天衣无缝：用云防护网提升网络安全性

作者：趋势科技

今日的威胁情势迫使信息安全厂商不得不改变其保护客户数据的方法。趋势科技的TrendLabs研究机构表示：现在，网络犯罪者平均每一秒就制造出3.5个新的威胁。传统的信息安全方法根本就赶不上这样的速度。以下就是传统方法的典型写照：

1. 客户将可疑的档案传送到他们的信息安全产品厂商进行分析
2. 信息安全厂商分析档案之后确认为恶意档案
3. 厂商撷取出档案的特征，做出病毒特征来侦测该档案
4. 厂商将新的病毒特征发布到服务器上
5. 接着，客户将这个新病毒特征更新到自己内部网络上的每一部计算机(这类更新通常每天一次)

这样的流程不仅缓慢、缺乏效率，而且客户的IT系统管理员很难有效率管理。此外，由于今日的威胁数量惊人，这样的更新方式根本赶不上新威胁出现的速度。解决之道就是，信息安全厂商必须开发出一种能够自动采样、分析并且自动发布最新威胁防护的机制来保护客户，而且不需客户做任何动作。这也是云计算与后来衍生的云防护网需要发挥作用的地方。

云防护网不仅能透过云计算来更有效管理这项信息安全流程，而且未来还能随威胁形势的升级而不断扩充规模。让我们来看看这套新流程中的每一个步骤。

1.采集最新的威胁

防护网要能发挥效用，其关键要素之一，就是要能自动采集最新的威胁样本。威胁情报可能来自各种不同管道，但全都需要一样共通的特质。那就是透过自动化的采集流程而不需人力介入。这些采样来源当中，有的是信息安全厂商自己架设的搜集机制，如：诱补网络、地毯式搜寻等等，但更常见的则是透过产品自动回馈机制从其客户端所收集回来的样本。客户端产品所执行的自动化URL、IP、域名与档案查询，可让厂商轻松迅速获得有关潜在威胁的信息。厂商因而能够快速自动采集到最新的威胁，而不必要求客户提供样本。然而，采集样本只是开始而已。

2.分析与发掘最新威胁

今日的威胁已不如以往单纯，今日的威胁都是多面向的。几乎所有种类的威胁都是网络犯罪者更大的攻击计划之一环，这些攻击同时运用了多种方法来进行感染、散布与窃取数据的行动。因此，信息安全厂商现在必须随时监控及分析电子邮件、网页与档案当中的潜在威胁，因为这一切都是互相关联的。一种作法就是，在云端基础架构内，利用行为分析方法来找出这些威胁之间的关联，该基础架构可自动透过上述方法取得威胁信息，然后透过分析来找出同一攻击不同组件之间的行为模式，进而发掘恶意的活动。例如，我们可以分析IP地址与网址之间的对应关系。通常，正常的网址不会经常更换IP地址，但网络犯罪者则必须经常更换 IP 地址或建立新的网址来躲避信息安全厂商的侦测。另一个例子是分析挟带着 URL 的电子邮件来发掘新的垃圾邮件来源与恶意网站。这项云端式行为监控机制 (也就是云端式行为分析) 会不断搜寻所有不同威胁管道之间的恶意行为。此外，在云端执行这类行为分析还有一项额外优点，那就是厂商可发掘误判的情况，并且尽量将误判降至最低。接下来，当发现最新威胁之后，下一步就是要将最新的防护提供给客户。

3.云端式信誉评等数据库

如同我们前面所看到的，传统的信息安全防护方法在制作好的最新防护之后，必须通过层层的下载才能到达所有的端点装置，因此，在防护最新威胁的时效性方面将大打折扣，尤其在面对数量庞大、翻新速度惊人的今日威胁，更显得捉襟见肘。而云防护网则结合了信誉评等数据库，因此，厂商的信息安全产品可直接向云端数据库查询，而不需将病毒特征下载到装置上。这样一来，厂商不仅更容易管理更新，而且所有的客户在同一时间都能获得防护。现在，当员工出差在外连上网页或从因特网下载文件时，他们的计算机再也不会还再使用旧的病毒特征，再也不会无法应付最新的威胁。员工的装置只需一道简单的手续，向云端信誉数据库查询一下，就能知道某个电子邮件、网页或档案是否有问题。而且，这还能降低计算机资源与网络带宽的占用。例如，一旦恶意档案URL遭到了封锁，使用者就不会因为下载恶意档案而浪费网络带宽。此外，也不用浪费装置的CPU与内存来扫瞄这个档案，因为档案在源头就已经挡掉了。

总而言之，只要信息安全厂商建置了强大的云防护网，其客户就能比传统信息安全方法的用户拥有更大的优势。本文所描述的种种细节，一般来说客户是看不见的。这是件好事，因为客户要的，无外乎就是确保数据安全无虞。但是，除非厂商具备自动采样、分析与自动提供最新防护的能力 (而且要快又有效)，否则就无法确保客户的安全。在这方面，云防护网绝非浪得虚名。