在文章《賽門鐵克SEP12.1以信譽洞悉企業端點安全》中,ZDNET與賽門鐵克首席專家林育民與賽門鐵克大中華區產品市場經理鄭偉共同探討了SEP12.1基于云安全架構的信譽技術insight.而這僅僅是SEP12.1的眾多優勢技術特性中的一環,在本篇中我們將與兩位專家一起揭開SEP12.1中主動行為防護技術SONAR3,SONAR3如何與insight技術如何協同工作;以及對虛擬化安全的給力支持。
SONAR技術進階 企業系統的最后一道防線
SONAR是Symantec Online Network for Advanced Response的縮寫,從全拼上不難了解,SONAR技術是一種前瞻性的響應技術。作為賽門鐵克的主動行為分析技術,它基于2005年收購的WholeSecurity的技術開發,用于防御0day威脅和漏洞攻擊。目前SONAR技術已經演進到了第三代主動防護技術。首先讓我們一起了解下SONAR技術的進階過程,你會發現SONAR演變的細微變化,而每一次變化,都讓SONAR對惡意威脅的防護更具前瞻意義。
第一代SONAR:主動防護技術可以在傳統的定義可用之前檢測新出現的間諜軟件和病毒。
第二代SONAR:應用了實時在線智能和主動監控功能,可以在傳統定義發布前檢測并阻止新型威脅。
第三代SONAR:可在程序運行時對其進行檢查,識別并阻止惡意行為,即便是新的和以前未知威脅的惡意行為也不例外。
我們可以看到,SONAR 3也就是本文的主角之一,已經具備了在程序運行的同時,對其行為進行識別。賽門鐵克首席專家林育民表示,"SONAR是一種針對文件運行行為的偵測技術也是目前全球唯一的混合行為信譽引擎,在沒有融合insight技術之前,SONAR主要關注文件運行后行為的三個方面,是否更改系統的可執行文件,是否更改系統的重要配置比如注冊表,是否更改DNS域名服務器的配置。SONAR目前可以偵測400多種可疑行為。"
Insight和SONAR 3在技術上的融合,可檢測新的威脅和快速變異的惡意軟件。在談及SONAR 3與insight信譽技術協同抵御安全威脅之前,林育民首先介紹了未與insight技術結合,SONAR技術所面臨的問題。他提到,"SEP12.1之前的版本是沒有融合Insight技術的,而這樣導致的最直接問題是無法充分的發揮出SONAR的技術優勢,因為無法將SONAR的行為偵測調整的過于敏感,太敏感的最直接問題就是會產生誤報。在結合了insight技術后,SEP12.1可以根據文件的信譽程度來決定其行為偵測的敏感程度是高是低,以有效降低誤報情況的發生。
通過SEP12.1所建立的多層防御體系,來有效防止各類的安全威脅和攻擊。林育民指出,"SONAR是整個SEP12里面的最后一道安全防線,第一道防線是網絡層防護,網絡層防護由防火墻和入侵檢測防御體系構成,防御開放端口、惡意連接、漏洞等所產生的攻擊行為;第二道防線是基于信譽的過濾,對可下載文件、網站URL等由信譽決定是否對威脅進行阻擋;第三道防線是防病毒掃描,通過掃描文件的是否具有惡意代碼的特征以阻擋惡意文件;第四道防線是觸發SONAR行為偵測技術,對新的或未知的安全威脅進行防護。通過四道防線最終形成集網絡入侵防護、信譽評級防御、文件掃描防御、行為分析防御的終端安全縱深防御機制。"
掌控云趨勢 助虛擬化基礎架構一臂之力
SEP12.1不僅擁有基于云的信譽技術insight,還擁有確保虛擬化基礎架構安全的先進特性。根據市場調查機構Technavio的最新報告顯示,2010年全球虛擬化安全管理解決方案的市場規模為3.37億美元,預計在2014年將達到15.73億美元,年復合成長率(CAGR)將高達46.9%.報告還指出,虛擬化安全管理解決方案市場成長的動力主要為服務器虛擬化的持續普及,以及虛擬化安全風險的持續增加。隨著虛擬化技術被更廣泛的應用于企業數據中心,桌面和云端,隨之而產生的安全問題也越來越引起企業的關注,比如虛擬機遷移所產生的安全問題,虛擬機數量增長所引發的補丁更新問題,管理技術的新特性的使用給了黑客更多可趁之機等等。面對如此持續高增長的市場,對虛擬化安全問題的考量也逐漸成為企業選擇相關安全解決方案的重要因素。SEP12.1針對虛擬化安全的解決方案,給企業在未來掌控云的趨勢發展,部署虛擬化基礎架構給予了足夠的信心。
在林育民看來,虛擬化安全與傳統安全最大的不同在于,對邊界安全的定義越來越模糊。他指出,"使用虛擬化技術后,一臺物理主機中包含多個虛擬機和虛擬化網絡,意味著其防護邊界的消失,更明確一點是邊界變得模糊。所以,虛擬環境的防護邊界需要定位到每個虛擬機,因為任何一個虛擬機都可能攻擊相鄰的虛擬機。同時在整個虛擬化環境中,對于安全廠商而言最大的挑戰是病毒掃描風暴,如果多個虛擬機同時啟動病毒掃描,那么物理主機的磁盤的I/O將都會被占滿,直接造成其他的虛擬機無法正常運行。導致云服務會沒辦法保障服務質量,甚至造成服務中斷。"
SEP12.1針對虛擬化環境的安全,可通過四種技術對虛擬機的安全進行防護,更好的規避病毒掃描風暴的產生。林育民指出,"第一個技術是Virtual Image Exception虛擬鏡像排除,簡稱VIE技術,可將標準虛擬機鏡像中的文件加入到白名單中,從而優化掃描。針對克隆部署的虛擬機,對具有相同標準鏡像的虛擬機,直接排除掃描動作,極大降低掃描的性能開銷;第二個技術是Shared Insight Cache緩存服務器,針對類似的應用,同樣的文件只掃描一次。在緩存服務器上共享虛擬機之間的掃描結果;第三個技術是Virtual Client Tagging虛擬客戶端標示,以識別虛擬機,創建虛擬機的特殊策略,并支持虛擬機的搜索。通過代理的方式,不論你運行是是何種虛擬機,哪一家的技術,都能夠自動識別;第四個技術是Offline Scanning虛擬機離線掃描,即使虛擬機沒有運行的需要,也同樣能夠掃描。"
通過四種虛擬化安全技術的聯動和有步驟的虛擬機鏡像排除流程,如圖所示,以降低病毒掃描風暴的產生,使得虛擬機之間的掃描和更新隨機化,防止資源使用率的增長,從而使得虛擬化環境策略能夠輕松執行。
磁盤的I/O使用將是原來的1/21,CPU的使用將是原來的1/5,掃描所用時間減少5.5倍,證明SEP12.1在虛擬機上的性能有了大大提高。
SEP12.1對于企業虛擬化技術的使用而言,最大價值在于其針對VMware、Citrix和Microsoft虛擬環境進行優化,易于管理的物理和虛擬客戶端,最大限度提高性能和密度,同時絲毫不會影響安全性,助企業保護虛擬化基礎架構一臂之力。
京公網安備 11010502049343號