信譽系統應對新興網絡安全威脅

綠盟科技 盧小海

隨著IT產業的飛速發展和互聯網用戶數量的逐漸增加，互聯網與人們工作和生活的結合更加緊密，依托互聯網開展的商業活動也日益豐富。而與此同時攻擊者也更為關注互聯網，發展形成了具有相當規模的，針對安全威脅研究、生產和分發的“地下產業鏈”。這些攻擊者利用惡意代碼、垃圾郵件、釣魚站點等不同攻擊方法，給企業和個人造成財產損失、信息泄露和信譽受損等不良影響。如何保護自己的用戶使其免受互聯網安全威脅的影響，已成為整個互聯網相關硬件、軟件、服務和網絡提供商面臨的共同挑戰。

隨著“地下產業鏈”不斷擴張，層出不窮的安全威脅不斷涌現。攻擊者只需要少許的變化就可以產生全新的惡意代碼，而基于傳統特征庫的防護者，需要耗費大量的時間和精力，對惡意代碼樣本進行采集、提取和分析；惡意代碼分析和特征庫分發的響應速度，只能大大滯后于攻擊者產生和傳播新惡意代碼的速度，致使基于傳統特征庫的防護方法逐漸陷入困境。越來越大的特征庫、越來越慢的掃描速度已經成為現有防護體系需要面對的難題。

為應對安全威脅和攻擊方法的迅速增長，我們定期對互聯網相關站點進行威脅分析和信譽評級，累積IP地址、域名和 URL等不同資源的內容和行為記錄。同時，我們匯集來自于授權客戶和第三方合作伙伴的威脅反饋、自身安全產品的安全事件以及安全研究團隊的風險預警，與目標站點的歷史信息進行整合，建立針對互聯網領域的長期信譽追蹤機制。互聯網相關產品可以通過我們提供的開放信譽服務接口，對互聯網資源的安全信譽進行實時查詢；以其信譽評級作為判斷依據，進行針對性的防護動作，以保護互聯網終端用戶。

對傳統安全防護體系來說，信譽系統是有力的補充。

隨著互聯網應用的重要性逐漸提升，安全威脅來源開始從傳統的網絡和系統層，轉向以惡意代碼為代表的應用層。僅僅 2008年上半年，國內發現的惡意代碼樣本數量就超過了之前五年時間的總數，達到驚人的900萬種。

由于攻擊方式方法的研究不斷成熟和深入，攻擊者產生和傳播惡意代碼的成本日益降低；而防護產品仍然依賴于傳統的樣本采集和分析，特征碼生成和分發機制。惡意代碼樣本數量的爆發式增長，直接導致傳統的依賴于特征庫的現有防護體系不堪重負。無論是特征庫容量還是威脅響應速度，都難以跟上惡意代碼的迅速增長。

為應對這個挑戰，綠盟科技投入大量的網絡和計算資源，對互聯網資源(域名、IP地址、URL等等)進行威脅分析和信譽評級。互聯網產品只需針對目標資源向安全信譽服務查詢，就可以獲得相應的安全信譽評級信息；進而根據結果調整自身的防護策略，在惡意代碼下載到本地之前，阻止對客戶端對惡意資源的訪問，從而實現對客戶端的保護。

為應對新興安全威脅，信譽系統可以提供及時并有效的檢測和防護。

隨著互聯網應用的多樣性不斷發展，掛馬網站、網絡釣魚、流氓軟件等各種新的安全威脅也不斷涌現。這些新興攻擊手法利用互聯網用戶的疏忽大意(網絡釣魚)，以及對第三方的信任(掛馬網站、垃圾郵件和IM)誘騙互聯網用戶并最終造成損失。

這種混搭多種攻擊手法的安全威脅，通過把功能拆分到多個動作，以逃避面向行為進行防護的安全監控。面對這些新型的攻擊方式，傳統的基于已知特征的針對動作的防護體系，很難為互聯網用戶提供有效的防護。

信譽系統可以利用海量的計算資源分析從不同信息源獲取的事件，并結合來自不同用戶和合作伙伴的反饋進行關聯；互聯網用戶僅需要通過簡單的接口進行查詢，即可獲得相應的信譽評級進行防護。進而通過多來源、多維度信息的綜合分析，解決從單一層面來解決新威脅的技術難題，建立針對各種新興威脅的防護機制。

信譽系統并非一個孤立的系統，而是一個動態的由不同合作伙伴組成的生態系統。

隨著互聯網應用的適用面日益廣泛，安全作為一種硬性的需求，被列入各種互聯網產品和應用的考慮范疇中。而日新月異的攻擊手法，也使得安全威脅的發現和防護，是一個立體的多層面的工作，不再是一兩家安全公司能夠完整覆蓋。

現有傳統安全體系往往是由廠商獨立建立和維護，服務于自身產品和客戶的封閉系統；臃腫的檢測和防護模塊，也難以被集成到第三方產品和應用中；此外冗長的法律和商務談判，也使潛在合作者望而卻步。

而基于安全信譽服務的輕量級客戶端不再需要復雜的內容掃描和監控模塊，只需要通過簡單接口即可完成客戶端的防護工作，大大減輕了進行集成的成本。綠盟科技會提供持續和穩定的服務端運維支持，通過匯集客戶端實時反饋與合作伙伴的交換信息，進而改善服務的自身質量。整個信譽系統是為一個開放生態系統而設計，來源于互聯網并服務于互聯網。

在對自有產品提供支持的同時，信譽系統也通過信譽服務為第三方產品和應用提供服務，使用者將通過雙向信息反饋通道與信譽系統形成互動。

信譽系統自身是一個綜合不同維度信息的知識庫，通過掃描系統和反饋系統實時更新和積累原始數據。為提高發現威脅的及時性，信譽系統包含了一整套自動化閉環反饋處理的流程，對客戶反饋、合作伙伴和運營商提供的信息進行處理。

互聯網企業或用戶可以通過綠盟科技提供的開放接口，通過信譽服務進行查詢。各種網關產品、終端軟件和應用服務，可以在用戶訪問互聯網資源前，通過對資源安全信譽進行查詢，發現潛在的安全分析，一旦發現用戶訪問的互聯網資源安全信譽存在問題，即可暫時停止用戶對此資源的訪問，從而達到保護用戶的目的。

在與現有安全防護體系進行整合，結合主動探測和客戶反饋之后，信譽系統可以更好的服務于整個安全體系中的合作伙伴，持續改善使用者的用戶體驗。