安全問(wèn)題仍然是阻礙企業(yè)采用云計(jì)算的最主要問(wèn)題，至少對(duì)于任務(wù)關(guān)鍵型或敏感數(shù)據(jù)型應(yīng)用程序是如此。與競(jìng)爭(zhēng)對(duì)手共享基礎(chǔ)設(shè)施上的敏感數(shù)據(jù)將繼續(xù)困擾企業(yè)，但云計(jì)算現(xiàn)在被作為一種有效處理動(dòng)態(tài)高級(jí)威脅的方式。

一些安全供應(yīng)商甚至期望云計(jì)算賦予他們的競(jìng)爭(zhēng)優(yōu)勢(shì)幫助他們實(shí)時(shí)檢測(cè)和緩解以前不知道的威脅。那么，云計(jì)算能否解決新的網(wǎng)絡(luò)威脅又或是它僅僅是安全行業(yè)新一輪的營(yíng)銷(xiāo)炒作?

在相當(dāng)長(zhǎng)的一段時(shí)間里，安全研究人員一直在說(shuō)，基于簽名的技術(shù)不再能夠應(yīng)對(duì)最新的威脅。因?yàn)楣舾潞芸欤?dāng)我們認(rèn)定一個(gè)威脅的時(shí)候，這種威脅早已經(jīng)出現(xiàn)了新的變種，任何基于簽名的安全系統(tǒng)都變得無(wú)能為力。

安全公司Imperva的研究表明，只有不到5%的前40名的反病毒系統(tǒng)能夠在初期檢測(cè)到未編錄的新型病毒。這項(xiàng)研究使用80多個(gè)以前未編錄的病毒種類(lèi)，也發(fā)現(xiàn)了許多系統(tǒng)在初次掃描一個(gè)月或更長(zhǎng)的時(shí)間后才會(huì)更新他們的簽名。

Imperva CTO Amichai Shulman表示，“企業(yè)安全已經(jīng)通過(guò)反病毒軟件方案勾畫(huà)了一個(gè)框架，但實(shí)際情況是，每一個(gè)新病毒都可能會(huì)破壞這些解決方案。我們不相信企業(yè)投資數(shù)十億美元的反病毒解決方案是物有所值，特別是在我們研究中，某些免費(fèi)軟件解決方案比付費(fèi)解決方案要好。”

基于云的情報(bào)數(shù)據(jù)庫(kù)

鑒于本研究以及其他類(lèi)似的研究，那些位于安全研究的人也認(rèn)同現(xiàn)在是時(shí)候采用不同的方法。企業(yè)需要快速地發(fā)現(xiàn)新的威脅，并在它們?cè)斐奢^大損失前把危害降低，但云計(jì)算是最正確的方式嗎？

最起碼，安全公司W(wǎng)ebroot公司認(rèn)為，云計(jì)算是未來(lái)防御惡意軟件的關(guān)鍵。完全依靠云可以在離線的時(shí)候讓端點(diǎn)進(jìn)行自我保護(hù)。Webroot公司的高級(jí)企業(yè)產(chǎn)品市場(chǎng)營(yíng)銷(xiāo)經(jīng)理George Anderson認(rèn)為只有使用云基礎(chǔ)設(shè)施才可能用各種惡意軟件數(shù)據(jù)庫(kù)掃描，分析和比對(duì)來(lái)歷不明的軟件根據(jù)。

惡意軟件情報(bào)和評(píng)估都是在Webroot公司的云環(huán)境中執(zhí)行，而不是在每個(gè)端點(diǎn)上放置一個(gè)綜合惡意軟件簽名文件。由于該軟件客戶端不是非得接收和處理簽名文件，所以傳統(tǒng)的軟件客戶端占用的空間比軟件客戶端小。

基于云的方法，Webroot公司稱(chēng)，意味著沒(méi)有必要對(duì)軟件客戶端的持續(xù)更新，所以掃描速度更快，對(duì)系統(tǒng)資源的影響小，提高了效益。Webroot公司支持低性能影響，稱(chēng)PassMark軟件的基準(zhǔn)測(cè)試中，安全供應(yīng)商在總分80分的評(píng)比中得分為78，得分率為97.5%。而其競(jìng)爭(zhēng)對(duì)手得分為55，得分率為69%。

自定義風(fēng)險(xiǎn)承受能力

根據(jù)Forrester Research的報(bào)告，使用基于云的情報(bào)資料庫(kù)提供實(shí)時(shí)威脅防護(hù)是大多數(shù)主流安全廠商的趨勢(shì)。安全廠商已經(jīng)意識(shí)到，利用他們的已有的安裝基礎(chǔ)，他們可以收集文件操作信息，并根據(jù)信任度做決策。這包括簡(jiǎn)單的文件白名單和黑名單列表，此外，還有允許用戶根據(jù)自己對(duì)未知文件的風(fēng)險(xiǎn)承受能力自定義信任級(jí)別，F(xiàn)orrester Research公司首席分析師Andrew Rose稱(chēng)。不過(guò)他表示，雖然基于云的解決方案多多，可是他仍然有些擔(dān)心。

