無邊界管理的企業(yè)反病毒軟件將退市
邊界,本來的含義指不同國家之間領(lǐng)土劃分時采用的一條界線。在網(wǎng)絡(luò)安全領(lǐng)域也應(yīng)當(dāng)有邊界:如果我們能在不同的程序與文件進(jìn)入計算機(jī)前劃定一條嚴(yán)格的邊界、進(jìn)入之后進(jìn)行嚴(yán)密的監(jiān)控,那么就相當(dāng)于鎖定了防御的范圍,也才有防御的可能。
之前,信息安全企業(yè)就一直嘗試通過技術(shù)手段,將外部的不安全因素控制在內(nèi)部網(wǎng)絡(luò)之外。但是,外界的病毒及入侵事件還是不可避免的發(fā)生了。原因在于:傳統(tǒng)的反病毒軟件基于黑名單技術(shù),沒有搭載邊界管理功能;缺乏精細(xì)化管控的反病毒老產(chǎn)品,很難應(yīng)對今天的邊界多樣化和模糊化后的安全防護(hù)需求。
我們到底允許什么樣的文件或者程序可以通過什么方式進(jìn)入計算機(jī)網(wǎng)絡(luò)?之前缺少終端管控策略和技術(shù)時,文件與程序進(jìn)入前是未知的,進(jìn)入時的方式是多樣的,進(jìn)入之后是不可控的。我們注意到:文件與程序進(jìn)入前的未知體現(xiàn)在他們是否含毒、被注入木馬并不知道,是否讓他們互聯(lián)網(wǎng)、郵件、網(wǎng)絡(luò)、移動設(shè)備等入口進(jìn)入并放行更不知道;進(jìn)入之后,相關(guān)程序是否進(jìn)行違規(guī)操作,我們也不知道。
進(jìn)入時沒有邊界,進(jìn)入后沒有監(jiān)控,就相當(dāng)于一切都在一個黑盒子中運行,計算機(jī)的內(nèi)部世界始終處于混沌與未知狀態(tài)。如果我們能在所有的文件和程序進(jìn)入終端前進(jìn)行前置掃描,文件和程序進(jìn)入計算機(jī)后進(jìn)行監(jiān)控、檢查、文件傳送記錄,以強(qiáng)管控的模式實現(xiàn)對邊界的掌控,則能最大限度地達(dá)成企業(yè)內(nèi)部計算機(jī)的安全防護(hù)。
有研究表示,超過90%的安全威脅,都是從應(yīng)用終端的邊界進(jìn)入。這些邊界包括互聯(lián)網(wǎng)下載、移動設(shè)備拷貝、郵件傳輸、即時通信傳送、網(wǎng)絡(luò)共享等,許多企業(yè)因為大量資料沒有能夠?qū)ζ溥M(jìn)行安全保護(hù),成為攻擊者的重點目標(biāo)。雖然之前傳統(tǒng)的企業(yè)殺毒軟件中已經(jīng)在嘗試研究邊界防御的技術(shù)(通過掃描+進(jìn)程監(jiān)控的方式達(dá)成邊界的控制),然而邊界對象不明確,單點執(zhí)行,功能之間無有效協(xié)同等缺點,導(dǎo)致了傳統(tǒng)企業(yè)殺毒軟件在技術(shù)上早已不能應(yīng)對終端邊界的復(fù)雜形勢。一旦一臺計算機(jī)被病毒感染,將可能導(dǎo)致整個網(wǎng)絡(luò)內(nèi)所有終端PC感染病毒。
我們需要將反病毒軟件的邊界防御技術(shù)提高到邊界精細(xì)化智能管理,并有效達(dá)成對邊界的全面管控,也只有這樣,才能有效保護(hù)企業(yè)網(wǎng)絡(luò)和應(yīng)用的邊界安全。我們認(rèn)為,邊界的精細(xì)化智能管控可以達(dá)到如下價值:
控邊界:通過對邊界來源進(jìn)行細(xì)分,當(dāng)程序進(jìn)入電腦時,通過對外界程序進(jìn)入電腦的監(jiān)控、檢查,在病毒尚未被運行時即可被判定為安全或不安全,讓病毒程序得不到執(zhí)行的機(jī)會,實現(xiàn)前置主動防御。
持續(xù)行為監(jiān)控:當(dāng)文件經(jīng)過入口監(jiān)控進(jìn)入環(huán)境后,通過增加進(jìn)程監(jiān)控、注冊表監(jiān)控、驅(qū)動監(jiān)控、聯(lián)動防御云等方式,對其行為等綜合安全性進(jìn)行判斷,確保未知、定向攻擊、間接白文件利用等威脅手法入侵環(huán)境。
文件管理:通過對海量信息的采集、分析、關(guān)聯(lián)、匯聚和統(tǒng)一處理,實時輸出分析報告,便于事后分析與決策。此外,選配動靜態(tài)鑒定器后還將具有強(qiáng)大的灰文件處理能力。
這樣的技術(shù)原理是受到物業(yè)管理的啟發(fā),認(rèn)為企業(yè)網(wǎng)絡(luò)環(huán)境就像小區(qū)環(huán)境一樣,通過對進(jìn)入的業(yè)主掃門禁卡、汽車使用停車證、摩托車車牌登記等進(jìn)行分類別管理,數(shù)據(jù)統(tǒng)一登記存儲。在小區(qū)內(nèi)部,通過攝像頭監(jiān)控各小區(qū)環(huán)境(包含人、車的各種動向),并把圖像存儲在服務(wù)器端,一旦發(fā)現(xiàn)有可疑人員或事件發(fā)生,即可調(diào)集數(shù)據(jù)與進(jìn)入的數(shù)據(jù)進(jìn)行比對分析,或者在事件未發(fā)生之前,即可通過對圖像中的行為進(jìn)行判斷,及時發(fā)現(xiàn)可疑點并遏制。從而實現(xiàn)進(jìn)出口信息、小區(qū)監(jiān)控信息、樓道信息的關(guān)聯(lián)。
“基于未知安全的邊界管理才是新一代企業(yè)反病毒軟件的核心。”金山安全專家關(guān)成雷說:“基于海量黑白知識庫才能管好邊界,憑借云端安全策略才能達(dá)成智能防范。”根據(jù)這一思想,金山在5月16日推出的企業(yè)終端防護(hù)優(yōu)化系統(tǒng)V8.0新產(chǎn)品中增加的邊界管理,可對各種進(jìn)入終端的未知文件進(jìn)行前置掃描、分類管理、來源管理、事后追溯及安全審計。用戶選配金山的智能鑒定系統(tǒng)后還將具有強(qiáng)大的未知文件處理能力,從而實現(xiàn)對病毒、木馬等惡意軟件的前置主動防御,達(dá)成對未知文件的處理,這相當(dāng)于給企業(yè)的內(nèi)網(wǎng)構(gòu)建了一條“安全護(hù)城河”。
無邊界,不安全;無邊界管理的企業(yè)反病毒軟件終將被市場所淘汰。