四问“Web防御与云安全


[CNW.com.cn 专稿] 一直以来,针对Web安全保护的技术层出不穷,当前此类技术流派已经分成两大类:第一类以新型的Web安全网关为基础,第二类以最新的云安全技术为基础,两种技术一度出现了互相渗透与融合的局面。对用户而言,无论采用哪种技术,最关键的还是安全效果的体验。

为了能够更加清晰地指导用户进行Web安全技术选型,本报特别邀请了Anchiva、Blue Coat、Hillstone、Secure Computing、Websense、Wedge Networks、趋势科技的安全技术专家,共同对当前热门的Web安全技术进行分析。

一问“定义与共识”

记者在筹备这次大型专题的过程中,最为兴奋的一件事情,就是当前业内主流安全厂商经过多年的反复争论,终于在Web安全上达成了共识,统一了Web安全的定义。这的确是一件不容易的事情,要知道不同的厂商侧重点不同—-URL过滤的、Http过滤的、防病毒的、反垃圾邮件的、Proxy的、端口镜像的等等—-大相径庭的方案很可能导致用户对整个Web安全领域的困惑,非常不利于整个产业的成长。

针对Web安全,当前业内的一致看法是,统一的定义不能从厂商的技术上去下,而是要与用户需求的紧迫程度挂钩。

从这个角度上分析,Web安全分成两类应用模式:一类是针对病毒、木马、间谍软件、恶意软件的威胁;另一类着眼于规范用户行为,比如用URL过滤某些站点、员工上班时间上网控制、对用户应用协议的控制、对IM应用的记录与过滤、对P2P软件的管理与控制、对企业内部的带宽管理等。

需要注意的是,两种应用模式并非孤立存在,彼此间是有交叉的。据Anchiva中国区总经理李松介绍,根据经验,一套完整的Web安全方案,至少需要两个部分:一台针对TCP/IP协议二、三、四层应用的安全防御设备(比如防火墙、入侵检测、UTM),之后串接一台针对七层内容的安全防御设备,以便解决病毒、IM、P2P、网络游戏、垃圾邮件、内容审计等应用。

持类似看法的,还有中国民用航空管理局的一位安全管理员。他说:“到目前为止,我所了解的不少同类用户对于Web安全仍然无法形成最优的配置或共识,但我们有一个最基本的思路,即一套完整的IPS系统+Web安全网关相配合,至少能够满足相当多的内部员工对于Web安全的需求。”

说到应用,Hillstone首席软件架构师王钟在接受本报独家专访时表示,针对企业的攻击总是跟随着应用而来,越来越多的企业应用构建在互联网之上,而用户在互联网上的活动也是越来越频繁和难以控制。无论是正常的企业应用还是企业员工的个人上网行为,都会成为Web攻击的对象。从目前来看,多年的积累,使得企业具备一定的网络攻击防御能力,而针对新出现的Web活动引发的安全威胁,企业需要根据自身的特点,增强相应的防范手段。

二问“Web安全形势”

之所以当前Web安全成为热门话题,关键还是因为国内外Web安全大环境不容乐观。根据趋势科技刚刚发布的《2008年上半年安全威胁报告》的统计,目前针对Web应用的威胁正以爆炸式的速度增长,全球范围内企业与终端用户面临的风险已经到了非常严重的地步。

对此,Wedge Networks全球CTO张鸿文博士介绍,无论是美国还是中国,随着“社会网络、Web2.0、SaaS”的兴起,网络本身已经成为社会生活的一部分。在这种环境下,与传统的病毒制造不同,当前各种木马程序、间谍软件、恶意软件等以利益驱动的攻击手段越来越多。事实上,随着当前Web应用开发越来越复杂与迅速,攻击者可以很容易地通过各种漏洞实施诸如:注入攻击、跨站脚本攻击、以及不安全的直接对象关联攻击,从而进一步通过各种隐蔽的技术手段盗窃企业机密、用户隐私、信用卡账号、游戏账号密码等能够轻易转化成利益所得的信息。另外,通过木马、漏洞控制海量的普通用户主机组成僵尸网络,利用这些“肉鸡”,控制者可以通过多种方式获取利益,比如发起攻击、点击广告、增加流量等行为。

“从实际的经验看,在一个典型的Web服务架构中,很有可能发生某些攻击行为从Web层面渗透到企业的控制与数据层面,从而引起更大范围的灾难。其实不论是攻击Web站点还是Web服务,恶意Web站点总是能够快速建立起来,并在搜索引擎的推动下袭击无辜的用户。”

