深度解析---云安全

深度解析 -云安全 申鹤 产品技术顾问 电话： (010)85252277-336 手机：Crane_ 主要内容 云计算时代的来临 各厂商云安全解析 趋势科技云安全详解 云安全防护效果评测 何为云计算？ 透过网络控制应用软件和计算资源，以在线租赁方式供用户使用 谁在部署云计算？ 目前有哪些云计算应用？ 1、 SaaS软件即服务 2、公用 /效用计算 3、云计算领域的 WEB服务 4、平台即服务 PaaS 5、管理服务供应商 (MSP) 6、服务商业平台 7、云计算集成 什么是云安全？ “云安全”是云计算的一种具体应用，但又有自己的特点。 行为判断 设备控制 Web信誉 Mail信誉 关联分析 各厂商“云安全”解析 Macfee kaspersky Symantec 瑞星 金山 趋势 McAfee云安全 Artemis工作流程 McAfee云安全 Artemis应用 迈克菲 Artemis技术可以被部署安装在迈克菲终端产品中： McAfee VirusScan Enterprise McAfee Total Protection Service McAfee VirusScan Plus 优势： 把防护时间差从几小时或几天缩短到几秒 通过动态云服务，实现更高的恶意软件检测率 整合最佳的黑名单和白名单模型 可以和迈克菲终端产品实现无缝授权，易于安装 卡巴斯基云安全 IT168 King： 卡巴斯基实际上从 8.0开始就提到云安全的概念，经过 8.0版本一年中的演变，到现在 2010版本。那么，卡巴斯基的云安全在新版中起到什么样的作用 ? 卡巴斯基产品部高经理： 其实，我们不像其他厂商把云安全作为宣传的重点。对于卡巴斯基来讲，我们的云安全体系还只是 增强型的传统反病毒数据库 。云安全技术在卡巴斯基看来只是一个传统的反病毒技术的革新，还算不上一种创新，一种改革，或者说一种演进。 卡巴斯基云安全网络 云安全网络 (卡巴斯基称作“卡巴斯基安全网络” ) 加快对新威胁的响应速度 ，以期在新威胁产生后的最短时间内，就能够具备相应的识别能力。于是，就有了云安全。另一方面，就是提供一种前摄保护系统，可以预先对安全性未知的程序进行安全分析，乃至于进行安全分级，对不同安全级别的未知程序进行分级的权限控制，防止它们可能对系统造成的破坏，这样就可以在新的恶意威胁产生前，对其具备免疫能力，是更加先进和高效的防御技术。卡巴斯基目作为行业内第一家使用该技术的厂商，将其命名为“ 应用程序控制 ” Symantec云安全 赛门铁克於 2008年并购了 MessageLabs，结合云安全与软件即服务 (SaaS)的商业模式 赛门铁克新品诺顿 2010版杀毒软件最大的卖点是其使用的Quorum云安全技术，赛门铁克公司介绍这是一个实时的基于信誉评级的全球云防护技术，用于跟踪文件、应用程序及各种属性。诺顿通过收集与分析软件、文件的“指纹信息”，汇集成库。当用户下载、打开这些软件或文件时， Quorum便向用户展示这些内容的信誉度，以帮助用户确实其是否恶意。 赛门铁克公司表示， Quorum的研发工作耗时三年，目前Quorum已经分析了四亿八千万软件，未来将侧重本地化软件的收集及分析。 瑞星云安全架构 瑞星云安全的应用与特点 安装“瑞星卡卡”后，病毒一旦感染您的电脑，就会被“云安全”捕获，上传到服务器，几秒钟后，系统会将把分析结果反馈回来，您可以利用“云安全”客户端杀掉这个病毒，这个分析结果也会分享给他人，使他们不会再被该病毒感染。 瑞星“云安全”的四大特色 海量的客户端 (云安全探针 )； 专业的反病毒技术和经验； 投入亿元重金，国内最大专业团队打造； 迅雷、久游等数百家重量级合作伙伴鼎力支持。 瑞星云安全焦点问题及官方解释 瑞星“云安全”隐私问题 瑞星“云安全”只收集安全软件运行的状态、功能日志等信息， 像软件序列号、电子邮件等等私人信息不会被收集，因此不会有 隐私的问题。而且，瑞星为用户提供了方便的关闭选项，用户随 时 可以关闭云安全信息的采集 。 传言中的“云安全”使机器变慢问题 瑞星“云安全模块”只是一个很小的模块，它主要用来采集某些 信息，不用进行任何复杂的运算，它只在您的电脑空闲的时候运 行， 玩游戏、工作的时候会自动停止 ，因此不会影响您的正常 使用。 