您现在的位置是:首页 > IT基础架构 > 网络与安全 >
互联网硬件安全网关选型指南
2008-12-22 16:42:00作者:那罡来源:
摘要如今的风险往往利用热点事件受关注率高、网友浏览点击率高等特点,伪装成热点电影、热点网络视频、热点照片等等诱骗用户点击下载,进而感染病毒。 ...
热点事件已经成为了木马和病毒等互联网风险的传播“帮凶”,当布拉德•皮特新片《返老还童》即将上映时,关于“布拉德•皮特 下载”、“布拉德•皮特 墙纸”和“布拉德•皮特 电影”的搜索所带来的风险指数也直线上升,因而成为最危险的名人搜索。
如今的风险往往利用热点事件受关注率高、网友浏览点击率高等特点,伪装成热点电影、热点网络视频、热点照片等等诱骗用户点击下载,进而感染病毒。
正是由于互联网威胁的快速变化,引发了网络安全厂商这几年间的频繁收购,在搜索引擎上简单一搜,就可看到CP Secure、MessageLabs、Secure Computing、IronPort、SurfControl、Postini等众多关注联网安全的硬件厂商被收购的消息。
IDC统计,2007年内容安全管理硬件市场的市场规模为840万美元,其中下半年为520万美元,占全年的62.6%。趋势科技在2007年重点推进安全硬件和安全服务,使得其在内容安全管理硬件上表现突出,以18.8%的市场占有率排在首位,梭子鱼以16.4%的市场占有率位居次席。
今年9月,McAfee收购著名硬件网关产品公司Secure Computing,在此之后不到一个月的时间里,美国网件(NETGEAR)宣布收购另一家著名的硬件网关产品公司CP Secure。10月中旬,趋势科技和全球PC巨头戴尔(China)签订了全球的硬件平台OEM协议,并且共同推出了具备云安全技术的第一款印有“中国制造”的合作产品——IWSA5000 Web安全网关。
一时间,关注互联网硬件安全网关的“硬汉”们格外引人关注。业内有分析人士指出:很多致力于提供网络安全解决方案的公司从一开始就是为了被收购而经营的。这样的公司往往会看准某个新兴领域,以零利润甚至负利润的低价武器迅速地占领市场,再凭借着市场占有率待价而沽,寻求大企业的收购从而赚取“杠杆差价”。这种风靡一时的“杠杆模式”为了资本运作,搁置了广大客户对于硬件网关产品的需求,这种竭泽而渔的做法很有可能会透支硬件网关市场的未来。
在Web2.0的时代,Web系统的交互性不断加强,出现了像SQL注入、XSS这种可实现“瞬间”攻击的方法,在这种情况下,“防火墙+入侵检测联动”的解决方案不起作用了,网页防篡改系统也由于Web系统数据库处在一直不断更新的状态下而无法发挥作用。Web业务安全防御需要有一种能实时切断攻击的互联网安全应用级解决方案。
特别是对于大型的国际化企业来说,即使不是IT公司,它的业务也是和互联网密不可分的,互联网已经成为企业日常运作的一部分,成为了企业的基本生产工具。但是,企业每天庞大的业务量使得企业网络的负荷量不断增加,种类繁多的蠕虫、病毒、木马程序等恶意代码以及垃圾邮件又在不停地侵蚀着企业网络资源,影响着网络的正常运行。
因此,如何保证企业内部网络的安全性、健壮性,消除恶意代码和垃圾邮件对企业正常运营的影响,就成为大型企业面临的一个重要问题。用户在思考,自己的安全够不够“硬”。
互联网安全网关自立门派
如今,Web业务平台已经在电子商务、企业信息化中得到广泛应用,很多企业都将应用架设在Web平台上。Web业务的迅速发展也引起了黑客们的强烈关注,他们将注意力从以往对传统网络服务器的攻击逐步转移到了对Web业务的攻击上。
根据Gartner的调查,信息安全攻击有75%都是发生在Web应用层而非网络层面上,2/3的Web站点都相当脆弱,易受攻击。另外,今年4月国家计算机网络应急技术处理协调中心发布的报告指出:“2007年度,网络仿冒、网页恶意代码、网站篡改等增长速度接近200%。”而随着Web2.0应用的推广,相关安全问题逐渐凸显,针对该类网站的攻击事件也在不断增多。
浪尖上的Web威胁
