安全問題仍然是阻礙企業(yè)采用云計(jì)算的最主要問題，至少對于任務(wù)關(guān)鍵型或敏感數(shù)據(jù)型應(yīng)用程序是如此。與競爭對手共享基礎(chǔ)設(shè)施上的敏感數(shù)據(jù)將繼續(xù)困擾企業(yè)，但云計(jì)算現(xiàn)在被作為一種有效處理動態(tài)高級威脅的方式。

一些安全供應(yīng)商甚至期望云計(jì)算賦予他們的競爭優(yōu)勢幫助他們實(shí)時檢測和緩解以前不知道的威脅。那么，云計(jì)算能否解決新的網(wǎng)絡(luò)威脅又或是它僅僅是安全行業(yè)新一輪的營銷炒作?

在相當(dāng)長的一段時間里，安全研究人員一直在說，基于簽名的技術(shù)不再能夠應(yīng)對最新的威脅。因?yàn)楣舾潞芸?，?dāng)我們認(rèn)定一個威脅的時候，這種威脅早已經(jīng)出現(xiàn)了新的變種，任何基于簽名的安全系統(tǒng)都變得無能為力。

安全公司Imperva的研究表明，只有不到5%的前40名的反病毒系統(tǒng)能夠在初期檢測到未編錄的新型病毒。這項(xiàng)研究使用80多個以前未編錄的病毒種類，也發(fā)現(xiàn)了許多系統(tǒng)在初次掃描一個月或更長的時間后才會更新他們的簽名。

Imperva CTO Amichai Shulman表示，“企業(yè)安全已經(jīng)通過反病毒軟件方案勾畫了一個框架，但實(shí)際情況是，每一個新病毒都可能會破壞這些解決方案。我們不相信企業(yè)投資數(shù)十億美元的反病毒解決方案是物有所值，特別是在我們研究中，某些免費(fèi)軟件解決方案比付費(fèi)解決方案要好。”

基于云的情報數(shù)據(jù)庫

鑒于本研究以及其他類似的研究，那些位于安全研究的人也認(rèn)同現(xiàn)在是時候采用不同的方法。企業(yè)需要快速地發(fā)現(xiàn)新的威脅，并在它們造成較大損失前把危害降低，但云計(jì)算是最正確的方式嗎？

最起碼，安全公司W(wǎng)ebroot公司認(rèn)為，云計(jì)算是未來防御惡意軟件的關(guān)鍵。完全依靠云可以在離線的時候讓端點(diǎn)進(jìn)行自我保護(hù)。Webroot公司的高級企業(yè)產(chǎn)品市場營銷經(jīng)理George Anderson認(rèn)為只有使用云基礎(chǔ)設(shè)施才可能用各種惡意軟件數(shù)據(jù)庫掃描，分析和比對來歷不明的軟件根據(jù)。

惡意軟件情報和評估都是在Webroot公司的云環(huán)境中執(zhí)行，而不是在每個端點(diǎn)上放置一個綜合惡意軟件簽名文件。由于該軟件客戶端不是非得接收和處理簽名文件，所以傳統(tǒng)的軟件客戶端占用的空間比軟件客戶端小。

基于云的方法，Webroot公司稱，意味著沒有必要對軟件客戶端的持續(xù)更新，所以掃描速度更快，對系統(tǒng)資源的影響小，提高了效益。Webroot公司支持低性能影響，稱PassMark軟件的基準(zhǔn)測試中，安全供應(yīng)商在總分80分的評比中得分為78，得分率為97.5%。而其競爭對手得分為55，得分率為69%。

自定義風(fēng)險承受能力

根據(jù)Forrester Research的報告，使用基于云的情報資料庫提供實(shí)時威脅防護(hù)是大多數(shù)主流安全廠商的趨勢。安全廠商已經(jīng)意識到，利用他們的已有的安裝基礎(chǔ)，他們可以收集文件操作信息，并根據(jù)信任度做決策。這包括簡單的文件白名單和黑名單列表，此外，還有允許用戶根據(jù)自己對未知文件的風(fēng)險承受能力自定義信任級別，F(xiàn)orrester Research公司首席分析師Andrew Rose稱。不過他表示，雖然基于云的解決方案多多，可是他仍然有些擔(dān)心。

