“主動防御”從提出到現在已有四年光景。目前在技術上已得到廣泛認可,其陣營也幾乎包含了大部分網絡安全廠商。現在如果哪家安全廠商不提“主動防御”,似乎就等于告訴人們自己已經落伍。而對于普通計算機用戶來說,對“主動防御”最直觀的感受來自于反病毒軟件。在思科組織NAC(網絡準入控制)聯盟后,并沒有借“主動防御”這個概念來炒作自己的產品,倒是防病毒軟件廠商因為這概念似乎感到終于可以跑到病毒前面了,大肆渲染主動防御如何了得,宣稱已經打破了殺毒總是滯后于病毒的狀況,可以未雨綢繆地阻擋未知病毒的威脅,已經擺脫了病毒碼的束縛。
但是也有用戶指出,現在反病毒廠商所推出的最新版殺毒軟件只是主動防御技術的初級應用,和真正意義上的主動防御還有一定的距離。一些網絡安全專家也表示,主動防御不能滿足于現狀,也不應該被簡單地認為只是一種網絡安全防范技術,而是應該從整體安全系統建設的角度出發,讓整個網絡都具備主動應對威脅的能力。
主動防御技術缺乏成熟標準
主動防御作為一種概念被提出來以后,在技術實現上沒有固定的標準,產品間缺乏相互開放的端口,這在很大程度上阻礙了主動防御的發展,而最終僅歸于加強了個體安全產品性能這個狹隘的范疇。
“主動防御”是什么?這個問題爭論了幾年時間,到現在也沒有形成統一、確切的定義,更談不上有什么標準可言。最淺顯的看法是,只要能“防范未知病毒”就是做到了主動防御。如果稍微領先一點,則會認為“能智能地判斷網絡操作的行為,采取相應的措施”就是主動防御。這樣看待主動防御的人不在少數。
眾所周知,只靠技術是無法保障網絡安全的,所謂“三分技術,七分管理”也正是對網絡安全最好的詮釋。所以談主動防御,只談其技術還是遠遠不夠的。技術固然是一種新應用的核心部分,但是只依賴技術的應用往往缺乏生命力。主動防御也是如此,如果只是在技術層面談論主動防御,那么主動防御的發展可能也就止步于今年了。因此,在技術之上我們更應該關注一下主動防御的標準化問題。
主動防御技術在一個完善的安全體系標準環境下才具有實際意義。我們可以發現,現在的網絡病毒威脅傳播速度快、隱蔽性強、殺傷力大,要么竊取機密信息,要么盜用信用卡賬號,都帶有明顯的經濟利益目的。除此以外,諸如垃圾郵件、間諜軟件、網絡釣魚等各種網絡威脅也是接踵而至,甚至是利用社會工程學手段,直接利用人們的心理狀態進行非法活動。在這種網絡環境下,目前防病毒軟件所用的主動防御技術或者模塊并不能完全應對,其借主動防御所突出的安全性也只是相對而言。
其實企業也好,個人用戶也罷,只做好某一層面的安全防范并不夠,現在需要的是立體的安全防御體系,而不是某些安全產品。打個比方,如果一間房子大門很安全,防盜鎖、電子眼、監控設備一應俱全,能做到阻擋一切從大門而來的入侵,但是這間房子有個窗戶,而且僅僅是虛掩上的,于是不法分子翻窗而入,直接進入房間內部行竊,在這種情況下,大門的安全效果大打折扣。所以說到這里,無非是想要告訴大家一個道理,主動防御技術雖然是核心,但是需要標準、策略,甚至“人”來驅動。思科公司網絡安全專家盧佐華女士在接受《中國電子報》記者采訪時也有頗多感受,“實現主動防御,不僅要突破以往傳統被動的安全防御模式,更重要的是要建立一個可信賴的網絡安全環境,強制的安全策略更是其中的關鍵環節。”
易觀國際也在2007年底發表報告,提醒企業用戶“對眾多宣稱具有主動防御技術的安全產品要謹慎對待,主動防御技術尚不能給行業用戶帶來實效”。據易觀國際分析,目前所有的主動防御技術都只是局部的主動,市場上并沒有完全具有主動防御技術的產品出現。
主動防御標準模型誰來打造
反病毒廠商的產品只是主動防御技術的直接體現,他們無法引領主動防御體系的建設,更難以倡導主動防御的標準化,那么誰來做這樣的事更合適呢?是否應該由安全服務提供商、系統集成商,甚至網絡基礎設備供應商牽頭呢?思科、 等公司都有自己的安全組織,這是否可以作為主動防御體系標準的雛形呢?
