美国优异的安全专家Mark S.Kadrich在其《终端安全》一书中,就明确指出终端安全是影响信息系统安全的根源。而被攻击的大多数终端都是企业普通员工,这些员工的安全防范知识贫乏、安全意识淡薄,与之相应的“团队攻击者”来说简直就是蚂蚁和大象的对抗。在蚂蚁军团中,任何一个终端软件都有可能成为攻击目标。因此,终端用户似乎已经成为一个迷失的流浪者,他该向谁求助?
? 终端安全不应由“蚂蚁”负责
终端既是信息产生的起点,又是信息销毁的终点,是企业业务的控制点,也是支撑点。但对于一个网络管理员来说,虽然终端资产的数量是最大的,但其重要性级别和关照程度往往被大幅降低,通常低于网络中承载ERP、CRM等与业务直接关联的服务器。作为企业网络最为基础的构成节点,终端与这些服务器直接进行信息沟通,因而成为黑客和病毒制造者的攻击目标和跳板。同时,因为终端用户基本上就是企业业务运行的支撑者,很多时候终端因为安全问题的停滞,将直接影响企业正常业务的进行,损失巨大。
与此相反的是,绝大多数的安全管理人员在网关处部署大量的网络安全产品,虽然这种防御体系功不可没,因为它可以抵挡住70~80%的威胁攻击。但又因为无线办公、移动办公用户和存储介质应用的增加,网络内部终端接入的情况变得错综复杂。随处提供接入服务的网络仍有20~30%的威胁无法被网关端阻挡,由企业内部发起的攻击仍然大量存在,且随时可能引发“蝴蝶效应”,造成大面积病毒爆发。
来自趋势科技全球防病毒研发暨技术支持中心统计的数据显示,70%以上的信息泄露和安全威胁都发生在网络终端。这一结果表明,大量计算机安全威胁都源于同一个问题:终端用户在未经管理员同意并且无管理员控制的情况下,就安装或运行非法的恶意程序。因此,终端安全管理应该形成一种统一的模式,为蚂蚁战士们都配置上先进的武器,这样成千上万的蚂蚁团结起来也能够战胜大象。
? 先锋武器:趋势科技威胁发现系统TDS
趋势科技云安全2.0的推出,不仅为安全行业带来了强大的文件信誉技术(FRT)、多协议关联分析技术,同时,也为终端用户提供了更加全面、更加高效的多层次终端安全解决方案。该解决方案由威胁发现设备(Threat Discovery Appliance)和趋势科技防毒墙网络版OfficeScan 10构成,其中TDA作为蚂蚁军团最为锋利的武器,可以让安全管理人员在第一时间找到网络中“求助者”,定位病毒感染源,迅速解决终端问题。
可以说,TDA是发现蚂蚁被人欺负的关键。因为如果有一只蚂蚁被大象踩了一脚,是不容易被管理人员发现的,而TDA在网络层面收集哪些蚂蚁被欺负的信号,能够迅速进行警告,达到加强防御的目标 。当然对于“不听话”的蚂蚁,TDA也能够识别违反安全策略、中断网络、消耗大量带宽以及构成潜在安全威胁的应用行为和服务程序。其中包括如即时通讯(Bittorrent, Kazaa, eDonkey, MSN, Yahoo Messenger )、P2P文件共享、流媒体,以及未授权服务如SMTP中继和DNS欺骗等等应用、服务程序。
那么TDA的功能只能是企业内网的“放大镜”吗?这只是它的冰山一角。
作为TDS(威胁发现系统)重要组件,由于集成了趋势科技云安全2.0中的“多协议关联分析技术”,因此可全面支持检测2-7层的恶意威胁,能快速检测Web攻击、跨站点脚本攻击和网络钓鱼行为,识别高危节点和高危网络通讯行为,其中就包括向外界泄露数据或从僵尸网络控制中心接收命令的木马行为,这是传统的、基于代码比对方式的安全产品所无法办到的。 因此,TDS实际上就是内网的“指挥中心”,它不但能够及时的发现网络环境中的安全威胁,还能够将这些威胁转化为详细的处理措施并进行落实。
? 必备武器:趋势科技防毒墙网络版OfficeScan
在趋势科技多层次终端安全解决方案中,除了TDA之外,还有将蚂蚁“武装到牙齿”的产品OfficeScan。作为云安全2.0的核心产品之一,趋势科技防毒墙网络版OfficeScan 10这款经典拳头产品也被赋予了全新内涵。它集成了趋势科技云安全2.0中独创的“云客户端文件信誉(Cloud-Client File Reputation,CCFR)”技术,将大量的病毒特征码交付给云端服务进行管理,当用户访问某文件时,将直接到云端查询该文件的最新安全等级,FRT会阻止用户访问低安全等级的文件,从而在最大程度上确保终端无论是否接入企业网络都可以受到保护。加入云客户端文件信誉技术的OfficeScan 10,实际上是为每一位蚂蚁战士都带来一支“激光枪”出行。因此,在遭遇害大象袭击时,一样可以防身并进行反击。
不过,蚂蚁终究还是蚂蚁,蚂蚁武器的最关键一点是让蚂蚁能够“扛的动”。OfficeScan 10借助CCFR避免了防毒软件版本升级,客户端病毒码不断增大,内存占用增长的窘迫问题。以前,在没有云安全技术的防毒体系中,客户端承担了太多的功能,以至于系统进程运行的越多,防毒软件的CPU和内存都持续增加,许多纯文件的签名和基于签名的复杂脚本都要传送至用户的终端系统,这些武器不但没法去挑战大象,往往武器自己的重量就把蚂蚁压死了。而新CCFR 技术中,大量的恶意软件样本的纯文件签名都只会传送至云,而用于复杂恶意软件的相关脚本则传送至本地客户端。同时,由于OfficeScan 10采用了特殊的智能过滤器,可以实现客户端的离线保护,这也是脱了TDS保护伞后仍然可以自行保护的关键。
云安全2.0将大量的防毒功能从终端迁移至云端,并通过网关和终端产品的智能联动,形成“终端→网关”、“终端→云端”、“网关→云端”多层防御体系。如今,那些失散的终端正在被逐渐统一到“云”下,在大幅压缩防护空窗期的同时,简化了终端安全管理的难度。蚂蚁们乐了!