无论是美国还是中国,随着社会网络、Web2.0、SaaS的兴起,网络本身已经成为社会生活的一部分。在这种环境下,与传统的病毒制造不同,当前各种木马程序、间谍软件、恶意软件等以利益驱动的攻击手段越来越多。
事实上,随着当前Web应用开发越来越复杂与迅速,攻击者可以很容易地通过各种漏洞实施诸如注入攻击、跨站脚本攻击以及不安全的直接对象关联攻击,从而进一步通过各种隐蔽的技术手段盗窃企业机密、用户隐私、信用卡账号、游戏账号密码等能够轻易转化成利益所得的信息。另外,通过木马、漏洞控制海量的普通用户主机组成僵尸网络,利用这些“肉鸡”,控制者可以通过多种方式获取利益,比如发起攻击、点击广告、增加流量等。
迅雷副总裁李金波说,由于病毒的互联网化,网页浏览已经成为病毒传播的最主要渠道,网页挂马占到病毒传播总量90%以上。而且,由于应用软件漏洞、浏览器插件漏洞等频发,仅仅依靠网民自身的安全意识,很难应对复杂多变、花样翻新的病毒入侵渠道。
随着动态页面技术的广泛应用,Web业务进入了一个新的阶段,基于静态文件防护的网页防篡改系统的应用范围缩小了,虽然攻击者最常见的攻击手段还是替换网页,但已经很难单纯用网页防篡改系统来进行保护了。这个阶段最常见的Web防御措施就是“防火墙+入侵检测产品”,并设置二者联动——入侵检测产品发现针对Web系统的攻击行为,通知防火墙进行阻断。这种方案不受Web系统的架构影响,但用户必须购买可以相互配合使用的防火墙和入侵检测产品。
但是,传统的恶意程序检测依赖于安装在用户计算机上的威胁特征码数据库,这意味着,每台计算机上的威胁特征码数据库只有在更新并包括新威胁的特征码之后才能提供最新的防护。况且,利用网页脚本进行木马下载和执行是目前网马的主要感染方式,超过90%网马是通过网页脚本实现的。
因此,当某个新威胁首次出现后,所有计算机必须等待一段时间才能防护此新威胁。
要想使企业内网成为一个安全的环境,首先就要解决网络边缘的安全问题,只有网络边缘安全了,才能防止病毒、蠕虫、恶意威胁通过互联网进入企业内网。于是,许多企业开始在网络边缘部署防病毒软件、防火墙、防病毒网关、IDS等安全设备,但是这几种设备均是基于对已知攻击手段的防范,无法有效防范未知攻击手段。
安全要“硬”起来
当今的病毒、木马和混合攻击已经完全互联网化。由于IDS漏报、误报及事后响应的缺点,所以直接放在网关位置的IPS产品目前逐渐成为市场的热点;防病毒产品也从最早的桌面版发展出集中管理模式的网络版,从而发展出直接串在网关处的防病毒网关。而用户面对互联网的风险不断加剧,也造就了新的硬件安全网关产品——互联网硬件安全网关。
病毒的互联网化,导致作为互联网入口的浏览器备受各种网络风险的折磨,其中网页挂马占到病毒传播总量90%以上。而且,由于应用软件漏洞、浏览器插件漏洞等频发,仅仅依靠网民自身的安全意识,很难应对复杂多变、花样翻新的病毒入侵渠道。
在相当长一段时间里,互联网硬件安全网关仍然是Web安全解决方案最主要的力量,并且许多安全产品正在向硬件安全网关方向发展。
传统的Web安全网关诞生于2006年,经过近3年的市场磨合,存在四方面的不足:第一,性能跟不上;第二,功能与检测准确度不够;第三,部署比较复杂;第四,维护难度较高。为此,当前主流安全厂商在大量应用新技术的条件下,陆续对互联网硬件安全网关更新。
Hillstone首席软件架构师王钟表示,针对企业的攻击总是跟随着应用而来,越来越多的企业应用构建在互联网之上,而用户在互联网上的活动也是越来越频繁和难以控制。无论是正常的企业应用还是企业员工的个人上网行为,都会成为Web攻击的对象。从目前来看,多年的积累,使得企业具备一定的网络攻击防御能力,而针对新出现的Web活动引发的安全威胁,企业需要根据自身的特点,增强相应的防范手段。
由于Web安全网关工作在应用层,因此对Web应用防护具有先天的技术优势。Web安全网关基于对Web应用业务和逻辑的深刻理解,对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。稳捷网络首席技术官张鸿文说,Web安全网关可以放置于防火墙后端,有效拦截HTTP与FTP数据,检测、拦截、抵御病毒、间谍软件、特洛伊木马与蠕虫攻击。
云安全成热点