“完全依賴于云會導(dǎo)致端點(diǎn)離線時進(jìn)行自我抵御。雖然沙盒可以提供一些幫助，但我尋求的保障要求當(dāng)?shù)氐陌踩砟莒`活啟用復(fù)雜功能并確保在一個操作系統(tǒng)中進(jìn)行協(xié)作保護(hù)，而不是分割的保護(hù)，”Rose說。

簽名與本地行為分析相結(jié)合的方法

同樣的，他說，保護(hù)水平與供應(yīng)商的智能網(wǎng)絡(luò)的強(qiáng)度有直接關(guān)系，在此領(lǐng)域里已有的競爭者，如賽門鐵克和McAfee，有一個顯著優(yōu)勢——他們有數(shù)十億文件的信任記錄，且這些記錄每周都在瘋漲。

“雖然基于云計(jì)算的解決方案有很多價值，我仍然被混合方式所吸引，因?yàn)檫@種方式可以把云智能網(wǎng)絡(luò)和文件的本地活動，本地文件的限制和有彈性的本地沙盒結(jié)合起來，”Rose說。

這是Webroot公司希望自己與眾不同的領(lǐng)域，力求與傳統(tǒng)的基于簽名式系統(tǒng)以及其他意識到云安全潛力的安全廠商區(qū)別開來。Webroot公司的系統(tǒng)注重試圖在系統(tǒng)上執(zhí)行的文件行為，而不論Webroot公司以前是否見過該文件還是有該文件基于云的簽名。

任何未知的文件都會被監(jiān)控和其操作也會被記錄，Webroot公司的George Anderson說。

“一旦被認(rèn)為是惡意文件，它就會被放置在客戶端沙箱中，進(jìn)行隔離執(zhí)行并進(jìn)行更深入的行為分析，而該文件可能執(zhí)行的任何操作都會被自動還原到系統(tǒng)最后出現(xiàn)過的良好狀態(tài)，只顛倒可疑文件的變化，”他說。這意味著，即使在未知惡意軟件被激活，系統(tǒng)也會受到保護(hù)。

離線保護(hù)系統(tǒng)

Webroot公司的目的是要通過使用離線試探的方式，讓終端預(yù)離線軟件配置識別和阻止引入新軟件項(xiàng)目的危險操作，從而解決離線保護(hù)的問題。Webroot公司的客戶端會在設(shè)備脫機(jī)狀態(tài)下記錄了與新引入軟件有關(guān)的文件，注冊密鑰和內(nèi)存位置的變化。如果試探方法沒有觸發(fā)攔截，但是新軟件其實(shí)是惡意軟件，那么這種做法就是有利的。

一旦端點(diǎn)重新聯(lián)機(jī)， Webroot云就會進(jìn)行威脅評估。如果程序被確定為惡意軟件，那么該惡意文件會被刪除，而且Webroot會把端點(diǎn)還原到最后出現(xiàn)過的良好狀態(tài)。然而，只有具備行為分析能力的時候才能出現(xiàn)這種情況。

雖然云計(jì)算具備應(yīng)對新型網(wǎng)絡(luò)威脅網(wǎng)絡(luò)威脅的潛力。但僅僅是云計(jì)算還不夠，還需要搭配綜合行為分析能力，才能應(yīng)對零日威脅和系統(tǒng)脫機(jī)狀態(tài)。

文件掃描錯過的大圖片

盡管其他類似的研究也確認(rèn)了這一趨勢，但趨勢科技公司研究總監(jiān)Rik Ferguson認(rèn)為Imperva的研究是有缺陷的。Ferguson談到，“只是掃描的文件的集合——無論是大企業(yè)還是來源可靠 - 安全軟件完全忽略了一點(diǎn)，實(shí)際文件中，有效載荷僅僅是事件長鏈中的一個環(huán)節(jié)，而這一個環(huán)節(jié)也可能導(dǎo)致整條鏈的斷裂。”

他認(rèn)為Imperva的研究沒有像在外部環(huán)境中那樣將安全產(chǎn)品暴露在威脅面前。根據(jù)Ferguson的言論，要決定是否攔截一個威脅，就要模擬這個文件傳給受害者的方式進(jìn)行測試。

原文地址：http://www.computerweekly.com/news/2240174205/Cloud-security-threat-or-solution