“完全依賴(lài)于云會(huì)導(dǎo)致端點(diǎn)離線時(shí)進(jìn)行自我抵御。雖然沙盒可以提供一些幫助，但我尋求的保障要求當(dāng)?shù)氐陌踩砟莒`活啟用復(fù)雜功能并確保在一個(gè)操作系統(tǒng)中進(jìn)行協(xié)作保護(hù)，而不是分割的保護(hù)，”Rose說(shuō)。

簽名與本地行為分析相結(jié)合的方法

同樣的，他說(shuō)，保護(hù)水平與供應(yīng)商的智能網(wǎng)絡(luò)的強(qiáng)度有直接關(guān)系，在此領(lǐng)域里已有的競(jìng)爭(zhēng)者，如賽門(mén)鐵克和McAfee，有一個(gè)顯著優(yōu)勢(shì)——他們有數(shù)十億文件的信任記錄，且這些記錄每周都在瘋漲。

“雖然基于云計(jì)算的解決方案有很多價(jià)值，我仍然被混合方式所吸引，因?yàn)檫@種方式可以把云智能網(wǎng)絡(luò)和文件的本地活動(dòng)，本地文件的限制和有彈性的本地沙盒結(jié)合起來(lái)，”Rose說(shuō)。

這是Webroot公司希望自己與眾不同的領(lǐng)域，力求與傳統(tǒng)的基于簽名式系統(tǒng)以及其他意識(shí)到云安全潛力的安全廠商區(qū)別開(kāi)來(lái)。Webroot公司的系統(tǒng)注重試圖在系統(tǒng)上執(zhí)行的文件行為，而不論Webroot公司以前是否見(jiàn)過(guò)該文件還是有該文件基于云的簽名。

任何未知的文件都會(huì)被監(jiān)控和其操作也會(huì)被記錄，Webroot公司的George Anderson說(shuō)。

“一旦被認(rèn)為是惡意文件，它就會(huì)被放置在客戶端沙箱中，進(jìn)行隔離執(zhí)行并進(jìn)行更深入的行為分析，而該文件可能執(zhí)行的任何操作都會(huì)被自動(dòng)還原到系統(tǒng)最后出現(xiàn)過(guò)的良好狀態(tài)，只顛倒可疑文件的變化，”他說(shuō)。這意味著，即使在未知惡意軟件被激活，系統(tǒng)也會(huì)受到保護(hù)。

離線保護(hù)系統(tǒng)

Webroot公司的目的是要通過(guò)使用離線試探的方式，讓終端預(yù)離線軟件配置識(shí)別和阻止引入新軟件項(xiàng)目的危險(xiǎn)操作，從而解決離線保護(hù)的問(wèn)題。Webroot公司的客戶端會(huì)在設(shè)備脫機(jī)狀態(tài)下記錄了與新引入軟件有關(guān)的文件，注冊(cè)密鑰和內(nèi)存位置的變化。如果試探方法沒(méi)有觸發(fā)攔截，但是新軟件其實(shí)是惡意軟件，那么這種做法就是有利的。

一旦端點(diǎn)重新聯(lián)機(jī)， Webroot云就會(huì)進(jìn)行威脅評(píng)估。如果程序被確定為惡意軟件，那么該惡意文件會(huì)被刪除，而且Webroot會(huì)把端點(diǎn)還原到最后出現(xiàn)過(guò)的良好狀態(tài)。然而，只有具備行為分析能力的時(shí)候才能出現(xiàn)這種情況。

雖然云計(jì)算具備應(yīng)對(duì)新型網(wǎng)絡(luò)威脅網(wǎng)絡(luò)威脅的潛力。但僅僅是云計(jì)算還不夠，還需要搭配綜合行為分析能力，才能應(yīng)對(duì)零日威脅和系統(tǒng)脫機(jī)狀態(tài)。

文件掃描錯(cuò)過(guò)的大圖片

盡管其他類(lèi)似的研究也確認(rèn)了這一趨勢(shì)，但趨勢(shì)科技公司研究總監(jiān)Rik Ferguson認(rèn)為Imperva的研究是有缺陷的。Ferguson談到，“只是掃描的文件的集合——無(wú)論是大企業(yè)還是來(lái)源可靠 - 安全軟件完全忽略了一點(diǎn)，實(shí)際文件中，有效載荷僅僅是事件長(zhǎng)鏈中的一個(gè)環(huán)節(jié)，而這一個(gè)環(huán)節(jié)也可能導(dǎo)致整條鏈的斷裂。”

他認(rèn)為Imperva的研究沒(méi)有像在外部環(huán)境中那樣將安全產(chǎn)品暴露在威脅面前。根據(jù)Ferguson的言論，要決定是否攔截一個(gè)威脅，就要模擬這個(gè)文件傳給受害者的方式進(jìn)行測(cè)試。

原文地址：http://www.computerweekly.com/news/2240174205/Cloud-security-threat-or-solution