云防護(hù)網(wǎng)絕非浪得虛名讓安全天衣無縫

　　云防護(hù)網(wǎng)不僅能透過云計算來更有效管理這項信息安全流程，而且未來還能隨威脅形勢的升級而不斷擴(kuò)充規(guī)模。讓我們來看看這套新流程中的每一個步驟。

　　1.云端式信譽(yù)評等數(shù)據(jù)庫

　　如同我們前面所看到的，傳統(tǒng)的信息安全防護(hù)方法在制作好的最新防護(hù)之后，必須通過層層的下載才能到達(dá)所有的端點(diǎn)裝置，因此，在防護(hù)最新威脅的時效性方面將大打折扣，尤其在面對數(shù)量龐大、翻新速度驚人的今日威脅，更顯得捉襟見肘。而云防護(hù)網(wǎng)則結(jié)合了信譽(yù)評等數(shù)據(jù)庫，因此，廠商的信息安全產(chǎn)品可直接向云端數(shù)據(jù)庫查詢，而不需將病毒特征下載到裝置上。這樣一來，廠商不僅更容易管理更新，而且所有的客戶在同一時間都能獲得防護(hù)�，F(xiàn)在，當(dāng)員工出差在外連上網(wǎng)頁或從因特網(wǎng)下載文件時，他們的計算機(jī)再也不會還再使用舊的病毒特征，再也不會無法應(yīng)付最新的威脅。員工的裝置只需一道簡單的手續(xù)，向云端信譽(yù)數(shù)據(jù)庫查詢一下，就能知道某個電子郵件、網(wǎng)頁或檔案是否有問題。而且，這還能降低計算機(jī)資源與網(wǎng)絡(luò)帶寬的占用。例如，一旦惡意檔案URL遭到了封鎖，使用者就不會因為下載惡意檔案而浪費(fèi)網(wǎng)絡(luò)帶寬。此外，也不用浪費(fèi)裝置的CPU與內(nèi)存來掃瞄這個檔案，因為檔案在源頭就已經(jīng)擋掉了。

　　2.采集最新的威脅

　　防護(hù)網(wǎng)要能發(fā)揮效用，其關(guān)鍵要素之一，就是要能自動采集最新的威脅樣本。威脅情報可能來自各種不同管道，但全都需要一樣共通的特質(zhì)。那就是透過自動化的采集流程而不需人力介入。這些采樣來源當(dāng)中，有的是信息安全廠商自己架設(shè)的搜集機(jī)制，如：誘補(bǔ)網(wǎng)絡(luò)、地毯式搜尋等等，但更常見的則是透過產(chǎn)品自動回饋機(jī)制從其客戶端所收集回來的樣本。客戶端產(chǎn)品所執(zhí)行的自動化URL、IP、域名與檔案查詢，可讓廠商輕松迅速獲得有關(guān)潛在威脅的信息。廠商因而能夠快速自動采集到最新的威脅，而不必要求客戶提供樣本。然而，采集樣本只是開始而已。

　　3.分析與發(fā)掘最新威脅

　　今日的威脅已不如以往單純，今日的威脅都是多面向的。幾乎所有種類的威脅都是網(wǎng)絡(luò)犯罪者更大的攻擊計劃之一環(huán)，這些攻擊同時運(yùn)用了多種方法來進(jìn)行感染、散布與竊取數(shù)據(jù)的行動。因此，信息安全廠商現(xiàn)在必須隨時監(jiān)控及分析電子郵件、網(wǎng)頁與檔案當(dāng)中的潛在威脅，因為這一切都是互相關(guān)聯(lián)的。一種作法就是，在云端基礎(chǔ)架構(gòu)內(nèi)，利用行為分析方法來找出這些威脅之間的關(guān)聯(lián)，該基礎(chǔ)架構(gòu)可自動透過上述方法取得威脅信息，然后透過分析來找出同一攻擊不同組件之間的行為模式，進(jìn)而發(fā)掘惡意的活動。例如，我們可以分析IP地址與網(wǎng)址之間的對應(yīng)關(guān)系。通常，正常的網(wǎng)址不會經(jīng)常更換IP地址，但網(wǎng)絡(luò)犯罪者則必須經(jīng)常更換 IP 地址或建立新的網(wǎng)址來躲避信息安全廠商的偵測。另一個例子是分析挾帶著 URL 的電子郵件來發(fā)掘新的垃圾郵件來源與惡意網(wǎng)站。這項云端式行為監(jiān)控機(jī)制 (也就是云端式行為分析) 會不斷搜尋所有不同威脅管道之間的惡意行為。此外，在云端執(zhí)行這類行為分析還有一項額外優(yōu)點(diǎn)，那就是廠商可發(fā)掘誤判的情況，并且盡量將誤判降至最低。接下來，當(dāng)發(fā)現(xiàn)最新威脅之后，下一步就是要將最新的防護(hù)提供給客戶。

　　今日的威脅情勢迫使信息安全廠商不得不改變其保護(hù)客戶數(shù)據(jù)的方法。趨勢科技的TrendLabs研究機(jī)構(gòu)表示：現(xiàn)在，網(wǎng)絡(luò)犯罪者平均每一秒就制造出3.5個新的威脅。傳統(tǒng)的信息安全方法根本就趕不上這樣的速度。以下就是傳統(tǒng)方法的典型寫照：

　　 1. 客戶將可疑的檔案傳送到他們的信息安全產(chǎn)品廠商進(jìn)行分析

　　 2. 信息安全廠商分析檔案之后確認(rèn)為惡意檔案

　　 3. 廠商擷取出檔案的特征，做出病毒特征來偵測該檔案

　　 4. 廠商將新的病毒特征發(fā)布到服務(wù)器上

　　 5. 接著，客戶將這個新病毒特征更新到自己內(nèi)部網(wǎng)絡(luò)上的每一部計算機(jī)(這類更新通常每天一次)

　　這樣的流程不僅緩慢、缺乏效率，而且客戶的IT系統(tǒng)管理員很難有效率管理。此外，由于今日的威脅數(shù)量驚人，這樣的更新方式根本趕不上新威脅出現(xiàn)的速度。解決之道就是，信息安全廠商必須開發(fā)出一種能夠自動采樣、分析并且自動發(fā)布最新威脅防護(hù)的機(jī)制來保護(hù)客戶，而且不需客戶做任何動作。這也是云計算與后來衍生的云防護(hù)網(wǎng)需要發(fā)揮作用的地方。

　　云防護(hù)網(wǎng)不僅能透過云計算來更有效管理這項信息安全流程，而且未來還能隨威脅形勢的升級而不斷擴(kuò)充規(guī)模。讓我們來看看這套新流程中的每一個步驟。