从2007年开始,越来越多的安全厂商在自己的设备中开始添加基于信誉技术的数据库。事实上,信誉技术改变了传统安全重视“解决问题”的思路,而“预防问题”已经成为了今年的看点。
安全的预防之道
一般而言,传统的安全设备都是针对静态的功能来设计的,抗扫描、反病毒、反垃圾邮件、内容过滤,其出发点都是解决相关的安全问题。但近两年,随着越来越多的混合型病毒出现,以及大量以赢利为目的的恶意软件的泛滥,都对传统的安全思路提出了挑战。
事实上,国内国外的安全专家都表示,当前的企业安全环境已经发生了变化,而相关的应对手段必须进行调整。早先Secure Computing的副总裁Robert在接受本报独家采访时就曾透露,现在企业最需要的不是出现问题后再来快速解决,而是希望能够做到未雨绸缪,将安全问题的预防提上首位。
从全球范围看,预防安全问题的发生,确实成为潮流。大量一线安全厂商都在开发相关的技术,其中基于信誉技术的安全防护已经成为重点。
其实信誉技术本身并不复杂,其内核就是一套复杂的安全数据库。很多一线安全厂商都在试图维护并不断更新自身的安全数据库。据悉,要想建设一套标准的信誉数据库,至少需要对全球的互联网站(甚至是IP地址)进行不间断监测。为了应对不断更新IP地址的钓鱼网站,很多监测都要平均1-3小时扫描一次全球站点。
据悉,目前安全界主流的大公司都拥有独家或者合作的信誉数据库。其中比较有代表性的像Secure Computing的TrustedSource、IronPort的SenderBase、RSA的eFraudNetwork、Trend Micro的全球信誉网、Websense的全球监测网、SonicWALL的安全URL库等,都是影响比较广泛的安全数据库。
互相帮助的安全感
前面说了,大量安全厂商都拥有了自身的信誉数据库,但这仅仅是开始。因为要想将信誉技术运用到安全产品中去,至少还需要两个条件:第一,完整的维护机制;第二,强大的整合能力。
对第一个条件来说,安全产业本身就是一个不断更新的领域,把信誉数据库集成在安全产品中,特别需要厂商提供强大的维护力量。这里面包含两部分内容。一个是厂商必须能够保证对自己数据库的维护与更新;二是让用户参与到维护与更新中来,用户发现的恶意站点将会保证更多的用户避免风险,从而形成一个大家帮助大家的环境。要知道,信誉数据库的来源都是互联网,其中的站点信息和邮箱信息是信誉数据库关注的主要内容。
在这种情况下,厂商需要把这些资源进行排队与评分。对此Robert解释说,安全厂商必须为自己的数据库提供相应的评分系统,将各种站点的威胁程度进行打分与排队,并给出相应的评价。
当然,将数据库与安全产品整合的能力也非常重要。此前有安全专家曾表示说,将信誉数据库与网关型安全产品整合起来,可以实现全局主动式的安全防范。以Sidewinder防火墙中集成的TrustedSource信誉库为例,该数据库提供了针对IP、域和URL的信誉评分。借助实时评分系统,信誉防火墙将可以切断与具有恶意信息的区域的连接,从而实现对垃圾邮件和钓鱼式攻击等安全威胁的防范,并且有效释放带宽空间和减轻下游服务器的处理负担。
对此,IDC的全球研究主管Charles Kolodgy在美国《Network World》上曾撰文指出,信誉服务对于企业的意义,就是当企业认识到网络上存在许多恶意的IP发送来源时,他们也会意识到找到这些恶意IP地址对保证全局安全性具有重要意义。
用户的声音
“对银行来说,员工、智慧财产、会员和公司资产对我们业务的连续性和成功性具有关键意义”,Cannon Financial FCU的首席执行官Steve Nutt在接受美国《Network World》采访时说,“我们希望能够采用具有全局性能力的安全方案来确保银行网络的应用安全。”
他认为,借助信誉防火墙,企业不仅可以对其网络的访问、面向Internet的应用、监视等进行管理,而且可以对员工使用Internet的情况进行监控,并识别隐藏在数据包中的攻击、拦截文件传输过程中的病毒,以及可以创建可作为法律证据使用的上述应用和操作行为的审计记录,从而保证各项安全策略得到实施,同时创建相关安全报告。
他说:“企业不能再单纯依靠被动性技术将威胁拒之门外,安全性必须依赖多层面的整合来保障,信誉技术将是最好的选择。”