構建主動防御體系標準從理念到實際執行,需要從三個層面來考慮:標準制定、架構搭建、運行維護。這個環節看似簡單,但即便是標準制定這個最初的環節,又有多少企業能完成呢!在標準制定問題上,很多IT巨頭企業都有很豐富的經驗,但是落實到主動防御這個問題上,似乎標準出臺變得頗為棘手。
以思科、Juniper等為代表的網絡廠商近年來推行了很多新概念。思科的NAC(網絡準入控制)和Juniper的UAC(統一準入控制),都是由于當前企業網絡應用環境的日益復雜,傳統終端安全技術難以保障用戶網絡應用而推行的基于安全策略的方案,以便持續、動態、主動地維護網絡安全。NAC和UAC陣營中包含了不少安全廠商,或者是關注安全領域的系統商。這些廠商從最前端的反病毒到最后端的網絡底層都有涉及。所以,如果主動防御標準由思科或者Juniper來推行,顯然要容易很多。不過二者分屬于不同陣營,似乎誰向誰都難以妥協。
微軟也一直對主動防御十分關注,雖然微軟目前在主動性安全產品上還不盡如人意,但是以微軟的地位來說,出面牽頭推行主動防御標準似乎也順理成章,畢竟微軟在標準問題上一直頗有辦法。目前微軟也聯合了部分主流網絡安全解決方案提供商組成聯盟,共同探討主動防御的標準模型,像趨勢科技、飛塔、邁克菲等都是其中的成員。
再看IBM,由于能提供從咨詢、設計、實施到運維的端到端安全服務,IBM一直倡導幫企業“變被動為主動”。IBM確實也在這樣做,并從業務策略和整體系統上考慮了企業的安全架構。IBM完成“主動防御”的想法是靠兩個方面來推動的,一是收購、一是轉型。收購方面,IBM將企業安全服務領域的主流公司ISS收至麾下;轉型方面,IBM提出“服務產品化”,并推出了“企業IT安全服務”的產品線。這原本是ISS的主動防御集成安全平臺安全解決方案,IBM收購后完善了自身的企業IT安全服務能力,從而在預防性安全防護體系方面離“主動防御”越來越近。
以上無論是陣營也好、聯盟也罷,似乎都形成了各自的技術群體,這無論對哪個領域的標準化問題而言,都是十分頭疼的事。未來,在SOA(面向服務的體系結構)環境下,主動防御的標準化是否可以推出,記者還是持樂觀態度的。畢竟,SOA是大勢所趨,也得到了普遍認可,而且沒有獨立陣營存在,在這種情況下,主動防御標準化過程將不再存在妥協問題。
相關鏈接
主動防御的部分典型應用
既然易觀國際2007年底的報告稱“主動防御技術尚不能給行業用戶帶來實效,主動防御技術都只是局部的主動,市場上并沒有完全具有主動防御技術的產品出現”,那么我們就來看一下主動防御技術在安全市場目前的具體應用。
硬件防火墻:防火墻是介于兩個網絡之間的設備,用來控制兩個網絡之間的通信。舉個例子來說明一下防火墻的工作原理,在A網絡與B網絡之間安裝一臺防火墻,B網絡要訪問A網絡時,會根據防火墻的規則表使用相應的訪問策略,策略包括允許、阻止或報告。在默認的情況下,A網絡訪問B網絡是無需遵守任何訪問策略的,也就是說,如果攻擊者在A網絡中,將會對A網絡的安全產生巨大的威脅。通過防火策略,可以有效地阻擋外來的網絡攻擊和一些病毒的入侵,這就是主動防御技術的最初應用。
IDS(入侵檢測系統):IDS是為監測內網的非法訪問而開發的設備,根據入侵檢測識別庫的規則,判斷網絡中是否存在非法的訪問。管理員通過分析這些事件,來對網絡的安全狀況進行評估,再采取對應的防護策略。相對硬件防火墻而言,IDS是基于主動防御技術的更高一級應用。
IPS(入侵防護系統):一般來說,IPS系統都依靠對數據包的檢測。IPS將檢查入網的數據包,確定這種數據包的真正用途,然后決定是否允許這種數據包進入你的網絡。與IDS和硬件防火墻相比,IPS更智能,可以通過分析來決定是否允許數據包通行,這也是主動防御技術的最典型應用。
殺毒軟件:在病毒越來越猖狂,破壞力越來越強大的不利形勢下,過于陳舊的模式讓傳統的殺毒軟件已經無法承擔保護計算機安全的重任。正因為此,殺毒軟件廠商才推出了集成了主動防御技術的殺毒軟件,不過他們的主動防御技術只是對網頁、注冊表、惡意腳本增加了監測功能而已,只能說是最初級的主動防御技術應用,距離真正的主動防御還有一定的距離。
總的來說,就安全市場的現狀而言,真正的主動防御技術應用范圍還很窄。而在身份認證、內容過濾等更多安全領域,主動防御還沒有形成主流。即便是從產品技術的應用范圍來看,主動防御技術的普及時代還沒有真正到來。
