边界,本来的含义指不同国家之间领土划分时采用的一条界线。在网络安全领域也应当有边界:如果我们能在不同的程序与文件进入计算机前划定一条严格的边界、进入之后进行严密的监控,那么就相当于锁定了防御的范围,也才有防御的可能。
之前,信息安全企业就一直尝试通过技术手段,将外部的不安全因素控制在内部网络之外。但是,外界的病毒及入侵事件还是不可避免的发生了。原因在于:传统的反病毒软件基于黑名单技术,没有搭载边界管理功能;缺乏精细化管控的反病毒老产品,很难应对今天的边界多样化和模糊化后的安全防护需求。
我们到底允许什么样的文件或者程序可以通过什么方式进入计算机网络?之前缺少终端管控策略和技术时,文件与程序进入前是未知的,进入时的方式是多样的,进入之后是不可控的。我们注意到:文件与程序进入前的未知体现在他们是否含毒、被注入木马并不知道,是否让他们互联网、邮件、网络、移动设备等入口进入并放行更不知道;进入之后,相关程序是否进行违规操作,我们也不知道。
进入时没有边界,进入后没有监控,就相当于一切都在一个黑盒子中运行,计算机的内部世界始终处于混沌与未知状态。如果我们能在所有的文件和程序进入终端前进行前置扫描,文件和程序进入计算机后进行监控、检查、文件传送记录,以强管控的模式实现对边界的掌控,则能最大限度地达成企业内部计算机的安全防护。
有研究表示,超过90%的安全威胁,都是从应用终端的边界进入。这些边界包括互联网下载、移动设备拷贝、邮件传输、即时通信传送、网络共享等,许多企业因为大量资料没有能够对其进行安全保护,成为攻击者的重点目标。虽然之前传统的企业杀毒软件中已经在尝试研究边界防御的技术(通过扫描+进程监控的方式达成边界的控制),然而边界对象不明确,单点执行,功能之间无有效协同等缺点,导致了传统企业杀毒软件在技术上早已不能应对终端边界的复杂形势。一旦一台计算机被病毒感染,将可能导致整个网络内所有终端PC感染病毒。
我们需要将反病毒软件的边界防御技术提高到边界精细化智能管理,并有效达成对边界的全面管控,也只有这样,才能有效保护企业网络和应用的边界安全。我们认为,边界的精细化智能管控可以达到如下价值:
控边界:通过对边界来源进行细分,当程序进入电脑时,通过对外界程序进入电脑的监控、检查,在病毒尚未被运行时即可被判定为安全或不安全,让病毒程序得不到执行的机会,实现前置主动防御。
持续行为监控:当文件经过入口监控进入环境后,通过增加进程监控、注册表监控、驱动监控、联动防御云等方式,对其行为等综合安全性进行判断,确保未知、定向攻击、间接白文件利用等威胁手法入侵环境。
文件管理:通过对海量信息的采集、分析、关联、汇聚和统一处理,实时输出分析报告,便于事后分析与决策。此外,选配动静态鉴定器后还将具有强大的灰文件处理能力。
这样的技术原理是受到物业管理的启发,认为企业网络环境就像小区环境一样,通过对进入的业主扫门禁卡、汽车使用停车证、摩托车车牌登记等进行分类别管理,数据统一登记存储。在小区内部,通过摄像头监控各小区环境(包含人、车的各种动向),并把图像存储在服务器端,一旦发现有可疑人员或事件发生,即可调集数据与进入的数据进行比对分析,或者在事件未发生之前,即可通过对图像中的行为进行判断,及时发现可疑点并遏制。从而实现进出口信息、小区监控信息、楼道信息的关联。
“基于未知安全的边界管理才是新一代企业反病毒软件的核心。”金山安全专家关成雷说:“基于海量黑白知识库才能管好边界,凭借云端安全策略才能达成智能防范。”根据这一思想,金山在5月16日推出的企业终端防护优化系统V8.0新产品中增加的边界管理,可对各种进入终端的未知文件进行前置扫描、分类管理、来源管理、事后追溯及安全审计。用户选配金山的智能鉴定系统后还将具有强大的未知文件处理能力,从而实现对病毒、木马等恶意软件的前置主动防御,达成对未知文件的处理,这相当于给企业的内网构建了一条“安全护城河”。
无边界,不安全;无边界管理的企业反病毒软件终将被市场所淘汰。
好文章,需要你的鼓励