从Wedge Networks全球合作伙伴反馈的信息来看,美国、日本、韩国、英国的企业用户对于Web攻击以及Web应用的脆弱性都有较为充分的了解。在此基础上,那些国家中一些垂直行业与机构,比如公共安全、金融、医疗、交通、能源等企业,对于Web安全保护的技术关注与投入都非常高。

然而遗憾的是,记者在国内进行的统计结果并不乐观。从七月份开始,记者委托网界网(WWW.CNW.COM.CN)开展了“2008 中国Web安全调查”,结果显示超过70%的被调查用户不清楚Web安全的威胁形势与防御手段,其中将近六成用户都没有编列相关安全预算。令人担心的是,很多企业对此出现了认识误区,他们认为通过防火墙或者IDS/IPS设备就可以确保Web安全。更有甚者,在某些国内厂商的“误导”下,一些用户将Web安全等同于系统漏洞/脆弱性扫描。

实际情况是可悲的。根据趋势科技发布的统计数字,从今年二季度开始,国内就有超过1万个大型网站遭受“注入攻击”,这些攻击者的动机几乎都是恶意软件植入、名誉损害、以及数据窃取。

记者清楚的记得,有用户在网界网BBS上留言:“我们重视Web安全造成的损失,但是我不清楚,这部分预算究竟应该分配给谁:是分配给负责网络基础设施的管理团队,还是分配给管理Web服务器和数据库服务器的团队?”无疑,Web安全的挑战被演绎到了技术、应用与企业管理水平的层次上。

问题已经很清楚了,当前针对Web应用的威胁,企业用户当前的防范措施还远远不够。对此张鸿文博士曾一针见血地指出:“当前国内企业已有的大部分安全设备都是基于TCP/IP协议的三、四层防范,而针对Web应用的威胁是基于协议的七层攻击(应用层攻击),从技术角度来看,传统防火墙、IDS等设备针对应用层的攻击几乎是没有防御效果的。”

三问“新型Web安全网关”

由于发现了Web安全对于企业用户的重要性,同时也由于传统的安全技术对此束手无策,新型的Web安全网关被推到了当前安全话题的中央。

传统的Web安全网关诞生于2006年,经过两年的市场磨合,感觉存在四方面的不足:第一,性能跟不上;第二,功能与检测准确度不够;第三,部署比较复杂;第四,维护难度较高。为此,当前主流安全厂商在大量应用新技术的条件下,推出了“新一代”Web安全网关。细心的读者可能发现,参与本次专题的都是外资安全厂商。确实,在占领技术的制高点上,外资公司又走到了Web安全的“风口浪尖”。

对此,张鸿文博士对记者表示,目前恶意Web攻击在全球范围内呈指数形式增长,对抗类似威胁的有效方法之一,就是和每一个Web安全方面的领导厂商建立强有力的合作伙伴关系。以Wedge Networks为例,我们一直在推动NDP网络数据处理平台,并且在其中应用了Subsonic次声技术。这种技术目前在北美的大型企业网关、服务器池、以及IDC中心颇为流行,它可以让Web安全网关在一个高负载的网络中从容提供实时的七层深度内容检测。Subsonic技术在算法上取得了突破,不仅性能可以满足繁忙网络的需求,而且可以基于特征码和模式识别进行安全检测,配合NDP开放的服务总线架构与高级的网络协议堆栈,确保一个Web安全网关可以整合更多不同安全厂商(如更专业的反病毒、反恶意软件厂商)的技术与算法。

对于很多用户关心Web安全防御中的性能损耗问题,他说:“我同意并且理解这些用户担心什么。我们的渠道已经告诉我们在处理Web安全方面,维持一个可以接受的性能会有多么重要。事实上,自从2003年以来,随着单核CPU的时钟频率趋于稳定,每年网络带宽的需求都会增加四倍。作为企业的CTO,我发现任何架构想要跨越这个性能鸿沟都不得不采用多CPU和多核系统。幸运的是,Subsonic技术可以利用行为模式原理去管理大量并发会话,从而在多核环境中大量提高性能。”

