在文章《賽門鐵克SEP12.1以信譽(yù)洞悉企業(yè)端點(diǎn)安全》中,ZDNET與賽門鐵克首席專家林育民與賽門鐵克大中華區(qū)產(chǎn)品市場(chǎng)經(jīng)理鄭偉共同探討了SEP12.1基于云安全架構(gòu)的信譽(yù)技術(shù)insight.而這僅僅是SEP12.1的眾多優(yōu)勢(shì)技術(shù)特性中的一環(huán),在本篇中我們將與兩位專家一起揭開SEP12.1中主動(dòng)行為防護(hù)技術(shù)SONAR3,SONAR3如何與insight技術(shù)如何協(xié)同工作;以及對(duì)虛擬化安全的給力支持。
SONAR技術(shù)進(jìn)階 企業(yè)系統(tǒng)的最后一道防線
SONAR是Symantec Online Network for Advanced Response的縮寫,從全拼上不難了解,SONAR技術(shù)是一種前瞻性的響應(yīng)技術(shù)。作為賽門鐵克的主動(dòng)行為分析技術(shù),它基于2005年收購(gòu)的WholeSecurity的技術(shù)開發(fā),用于防御0day威脅和漏洞攻擊。目前SONAR技術(shù)已經(jīng)演進(jìn)到了第三代主動(dòng)防護(hù)技術(shù)。首先讓我們一起了解下SONAR技術(shù)的進(jìn)階過程,你會(huì)發(fā)現(xiàn)SONAR演變的細(xì)微變化,而每一次變化,都讓SONAR對(duì)惡意威脅的防護(hù)更具前瞻意義。
第一代SONAR:主動(dòng)防護(hù)技術(shù)可以在傳統(tǒng)的定義可用之前檢測(cè)新出現(xiàn)的間諜軟件和病毒。
第二代SONAR:應(yīng)用了實(shí)時(shí)在線智能和主動(dòng)監(jiān)控功能,可以在傳統(tǒng)定義發(fā)布前檢測(cè)并阻止新型威脅。
第三代SONAR:可在程序運(yùn)行時(shí)對(duì)其進(jìn)行檢查,識(shí)別并阻止惡意行為,即便是新的和以前未知威脅的惡意行為也不例外。
我們可以看到,SONAR 3也就是本文的主角之一,已經(jīng)具備了在程序運(yùn)行的同時(shí),對(duì)其行為進(jìn)行識(shí)別。賽門鐵克首席專家林育民表示,"SONAR是一種針對(duì)文件運(yùn)行行為的偵測(cè)技術(shù)也是目前全球唯一的混合行為信譽(yù)引擎,在沒有融合insight技術(shù)之前,SONAR主要關(guān)注文件運(yùn)行后行為的三個(gè)方面,是否更改系統(tǒng)的可執(zhí)行文件,是否更改系統(tǒng)的重要配置比如注冊(cè)表,是否更改DNS域名服務(wù)器的配置。SONAR目前可以偵測(cè)400多種可疑行為。"
Insight和SONAR 3在技術(shù)上的融合,可檢測(cè)新的威脅和快速變異的惡意軟件。在談及SONAR 3與insight信譽(yù)技術(shù)協(xié)同抵御安全威脅之前,林育民首先介紹了未與insight技術(shù)結(jié)合,SONAR技術(shù)所面臨的問題。他提到,"SEP12.1之前的版本是沒有融合Insight技術(shù)的,而這樣導(dǎo)致的最直接問題是無法充分的發(fā)揮出SONAR的技術(shù)優(yōu)勢(shì),因?yàn)闊o法將SONAR的行為偵測(cè)調(diào)整的過于敏感,太敏感的最直接問題就是會(huì)產(chǎn)生誤報(bào)。在結(jié)合了insight技術(shù)后,SEP12.1可以根據(jù)文件的信譽(yù)程度來決定其行為偵測(cè)的敏感程度是高是低,以有效降低誤報(bào)情況的發(fā)生。
通過SEP12.1所建立的多層防御體系,來有效防止各類的安全威脅和攻擊。林育民指出,"SONAR是整個(gè)SEP12里面的最后一道安全防線,第一道防線是網(wǎng)絡(luò)層防護(hù),網(wǎng)絡(luò)層防護(hù)由防火墻和入侵檢測(cè)防御體系構(gòu)成,防御開放端口、惡意連接、漏洞等所產(chǎn)生的攻擊行為;第二道防線是基于信譽(yù)的過濾,對(duì)可下載文件、網(wǎng)站URL等由信譽(yù)決定是否對(duì)威脅進(jìn)行阻擋;第三道防線是防病毒掃描,通過掃描文件的是否具有惡意代碼的特征以阻擋惡意文件;第四道防線是觸發(fā)SONAR行為偵測(cè)技術(shù),對(duì)新的或未知的安全威脅進(jìn)行防護(hù)。通過四道防線最終形成集網(wǎng)絡(luò)入侵防護(hù)、信譽(yù)評(píng)級(jí)防御、文件掃描防御、行為分析防御的終端安全縱深防御機(jī)制。"
掌控云趨勢(shì) 助虛擬化基礎(chǔ)架構(gòu)一臂之力