金山云安全架构 金山云安全 金山毒霸杀毒软件“云安全”高效安全定义： 智能客户端 +集群式服务器 +开放安全服务平台 +虚拟上门服务 完善云安全必须拥有： 集群辨别能力。互联网可信认证体系，海量联机样本，分辨互联网上亿文件的善恶属性。 集群分析能力。金山毒霸水银平台，每日分析处理上百万未知文件，样本名单已达数TB！ 集群情报收集。金山毒霸爬虫系统，自动抓取互联网上千万可疑安全威胁，反应迅速！ 金山毒霸 2009全面引入“云安全”概念，日最大病毒处理能力提高 100倍、紧急病毒响应时间缩短到 1小时以内。 主要内容 云计算时代的来临 各厂商云安全解析 趋势科技云安全详解 云安全防护效果评测 威胁样本 (Email, Web, File) 多重关联分析 趋势科技云安全技术架构 Endpoint Gateway Off Network Network Management 威胁分析 TrendLabs & Malware Database Web 信誉 URL File 信誉 Files 邮件信誉 IP 安全威胁 Verification Analysis Correlation Packaging 数据收集 客户 合作伙伴 TrendLabs 研发中心 样本 提交 密罐 Web 挖掘 自动提交 行为分析 Partners ISPs Routers Etc. Feb 2009 A compromised web site One click in a link. Fake news by email. 邮件信誉评估中心 Web信誉评估中心 文件信誉评估中心 云安全中心 的运作流程 Web信誉技术 原理 1.用户收到黑客的垃圾邮件 2.点击链接 4.发送信息 /下载病毒 Web Web Web Web Web 对客户所访问的网页进行安全评估 阻止对高风险网页的访问 3.下载恶意软件 云安全 OfficeScan Mail Server 互联网 防火墙 Desktop PCs 趋势科技 Web 信誉 URL Web信誉技术 应用 IWSA1500 IWSA2500 IWSA3000 IWSA6000 IWSA10000 趋势科技 云安全 2.0 Smart Protection Network 趋势科技 云安全威胁 威胁数据库 威胁 分析 邮件信誉技术 Web信誉技术 文件信誉技术 云安全文件信誉技术 公司网络 互联网 本地扫描服务器 查询文件签名 即时响应 文件 信誉 在云 端 进行不断的实时更新 查询文件签名 即时响应 文件信誉技术应用 - OfficeScan 10 文件 信誉技术的优势 Memory Usage Over Time (Conventional vs. Cloud-Client Approach) 零增长资源占用 Could-Client File Reputation OfficeScan 云安全应用 文件信誉 数据库 Quert Results Client 移动用户 客户端 移动用户 实时查询 自动更新、实时或手动更新 实时 查询 “ Local Cloud” 恶意程序 特征 Local Cloud Scan Server 客户本地只需要更小的特征库 无需更新与分发 永远是最新的和最全面的防护 客户价值 内存使用 (MB) 020406080100120T r adit iona l A V C loud C lien t传统防病毒技术 云安全客户端架构 带宽消耗 (kb/天 ) 050100150200250300350400T r adit iona l A V C loud C lien t传统防病毒技术 云安全客户端 架构 降低带宽消耗 较低的内存使用 文件 信誉技术的优势 公司网络 互联网 本地扫描服务器 查询文件签名 即时响应 文件 信誉 在云 端 进行不断的实时更新 查询文件签名 即时响应 文件 信誉技术的优势 零时间的防护部署 IMSA Internet End-user End-user Spammer Mail Server 邮件信誉技术的应用 DNS Query Mail Abuse Prevention System RBL+ Updated per investigation 250 million entries RBL, OPS, RSS, DUL And