目前,很多安全厂商都在布局云安全领域,虽然不排除有些是在炒作概念,但这至少说明,现在都已经意识到,“云安全”是网络安全的未来发展趋势。
在云安全方面投入力量最早的是趋势科技,他们早在两年前就开始针对云安全进行研究,并且在全球部署了34000台云端服务器,同时与顶级域名管理机构合作,在DNS中增加参数,进行全球域安全解析。无疑,所有的努力都是为了尽可能全面地应对Web安全的挑战。
瑞星系统架构师钟伟认为,简单来说,“云安全”客户端区别于我们以往理解的单机的客户端,它不是一个人在战斗,它是一个针对传统客户端进行互联网化改造的客户端。
趋势科技资深技术顾问徐学龙在接受本报独家专访时表示,云计算是一个数据处理的概念,在处理海量数据时的模型,大量集群服务器收集信息,给出结果。这种模式是一种模型,安全厂商利用这种模型推出来的服务,就是云安全解决方案。
他还说:“云安全可以从整个互联网上收集源信息,判断用户的互联网搜索、访问、应用的对象是不是恶意信息。这种模式与病毒代码的比对不同,病毒代码是用特征码进行识别,而云安全根据信息的位置来判断,根据URL地址这一段的风险程度来判断。要知道,传统的病毒代码分析依靠大量人工,而云安全则利用历史的观点不停地对互联网进行分析,通过将URL划分为50多种属性,安全统计的准确性、动态性会非常好,第一次的安全事件命中率可以达到99%,只要全球范围内有1%的用户提交需求给云端服务器,15分钟之后全球的云安全库就会进行策略控制。目前云安全的分析方法是根据信息所在地址的多种属性来分析,通过长期跟踪,几乎没有误报。”
云安全的好处很明显,当明确恶意威胁来源后,可以对来源实施实时监控,一旦病毒来源有了变种,或者有了变化的时候,就可以及时收集到这个信息,反馈给“云安全”的客户端,阻断病毒传播的通路。
据中国工商银行总行的IT负责人介绍,他们已经为全行采购了趋势科技的Web安全网关IWSA,出发点就是看中了其中集成的相关信誉服务体系。
随着Web病毒越来越多,Web信誉的价值越发明显。而文件信誉服务则是追踪整个互联网上文件的信誉,跟踪文件的生命周期。通过MD5算出的32位值比对云端的恶意文件匹配,从而确保了文件安全与防泄漏。
据悉,趋势科技的云安全可以支持平均每天55亿条点击查询,每天收集分析2.5亿个样本,资料库第一次命中率就可以达到99%。借助云安全,趋势科技现在每天阻断的病毒感染最高达1000万次。
互联网安全网关的必备素质
《趋势科技2008年上半年威胁综合报告》显示,Web威胁在去年的基础上呈现爆炸式增长,其中3月份Web威胁的数量从2007年12月的1500万增加到5000万。整个上半年,新增病毒、木马1242244个,比去年全年病毒、木马总数增长了338%,其总数更是超过了近5年病毒数量的总和。
面向Web的技术
浏览网页就会中招的情况越来越普遍,表明了受到出售机密信息的诱人利益所驱使,网络罪犯已经逐渐将Web作为从事恶意活动的新途径。Web安全威胁已经成为对企业来说最为猛烈的攻击手段之一,而传统防护手段则显得力不从心。
面对不断变化的互联网威胁,是该采用偏重流量检测的防火墙,还是采用偏重病毒防御的防毒墙,又或者是采用集各种功能于一身的UTM,很多用户还存在一定的困惑。
目前,市场上常见的硬件安全网关产品种类繁多,功能各异,各种类型的企业根据自身的需求形成了不同形式的应用。虽然这些产品能够对企业的网络安全提供帮助,但在用户的使用过程中,它们也还存在自身的问题。
福州某商业银行以前部署了一些传统网络安全产品,如防火墙、IDS、IPS、桌面管理等,但是此类产品功能的防范重点各不相同,不仅耗用大量系统和网络资源,而且导致系统不稳定概率的增加和企业技术支持成本的上升。
此外,硬件安全网关虽然能够深度检测防御病毒,但对于网络流量会形成一定的速度限制,如何在防病毒和网络流量间取得平衡,如何兼顾性能与速度的优势,如何配置适当的解决方案,都成了令用户头疼的问题。
面对新兴的Web形态复杂攻击,目前最有效的做法就是部署结合多种防护技术的多层式防御架构。可以分别在三个层级部署整合式的解决方案,包括部署在互联网网关、网络中和计算机终端的各种创新技术。