SEP12.1不僅擁有基于云的信譽(yù)技術(shù)insight,還擁有確保虛擬化基礎(chǔ)架構(gòu)安全的先進(jìn)特性。根據(jù)市場(chǎng)調(diào)查機(jī)構(gòu)Technavio的最新報(bào)告顯示,2010年全球虛擬化安全管理解決方案的市場(chǎng)規(guī)模為3.37億美元,預(yù)計(jì)在2014年將達(dá)到15.73億美元,年復(fù)合成長(zhǎng)率(CAGR)將高達(dá)46.9%.報(bào)告還指出,虛擬化安全管理解決方案市場(chǎng)成長(zhǎng)的動(dòng)力主要為服務(wù)器虛擬化的持續(xù)普及,以及虛擬化安全風(fēng)險(xiǎn)的持續(xù)增加。隨著虛擬化技術(shù)被更廣泛的應(yīng)用于企業(yè)數(shù)據(jù)中心,桌面和云端,隨之而產(chǎn)生的安全問題也越來越引起企業(yè)的關(guān)注,比如虛擬機(jī)遷移所產(chǎn)生的安全問題,虛擬機(jī)數(shù)量增長(zhǎng)所引發(fā)的補(bǔ)丁更新問題,管理技術(shù)的新特性的使用給了黑客更多可趁之機(jī)等等。面對(duì)如此持續(xù)高增長(zhǎng)的市場(chǎng),對(duì)虛擬化安全問題的考量也逐漸成為企業(yè)選擇相關(guān)安全解決方案的重要因素。SEP12.1針對(duì)虛擬化安全的解決方案,給企業(yè)在未來掌控云的趨勢(shì)發(fā)展,部署虛擬化基礎(chǔ)架構(gòu)給予了足夠的信心。
在林育民看來,虛擬化安全與傳統(tǒng)安全最大的不同在于,對(duì)邊界安全的定義越來越模糊。他指出,"使用虛擬化技術(shù)后,一臺(tái)物理主機(jī)中包含多個(gè)虛擬機(jī)和虛擬化網(wǎng)絡(luò),意味著其防護(hù)邊界的消失,更明確一點(diǎn)是邊界變得模糊。所以,虛擬環(huán)境的防護(hù)邊界需要定位到每個(gè)虛擬機(jī),因?yàn)槿魏我粋€(gè)虛擬機(jī)都可能攻擊相鄰的虛擬機(jī)。同時(shí)在整個(gè)虛擬化環(huán)境中,對(duì)于安全廠商而言最大的挑戰(zhàn)是病毒掃描風(fēng)暴,如果多個(gè)虛擬機(jī)同時(shí)啟動(dòng)病毒掃描,那么物理主機(jī)的磁盤的I/O將都會(huì)被占滿,直接造成其他的虛擬機(jī)無法正常運(yùn)行。導(dǎo)致云服務(wù)會(huì)沒辦法保障服務(wù)質(zhì)量,甚至造成服務(wù)中斷。"
SEP12.1針對(duì)虛擬化環(huán)境的安全,可通過四種技術(shù)對(duì)虛擬機(jī)的安全進(jìn)行防護(hù),更好的規(guī)避病毒掃描風(fēng)暴的產(chǎn)生。林育民指出,"第一個(gè)技術(shù)是Virtual Image Exception虛擬鏡像排除,簡(jiǎn)稱VIE技術(shù),可將標(biāo)準(zhǔn)虛擬機(jī)鏡像中的文件加入到白名單中,從而優(yōu)化掃描。針對(duì)克隆部署的虛擬機(jī),對(duì)具有相同標(biāo)準(zhǔn)鏡像的虛擬機(jī),直接排除掃描動(dòng)作,極大降低掃描的性能開銷;第二個(gè)技術(shù)是Shared Insight Cache緩存服務(wù)器,針對(duì)類似的應(yīng)用,同樣的文件只掃描一次。在緩存服務(wù)器上共享虛擬機(jī)之間的掃描結(jié)果;第三個(gè)技術(shù)是Virtual Client Tagging虛擬客戶端標(biāo)示,以識(shí)別虛擬機(jī),創(chuàng)建虛擬機(jī)的特殊策略,并支持虛擬機(jī)的搜索。通過代理的方式,不論你運(yùn)行是是何種虛擬機(jī),哪一家的技術(shù),都能夠自動(dòng)識(shí)別;第四個(gè)技術(shù)是Offline Scanning虛擬機(jī)離線掃描,即使虛擬機(jī)沒有運(yùn)行的需要,也同樣能夠掃描。"
通過四種虛擬化安全技術(shù)的聯(lián)動(dòng)和有步驟的虛擬機(jī)鏡像排除流程,如圖所示,以降低病毒掃描風(fēng)暴的產(chǎn)生,使得虛擬機(jī)之間的掃描和更新隨機(jī)化,防止資源使用率的增長(zhǎng),從而使得虛擬化環(huán)境策略能夠輕松執(zhí)行。
磁盤的I/O使用將是原來的1/21,CPU的使用將是原來的1/5,掃描所用時(shí)間減少5.5倍,證明SEP12.1在虛擬機(jī)上的性能有了大大提高。
SEP12.1對(duì)于企業(yè)虛擬化技術(shù)的使用而言,最大價(jià)值在于其針對(duì)VMware、Citrix和Microsoft虛擬環(huán)境進(jìn)行優(yōu)化,易于管理的物理和虛擬客戶端,最大限度提高性能和密度,同時(shí)絲毫不會(huì)影響安全性,助企業(yè)保護(hù)虛擬化基礎(chǔ)架構(gòu)一臂之力。