Dynamic Reputation Reputation DNS Server SPAM is rejected Response with Rating Remaining emails are scanned with TMASE 优势： 在垃圾邮件达到网关前隔离 节省网络资源 Ethernet Internet Protocol (IP) Transport Layer (TCP/UDP) Email (SMTP, POP3), Web (HTTP/S), File Transfers (FTP) IM, P2P 分析 OSI 2-7层协议中的应用层信息 关联分析技术应用 -TDS分析 OSI 2-7层协议中的信息 HTTP SMTP IRC P2P 80+ 其他协议 零时差攻击 未知安全问题 肉鸡 TDS 分析超过 80种网络协议和应用 DNS DCE-RPC Telnet RDP SSH HTTP AIM IRC FTP TFTP SMB SMTP Gmail Bit Torrent IRC MSN ICQ Google Talk Slingbox iTunes Windows Media eMule eDonkey Trend-Labs Threat Intelligence Network ActiveUpdate DNS-IP Reputation Phishing Filter App Reputation HTTP-URL Reputation Switch 威 胁报 告 Link-up 镜 像口 威胁发现系统 TDA Correlate 7 24小时监控中心 服 务 支持 TDS工作原理 云安全 多层次终端安全解决方案 网 络 文件 电 子 邮 件 网络防毒墙OfficeScan 10 威胁发现设备 TDA Web安全网关 IWSA 主要内容 云计算时代的来临 各厂商云安全解析 趋势科技云安全详解 云安全防护效果评测 35 NSS Labs 防恶意程序测试概述 在 2009年 9月， NSS Labs发布了产业界最接近真实世界的防毒 /终端保护套装的测试报告。 NSS Labs的实况测试在最接近用户真实环境的测试环境中测试，使用的是最新的威胁；而不是在封闭的测试环境中，使用陈旧的或者存在问题的样本做测试。 这项测试的结果是根据为期 17 天的 24 小时不间断测试所得出的实证数据，在此期间，每 8 小时就会完成一轮 59 项独立测试，每一轮都会加入新的恶意程序 URL。每个受测产品在测试开始之前都会先更新到最新版本 ，并且在整个测试过程中被允许访问互联网。 来源 : NSS Labs Consumer Report, September 2009 Classification 11/4/2014 目标 链接和附件 针对两个防护层做单独测试 互联网 可移动介质 文件传输 威胁 威胁 威胁 邮件 网站 威胁防护网络有多个防护层需要被测试 简单来说，需要考虑两个防护层： 感染防护层 在目标计算机上拦截传输及执行恶意程序 暴露防护层 拦截访问带毒来源 其他防护层可以被协调进入测试 垃圾邮件 执行时防护 基于文件内容（代码、哈希值）的检查 下载时防护 基于来源（ URL、域名）的检查 NSS labs测试过程 1. 恶意 URL筛选 从最初 17,000 多个唯一的可疑新网站列表中，预先筛选 4,134 个恶意 URL 用于测试中，这些 URL 在开始测试时已经可以访问。浏览器至少在一次运行中成功访问了它们。删除了不满足验证标准的样例，其中包括那些包含无效样例的网站。在最初的 4,134 个 URL 中，最终有 3,243 个 URL 通过了后期验证过程，并保留在最终的结果中 。 2. URL动态更新 每天平均有 324 个新验证的 URL 添加到测试集中。添加的数量随当日犯罪活动的活跃程度有所变化。 3. 测试过程 本报告中的数据是在 17 天的测试期间（ 2009 年 7 月 7 日到 7 月 24 日）得到的。所有测试均在德克萨斯州奥斯汀市的实验室中进行的。测试过程中，定期监视网络连接情况，以确保浏览器可以访问测试的实时 Internet 网站以及云端 AV 信誉服务。在本次研究过程中，对每个测试的产品进行了 59 次单独的测试（每隔 8 小时一次），中间没有中断。