另外,李松对于Web内容的深度检测也非常看重。他说:“当前防御来自HTTP的威胁已经成为安全网关的首要问题之一。而大量存在漏洞的Web服务器更是随时可能被攻击并被利用来传播或发布恶意软件。网站内容的可变性决定了只有进行内容检查才能得到最可靠的结果。而HTTP访问对于即时性有很高的要求,传统基于X86架构的安全设备在性能处理上存在瓶颈,面对应用层安全设备的高性能需求,利用ASIC芯片扫描技术可以对Web内容进行流畅的扫描。Anchiva目前采用ASIC芯片来进行病毒扫描,加上自主研发的性能优化操作系统,单台设备可以做到千兆级别的线速吞吐。”

在多核的应用上,王钟也非常积极,不过他对实时的内容检测技术有所担心。他说:“针对基于Web的安全威胁,我跟踪了相当长的时间,这方面国外厂商积累了较为资深的经验,从实践来看,效果还不错。针对网页内容引发的Web风险,我更青睐基于URL的网页过滤,以及基于应用协议分析的管控手段。因为安全检测到了内容级,都会消耗较多的系统资源。所以大家才会有这样一个共识,事先对Web内容做安全性检测,提供出对应的URL列表。但这种技术对相应的安全数据库有较高的要求,必须做到经常更新,确保控制的有效性。其实,任何安全防范手段都有其时效性的问题。考虑到开启深度内容检测功能带来的性能下降问题,多数厂商选择放弃,而只提供了入口级的控制手段。如果厂商能解决好处理性能问题,比如将多核处理器支持运用的如火纯青,会为用户提供更为稳固的安全防范手段。”

在功能的全面性与性能的平衡上,Secure Computing的做法比较独特。有意思的是,这家公司本月初刚刚被IDC认定为“全球Web安全产品和解决方案领域市场份额第一,居于市场领导者地位。”

Secure Computing中国区总裁蔡勇先生向记者表示,Web安全需要全方位的技术方案,包含了从防火墙、Web控制、邮件安全的各个层面。因此对于安全问题,并非某个独立的应用,而是需要在各种不同层次的安全设备中,提供对混合威胁(blended threat)的防护。

他说:“安全做到现在的阶段,我越来越感到安全本身的复杂与庞大。如果要做到全面的安全,单靠某一点的努力已经远远不够了。比如我们一直在推动全球最大和历史最久的信誉系统TrustedSource,目的就是希望通过对不同国家、多种应用的分析—-包括对IP地址、域名、邮件、图片、URL等多种对象的数据关联分析,提供最全面、准确和实时的信誉评估,从而最大程度地保护用户的网络和应用。当然,这仅仅是基础,一个优秀的Web安全网关,还需要对SSL扫描进行支持,因为当前隐藏在SSL流量中的恶意软件不胜枚举—-全面就不能忽视安全的细节。”

针对当前用户比较头疼的HTTP防御和Web服务器漏洞保护问题,他提出了五点建议:第一,HTTP防御中最困难和最复杂的是解决应用层面的攻击,例如SQL注入、特殊编码、恶意变换URL等;第二,Secure Computing的Sidewinder防火墙通过采用应用代理技术,可以从根本上确定安全防御的模型,确保应用协议的规范性,以及应用的可控性,从而为应用的安全控制提供了管理的可能;第三,利用高效IPS引擎对已经过规范性审核的HTTP流量进行特征检查,可以即时发现恶意攻击;第四,通过Sidewinder中的GeoLocator功能,可以针对不同地域来源的访问设定不通的安全防护级别,优化系统资源与效能;第五,TrustedSource信誉体系提供的信誉评估数据,可以使得安全设备识别出访问的意图,从网络的边缘拒绝掉恶意的僵尸主机攻击,提高正常访问的比率,在提高了安全性的同时节省了带宽。

另外,针对新型Web安全网关的部署模式问题,Websense中国区技术经理刘沛旻向记者透露,目前主流的Web安全防御方案,主要采用的是旁路监听方式和结合网关设备的方式。如果是采用旁路监听的方式,可以通过复制出口流量来进行内容分析,只有在发现异常数据时才会通过相关组件发送阻断指令,阻断不良、恶意连接,这样的方式是完全不会造成任何网络延迟的。结合网关设备的方式则利用网关设备和Web安全防御方案联动的方式进行,客户的请求将由网关设备转交给Web安全防御产品处理,再决定用户的请求是否被允许,这样的工作方式的确可能造成一定的互联网访问的延迟,但是因为目前主流的Web安全防御方案还是主要采用URL匹配的方式来发现恶意的网站,而不是本地分析整个网页的内容,因此,匹配过滤的速度还是相当快速的。

