目前,安全問(wèn)題是全球互聯(lián)網(wǎng)行業(yè)的心頭大患,過(guò)去采用的防火墻技術(shù)并不足以應(yīng)對(duì)越發(fā)嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)。而近日,有公司表示,微虛擬化是可以取代防火墻的安全良方。
防火墻沒(méi)有抓住問(wèn)題的本質(zhì)
長(zhǎng)期以來(lái),解決網(wǎng)絡(luò)安全問(wèn)題所圍繞的重點(diǎn)一直都是如何能夠避免罪犯的威脅。目前使用廣泛的防火墻就是這個(gè)道理,將危險(xiǎn)擋在墻外。但越發(fā)頻繁的安全事故導(dǎo)致防火墻的口碑驟降,安全領(lǐng)域急需新的技術(shù)來(lái)進(jìn)行解圍。
微虛擬化,這是安全初創(chuàng)企業(yè)Bromium給出的答復(fù)。該公司CEO Ian Pratt表示,采用虛擬機(jī)隔離威脅,可以幫助PC免遭感染風(fēng)險(xiǎn)。“最安全的產(chǎn)品在于從根源上監(jiān)測(cè)威脅。首先必須要明確易被攻擊點(diǎn),有哪些模型可能會(huì)產(chǎn)生漏洞,所以當(dāng)遭受可能的攻擊時(shí)可以迅速阻止。”
網(wǎng)絡(luò)安全需抓住關(guān)鍵
但是這樣做也有一個(gè)問(wèn)題,網(wǎng)絡(luò)攻擊者可以通過(guò)修改惡意軟件保持其獨(dú)立性,防止惡意軟件被識(shí)別。這也是近幾年來(lái)惡意軟件種類(lèi)越來(lái)越多的原因之一。Pratt表示,最好的辦法就是承認(rèn)這個(gè)問(wèn)題的存在,因?yàn)槲⑿〉母膭?dòng)就會(huì)使得惡意軟件避開(kāi)檢測(cè)機(jī)制的攔截。
根據(jù)該公司所提供的數(shù)據(jù),目前安全廠商所提供的保障可以避免97%的安全攻擊。但是即便只有3%的端點(diǎn)面臨安全問(wèn)題,這依然足以對(duì)互聯(lián)網(wǎng)公司構(gòu)成很大的威脅。這也值得企業(yè)為此進(jìn)行另外的解決方案部署。
微虛擬化用處不微
那么Pratt的解決方案是什么樣的呢?說(shuō)起來(lái)很簡(jiǎn)單。比如用戶(hù)需要?jiǎng)?chuàng)建一個(gè)新的任務(wù),打開(kāi)了一個(gè)新的PC去登錄一個(gè)網(wǎng)站;而當(dāng)?shù)卿浵乱粋€(gè)網(wǎng)站時(shí),就又打開(kāi)了另外一臺(tái)PC,才能登錄到下一個(gè)網(wǎng)站。這樣,即便用戶(hù)點(diǎn)開(kāi)了惡意鏈接,你所處的環(huán)境相當(dāng)于是一個(gè)全新的PC,攻擊者無(wú)法獲取到存儲(chǔ)在其他區(qū)域的用戶(hù)信息。
虛擬機(jī)創(chuàng)造獨(dú)立被攻擊環(huán)境
這種方式下,任何惡意URL都不會(huì)獲取到用戶(hù)的文件或者數(shù)據(jù),攻擊最多只能造成PC硬件或者軟件的損壞,而不會(huì)盜取到個(gè)人信息。這就是該公司所謂的微虛擬化技術(shù)。
這一技術(shù)利用了一個(gè)全新的虛擬機(jī),用戶(hù)的每一個(gè)任務(wù)都會(huì)在虛擬機(jī)中進(jìn)行。瀏覽器在虛擬機(jī)之中,用戶(hù)不小心點(diǎn)擊了惡意鏈接之后,惡意感染只能在虛擬機(jī)內(nèi)部傳播。而電子郵件中包含的惡意軟件也只能因此被束縛在虛擬機(jī)內(nèi)。當(dāng)用戶(hù)關(guān)閉應(yīng)用時(shí),攻擊也就隨之結(jié)束。
防火墻防不住所有的火
當(dāng)下,防火墻所面臨的挑戰(zhàn)越來(lái)越多,而廠商為了解決這一系列問(wèn)題,所提供的解決方案也越來(lái)越復(fù)雜。但防火墻的問(wèn)題在于很難確定需要重點(diǎn)保護(hù)的數(shù)據(jù)文件。
而且現(xiàn)在,信息不再是簡(jiǎn)單的存放在主機(jī)里,私有云、公有云、第三方存儲(chǔ)等數(shù)據(jù)中心里也有。同時(shí),公司內(nèi)部終端數(shù)量成倍增長(zhǎng),移動(dòng)設(shè)備、可穿戴設(shè)備、物聯(lián)網(wǎng)等無(wú)一不在進(jìn)行著數(shù)據(jù)交互,傳統(tǒng)防火墻很難解決這一問(wèn)題。
網(wǎng)絡(luò)勒索才是最大殺手
而且,真正驅(qū)動(dòng)網(wǎng)絡(luò)安全問(wèn)題嚴(yán)重化的方式是網(wǎng)絡(luò)勒索。勒索是全球排名第一的網(wǎng)絡(luò)攻擊手段,比如通過(guò)惡意軟件加密用戶(hù)文件,只有獲得贖金之后才解決這一問(wèn)題。根據(jù)Infoblox 的2016年第一季度DNS威脅指數(shù)來(lái)看,勒索事故增長(zhǎng)率達(dá)到了3500%。
據(jù)悉,這項(xiàng)技術(shù)最早是Pratt在2011年6月開(kāi)始研究的。這段時(shí)間,他一直在同英特爾和AMD做相關(guān)CPU虛擬化的工作。其工作重點(diǎn)在于使可以應(yīng)用于服務(wù)器CPU內(nèi)核虛擬化的技術(shù),也可以應(yīng)用于臺(tái)式機(jī)和筆記本電腦上。結(jié)果我們已經(jīng)知道,他成功了。
服務(wù)器虛擬化技術(shù)成解決安全難題良方
Pratt表示,目前僅有Bromium可以掌握這項(xiàng)技術(shù),該公司擁有超過(guò)60項(xiàng)專(zhuān)利,并且目前還沒(méi)有競(jìng)爭(zhēng)對(duì)手。目前,目前這項(xiàng)技術(shù)已經(jīng)被部分美國(guó)的政府部門(mén)采用,而其在消費(fèi)市場(chǎng)的競(jìng)爭(zhēng)力還有待考驗(yàn)。