部署在网关处的硬件产品针对用户的HTTP/FTP应用实施安全过滤和强制策略。它一方面可以阻止病毒、间谍软件和灰色软件等恶意程序侵入网络内部,另一方面可以阻断已感染间谍软件的机器向外传送机密信息和阻断内部用户访问网络钓鱼站点,在企业网关处实施双向安全内容过滤。
落实在服务
记者根据中国计算机报《2008企业信息安全环境状态调查》对部分用户进行回访,企业用户对于产品的关注度排行分别为:性价比、稳定性、售后服务、技术特新、可管理性、扩展性。不难发现,用户在经过综合权衡后,重点还是会落在服务上。
像趋势科技、Websense和IronPort等厂商为用户提供了信誉服务,通过基于Web的信誉服务对访问的目标站点进行分析,进行阻断或放行;然后将对放行后的站点通过病毒代码、间谍软件代码、网络钓鱼代码进行二次检测,兼容已有的防病毒体系,并能进行日志记录和活动监视,无需更换原有的防病毒软件,作为一种技术支撑,实现了运维成本的降低。
虽然各个厂商的硬件安全网关产品各有特色,但在具体的售后服务、升级扩展方面却千差万别,尤其对于那些由于相互并购而突然停止售后服务的产品,用户更是心存顾虑。正如某冶金企业CIO所言,如果某个厂商的产品很好,但是售后服务跟不上甚至停止,那我们买的产品就相当于一堆废铁,毫无用处。
化工行业的用户张先生向记者透露,曾经购买了国外某公司性价比“很不错”的硬件安全网关产品,后来该公司被收购了,其售后服务支撑变得不靠谱,对于一些新病毒威胁的防护,几乎是束手无策。
趋势科技资深产品技术顾问徐学龙表达了自己的观点:目前病毒的生命周期在变短,病毒的数量和变种大大增加,依靠病毒代码防范病毒的效果越来越差,安全厂商必须寻找新的技术来应对,同时还得为此投入大量研发经费。目前的Web安全市场正处于技术转型期,用户在选择安全厂商时不仅需要关注技术层面,还需要了解厂商在中国的投入状况,比如是否有研发中心、互联网风险实验室、客户服务中心等设施。
专家访谈:
网络安全自己作主
——专访趋势科技资深产品技术顾问徐学龙
由于一些小的硬件安全网关厂商大多以十几个人起家,其成立之初的宗旨就是以零利润或负利润换取市场,待取得一定市场声音后,就与其他厂商洽谈被收购事宜,实现资本收益。信息安全公司被收购后,将产生诸多不确定性因素。如人员、渠道、发展思路等方面均可能进行较大规模的重新调整。在整个调整期间,大规模裁员、渠道更替等未知因素都会导致安全响应速度减缓、售后服务杂乱无章。这种不确定性是否会对企业级用户造成某种安全隐患?记者带着种种疑问走访了趋势科技资深产品技术顾问徐学龙。
趋势科技自2005年推出Web硬件安全网关产品以来,年均增长速度达50%。这足以证明了用户在硬件安全网关市场的需求量。
徐学龙认为,信息安全产业是不断变化的,具有一定不确定性。从根本上来讲,这类厂商更像是资本运作厂商,而不是真正的网络安全厂商。用户与这些厂商的合作,从长远意义来讲,无论是给用户还是企业自身,都会带来潜在的合作风险。
硬件安全网关和传统的IT硬件产品不同,作为网络安全的核心产品,要保证企业使用者能够随时抵御层出不穷的网络攻击,除了对产品本身的要求外,定时更新和专业的售后服务同样是网络安全解决方案中必不可少的组成部分。
徐学龙表示:“对于用户而言,硬件安全网关产品作为网络安全防护的第一关卡,是网络安全解决方案中的重要组成部分,可以有效解除大量的Web病毒威胁,为企业提供集成式的安全保护,最大程度保证恶意程序在进入内部网络前被清除,是用户寄予最大安全防护期望的安全产品之一。”
据悉,96%的病毒都是在“用户端”这道最后安全防线才被发现。这印证了企业硬件安全网关在控管方面暴露出的不足。所以把好硬件安全网关这第一道闸门,成为诸多安全厂商保障用户网络安全运行的首要使命。
应该说,单独的桌面防病毒软件对于目前依靠多种途径入侵的病毒来说已经远远不够,它们只能在病毒进入企业网络之后再采取查杀措施。同时,一旦内网中的某个电脑终端没有及时更新病毒库,或者没有给系统漏洞打好补丁,即使电脑病毒被查杀,出又会被其他电脑上的病毒重复感染。
(本文不涉密)
责任编辑:
上一篇:十种方法防范端点威胁