另外,他也建议,如果用户采用网关设备结合部署,可以采用Proxy设备及硬件缓存设备来进行结合,因为这类网关设备可提供本地的缓存能力,可以为用户提供更快速的内容缓存和页面内容过滤的缓存。

四问“云安全”

在本次采访中令人振奋的另一大热点,就是各家安全厂商都在或多或少地将最新的云计算模型引入到Web安全技术之中,并构建了完善的云安全方案。

在云安全方面投入力量最早的是趋势科技,他们早在两年前就开始针对云安全进行研究,并且在全球部署了34000台云端服务器,同时与顶级域名管理机构合作,在DNS中增加参数,进行全球域安全解析。无疑,所有的努力都是为了尽可能全面地应对Web安全的挑战。

趋势科技资深技术顾问徐学龙在接受本报独家专访时表示,云计算是一个数据处理的概念,在处理海量数据的时候的模型,大量集群服务器收集信息,给出结果。这种模式是一种模型,安全厂商利用这种模型推出来的服务,就是云安全方案。

他说:“云安全可以从整个互联网上收集源信息,判断用户的互联网搜索、访问、应用的对象是不是恶意信息。这种模式与病毒代码的比对不同,病毒代码是用特征码进行识别,而云安全根据信息的位置来判断,根据URL地址这一段的风险程度来判断。要知道,传统的病毒代码分析依靠大量人工,而云安全则利用历史的观点不停地对互联网进行分析,通过将URL划分为50多种属性,安全统计的准确性、动态性会非常好,第一次的安全事件命中率可以达到99%,只要全球范围内有1%的用户提交需求给云端服务器,15分钟之后全球的云安全库就会进行策略控制。目前云安全的分析方法是根据信息所在地址的多种属性来分析,通过长期跟踪,几乎没有误报。”

从长远来看,针对Web安全中比较头疼的病毒、木马、间谍软件、恶意软件与恶意站点攻击,采用云安全技术确实可以有效阻止此类威胁的蔓延。据统计,目前全球的病毒代码约为100万个,并且在不断增长,这就造成病毒代码比对的难度越来越高。在记者看来,云安全的出发点则是阻止整个互联网中的“威胁块”,这里说的“威胁块”不仅仅是指某个网站,有时候就是一个网页中的一小部分。

云安全是一个技术,不是单一的产品。云安全技术是第一道防线,用户可以选择对访问目标(下载的文件)进行病毒代码扫描,并且与云端服务器进行安全回馈。对企业用户来说,具体的回馈敏感度管理员可以根据使用情况来调整。

最后,徐学龙给记者列出了一套完整的云安全方案需要的组件:Web信誉服务、邮件信誉服务、文件信誉服务。

据中国工商银行总行的IT负责人介绍,他们近期已经为全行采购了趋势科技的Web安全网关IWSA,出发点就是看中了其中集成的相关信誉服务体系。随着Web病毒越来越多,Web信誉的价值越发明显。而文件信誉服务则是追踪整个互联网上文件的信誉,跟踪文件的生命周期。包括本地U盘拷贝等,通过MD5算出的32位值比对云端的恶意文件匹配,从而确保了文件安全与防泄漏。

另外,Blue Coat资深技术经理毛骏也向记者表示:“为了获得更加完整的安全效果,公司推出基于分层理念的Web安全防御体系。其中包括了云计算层和网关层两大部分。云计算层提供基于全球的网站分类、样本收集与策略分发,而网关层涵盖了基本内容过滤、Web防病毒、用户行为管理、数据防泄露四部分。两大部分相互结合,组成全面、准确、及时的Web安全方案。”

其实,相对于大而全的云安全方案,还有一些在Web安全网关中应用了云安全模型的技术值得关注。
比较有代表性一类包括Blue Coat的Web Pluse网络脉冲技术、Wedge Networks的Trusted Cloud Forest云信任森林技术,他们的共同之处都是将技术嵌入到自家的Web安全网关之中,并且利用在互联网上部署的上万台设备,采集上百万客户端的样本,并且由统一的中心进行分析,全球每天15亿次的各种请求最终形成自身的安全策略进行下发。

另一类则是以Secure Computing的TrustedSource和Websense的ThreatSeeker为代表的信誉体系技术。他们的共同点都是利用云计算的特征,在全球范围内部署设备收集信息,同时进行关联分析,甚至利用蜜罐、网格计算技术为安全规则库更新信息。这种精细化的策略,能够更精准的进行控制,并且减少设备管理上的负担。