以前,企业用户主要是通过防火墙、反病毒以及IDS这老三样来保障企业的信息安全,
主动防御实现综合防护
。多数用户在发现病毒后,就会安装一个反病毒软件;发现有人攻击Web服务器时,就会设置防火墙;发现业务系统出现了漏洞,就会叫安全厂商来打个“补丁”。然而,这些被动防御手段在今天看来都显得有些“亡羊补牢”。随着互联网服务的不断普及以及威胁制造者能力的不断提高,现在“威胁”完全传播只需30秒的时间,对此,所有上述被动防御措施都会完全失效。要知道,厂商确认漏洞的存在,再到补丁的开发,以及将补丁上载到网页,或是自动打到网页上去,都会有时间差。在这段时间里,网络罪犯就可以设计出专门有针对性的漏洞以进行攻击。而且,现在, 犯罪链条已经形成,产业化分工非常明确,谁做开发,谁做漏洞检索,谁做攻击都非常专业化和有针对性,这使得用户面临的网络安全威胁越来越严峻。
在这种情况下,呈点状的安全产品以及用这些产品拼凑的方案都已经不能适应现在安全现状对综合防护的高要求。如何在获取或应用安全补丁或攻击签名之前防御未知攻击,成为了安全厂商和用户共同关心的话题。“企业用户需要在被动防御的基础上应用主动防御技术。” 赛门铁克亚太区首席信息安全顾问林育民表示,“尤其是在当前信息安全形势越来越严峻以及现有安全保护体系尚有不足之处的情况下,如何建设一个主动防御的安全体系,以扭转被动防御的不利局面,是用户不得不考虑的问题。”
国家信息中心信息安全研究与服务中心主任吴亚非解释,主动防御技术是相对于传统的病毒防御技术而提出的概念,其优势在于使防病毒软件具有自动判定新病毒的功能,可减小新病毒出现和防病软件具备查杀该病毒能力之间的时间差,从而提升防杀病毒软件查杀新病毒的水平。“当然,主动防御技术的概念不仅适用在杀病毒软件上,在网络安全领域也得到广泛应用,
电脑资料
《主动防御实现综合防护》(http://meiwen.anslib.com)。目前的一个发展趋势就是建立网络安全态势感知系统,在发现网络有异常情况后,主动采取各种技术手段,力图把安全事件消灭在萌芽状态。” 吴亚非介绍说。“对于赛门铁克来说,我们希望通过主动防御技术来实现对安全威胁的提早预防,以避免风险发生;同时,可以不用再像传统防病毒或是入侵检测那样,一定要通过签名更新才能实现防御。” 林育民表示,“通过主动防御技术,无论是未知的攻击或者是一些旧的已知的攻击手法,都可以直接阻挡在外。”
据林育民介绍,目前,赛门铁克在全球部署了四万个侦测点,来监控全球互联网上的安全状况,在发现互联网上出现异常情况时,就会及时告警用户;或者在发现新的漏洞以及一些新的攻击手法时,也会及时提醒用户。“这就使得用户可以直接在他们现有的防御机制上及时采取行动,也就是说事前就做好防护。” 林育民介绍说。
“如果某一网络攻击已经出现并已经威胁到很多用户,我们就会去判断用户的系统是不是已经遭到了攻击或感染,如果在攻击之前,可以采用主动防御的技术来避免攻击的发生。比如说,微软发现了一个漏洞,而且已经发布了修补程序,我们希望通过自动化的方式去做部署,帮企业把这些漏洞给补起来,而不需要再像传统技术那样,等这些防护工具的签名才能够去做打‘补丁’的动作。” 林育民强调这是主动防御与被动防御的一大不同,在事中做防阻的过程中实现了自动化。
当然,没有任何防御技术能够保障是100%安全的,无论是早期预警,还是在事中做自动化防御,最后在系统中都有可能仍然会发生一些其他安全问题。在这种情况下,赛门铁克希望能够做到及时找到被感染的机器,或者已经遭到入侵的主机,并且去了解现在受损害的程度,然后再对症下药,帮助用户解决问题。
“事前做预防,事中做防阻,事后做修补,这正是赛门铁克主动防御精神的三个步骤。” 林育民最后强调。