系统中进行协作保护,而不是分割的保护,”Rose说。
签名与本地行为分析相结合的方法
同样的,他说,保护水平与供应商的智能网络的强度有直接关系,在此领域里已有的竞争者,如赛门铁克和McAfee,有一个显著优势——他们有数十亿文件的信任记录,且这些记录每周都在疯涨。
“虽然基于云计算的解决方案有很多价值,我仍然被混合方式所吸引,因为这种方式可以把云智能网络和文件的本地活动,本地文件的限制和有弹性的本地沙盒结合起来,”Rose说。
这是Webroot公司希望自己与众不同的领域,力求与传统的基于签名式系统以及其他意识到云安全潜力的安全厂商区别开来。Webroot公司的系统注重试图在系统上执行的文件行为,而不论Webroot公司以前是否见过该文件还是有该文件基于云的签名。
任何未知的文件都会被监控和其操作也会被记录,Webroot公司的George Anderson说。
“一旦被认为是恶意文件,它就会被放置在客户端沙箱中,进行隔离执行并进行更深入的行为分析,而该文件可能执行的任何操作都会被自动还原到系统最后出现过的良好状态,只颠倒可疑文件的变化,”他说。这意味着,即使在未知恶意软件被激活,系统也会受到保护。
离线保护系统
Webroot公司的目的是要通过使用离线试探的方式,让终端预离线软件配置识别和阻止引入新软件项目的危险操作,从而解决离线保护的问题。Webroot公司的客户端会在设备脱机状态下记录了与新引入软件有关的文件,注册密钥和内存位置的变化。如果试探方法没有触发拦截,但是新软件其实是恶意软件,那么这种做法就是有利的。
一旦端点重新联机, Webroot云就会进行威胁评估。如果程序被确定为恶意软件,那么该恶意文件会被删除,而且Webroot会把端点还原到最后出现过的良好状态。然而,只有具备行为分析能力的时候才能出现这种情况。
虽然云计算具备应对新型网络威胁网络威胁的潜力。但仅仅是云计算还不够,还需要搭配综合行为分析能力,才能应对零日威胁和系统脱机状态。
文件扫描错过的大图片
尽管其他类似的研究也确认了这一趋势,但趋势科技公司研究总监Rik Ferguson认为Imperva的研究是有缺陷的。Ferguson谈到,“只是扫描的文件的集合——无论是大企业还是来源可靠 - 安全软件完全忽略了一点,实际文件中,有效载荷仅仅是事件长链中的一个环节,而这一个环节也可能导致整条链的断裂。”
他认为Imperva的研究没有像在外部环境中那样将安全产品暴露在威胁面前。根据Ferguson的言论,要决定是否拦截一个威胁,就要模拟这个文件传给受害者的方式进行测试。