陳宛綺 |
|
Blue Coat |
早期,當防毒軟體無法因應層出不窮的病毒時,透過定期病毒碼的更新,即可做好足夠的安全防護。但今日,當更新病毒碼的速度已經趕不上惡意程式的產生速度時,網雲技術 (Cloud Computing) 儼然已成為資安廠商在這場與駭客的長期對抗賽中的新武器。
「網雲服務的提供在可見的未來一定會有越來越多廠商加入。」Blue Coat 技術總監曾良駿表示,因為環境改變,走向網雲是必然趨勢。
曾良駿指出,惡意程式從早期透過電子郵件散佈,現在則是透過 Web 即可隨處亂竄,而且有 90% 的惡意程式是來自於受歡迎且令人信任的網站;加上 Web 2.0 熱潮,雙向溝通的特性,以及行動工作者與遠端辦公室的增加, 這些現況,使得傳統利用防火牆建築高臺以保護城堡的方法已不足以防禦各式惡意程式的攻擊。
現在,企業多採用更深入的防禦方式,利用多層策略如防火牆、 VPN 、 IDS 、防毒軟體、 Tokens 等,以軟硬兼施的方式進行資安防禦。曾良駿認為,這樣方式還是不足以對抗層出不窮的惡意攻擊,因此資安防禦不得不跳脫現有模式,加入網雲技術的新型防禦方式。
「新一代的資安防禦將進入類似全民聯防的階段。」曾良駿解釋,利用龐大社群 (Community) 的力量,每日向 Blue Coat 的網雲資料中心提供大量 Web Request(包括新的、未分類、未有名聲評比的網站),經過層層檢測分析,可快速替網站進行即時分類與名聲評比,並偵測網頁中是否含有惡意程式連結。
本文目錄
利用網雲技術掌握 Web 脈動
Blue Coat 的網雲服務稱為 WebPulse,「就是要隨時偵測 Web 的脈動。」曾良駿表示,面對每日都有成千上萬的新網址出現,當企業或是個人用戶要連結到一個新網站時,若在企業內部的代理器資料庫中尚無該網址的資料與分類,就會將此未知網站送入 Blue Coat 提供 WebPulse 服務的網雲資料中心裡。
曾良駿進一步解釋,在 WebPulse 機制中,首先,未分類網址會先與 WebFilter Master 資料庫進行比對;並在 7 到 9 毫秒 (ms) 回覆給企業與個人用戶最新的結果;若在 WebFilter Master 沒有該網址,即會透過 Blue Coat 動態即時分級 (Dynamic Real-Time Rating, DRTR) 技術來實際存取網頁並分析網頁屬性,並在 100 毫秒以內回傳到企業端的閘道設備;同時,這些網頁還會再傳到 Blue Coat 動態背景評等 (Dynamic Background Rating, DBR) 進行網頁深層內容與威脅分析,甚至是請專人來進行實際執行與檢測;若找到任何惡意程式,同樣也會回傳到企業進行防護。曾良駿表示,在 DBR 中,Blue Coat 透過多家掃毒引擎(包括 McAfee 、 Sophos 、 Panda 、卡巴斯基等)交互進行惡意程式、間諜程式、釣魚網站等的掃瞄,可以做到更全面與即時的防範。
曾良駿表示,目前 Blue Coat 在全球各地設有約 6 個網雲運算的資料中心,亞洲地區則設在馬來西亞與日本,因此在處裡一個要求 (request) 的平均時間只有 100 毫秒。
使用者的貢獻
曾良駿表示,Blue Coat 的優勢是,每日都會蒐集到超過 1 億次來自 Blue Coat 產品使用者所提出的要求 (request),不僅是企業用戶,還包括了個人用戶(Blue Coat 的 K9 Web Protection 產品提供一般使用者免費下載)的詢問資料,因此資料量龐大且涵蓋各層面的網頁要求;有別於其它的競爭產品是採用 Web Spiders 方式來針對網站進行評等分析,效能低落,且蒐集的 request 資料也往往僅限於企業用戶,防禦效能勢必不足。
曾良駿表示,只要是有搭配 Blue Coat WebFilter 的閘道設備(如 ProxySG 、 ProxyAV 等)都可以使用 WebPulse 服務。曾良駿表示,有了網雲運算技術,等於可以幫企業客戶在一分鍾之內評估新網站,並分析是否具有潛在惡意攻擊威脅,進行即時防護。
混合式的 Web 閘道
面對越來越多惡意程式的威脅,以及更多包括資料外洩、網站應用程式控制等問題層出不窮,曾良駿表示,傳統的網頁過濾產品無法阻擋隱藏在正常網站中的惡意連結,也無法分析經過加密網頁的內容,再加上一般的防毒軟體對於變化快速的惡意程式的偵測效果不佳,因此 Blue Coat 建議企業採用混合式 Web 閘道的做法。
所謂 Blue Coat 混合式的 Web 閘道的做法,簡單說就是在 Web 閘道端進行多層次防禦,並連結 Web 閘道器與網雲服務。曾良駿表示,企業可以採用包含了 5 個面向的防禦機制,來做到全面的防護:利用 Blue Coat 的 ProxyAV 安全閘道器進行 Spyware 、木馬、蠕蟲、惡意程式的偵測與阻隔;利用 Blue Coat 的 ProxySG 進行網路應用與內容管控;利用 Blue Coat 與 DLP 合作夥伴(包括 Websense 、 Symantec 、 McAfee 、 VeriCept 、 Code Green 等)的技術合作,來防止資料外洩;加上將應用程式加速與網路安全和政策控管,延伸至遠端或行動企業用戶的 ProxyClient;這些設備再與 WebPulse 連線,可以得到快速回應,做立即保護。
透過多面向的防禦,不僅是企業總部可以具有安全的網路環境,就連採用直接連網技術(Direct-to-Internet,讓遠端使用者不須透過回程傳輸方式 (backhauling),即可直接連網、下載檔案及存取應用程式)的遠端辦公室,也能透過 Blue Coat 所提供的網雲服務,來防止惡意程式的威脅。
(本文同步刊載於網路資訊雜誌 2008 年 11 月號 204 期)