深度解析 --- 云安全

深度解析 --- 云安全 申鹤　　产品技术顾问电话： (010)85252277-336

手机： 15901076759

Crane_shen@trendmicro.com.cn

主要内容云计算时代的来临各厂商云安全解析趋势科技云安全详解云安全防护效果评测

何为云计算？

透过网络控制应用软件和计算资源，以在线租赁方式供用户使用

谁在部署云计算？

目前有哪些云计算应用？1 、 SaaS软件即服务2、公用 /效用计算3、云计算领域的WEB服务4、平台即服务 PaaS5、管理服务供应商 (MSP)6、服务商业平台7、云计算集成

什么是云安全？“云安全”是云计算的一种具体应用，但又有自己的特点。

– 行为判断– 设备控制– Web信誉– Mail信誉– 关联分析– ……

各厂商“云安全”解析MacfeekasperskySymantec瑞星金山趋势

McAfee 云安全 Artemis 工作流程

McAfee 云安全 Artemis 应用迈克菲 Artemis技术可以被部署安装在迈克菲终端产品中：McAfee VirusScan EnterpriseMcAfee Total Protection ServiceMcAfee VirusScan Plus优势：　把防护时间差从几小时或几天缩短到几秒通过动态云服务，实现更高的恶意软件检测率整合最佳的黑名单和白名单模型可以和迈克菲终端产品实现无缝授权，易于安装

卡巴斯基云安全　 IT168 King ：卡巴斯基实际上从 8.0开始就提到云安全的概念，经过 8.0版本一年中的演变，到现在 2010版本。那么，卡巴斯基的云安全在新版中起到什么样的作用 ?　卡巴斯基产品部高经理：其实，我们不像其他厂商把云安全作为宣传的重点。对于卡巴斯基来讲，我们的云安全体系还只是增强型的传统反病毒数据库。云安全技术在卡巴斯基看来只是一个传统的反病毒技术的革新，还算不上一种创新，一种改革，或者说一种演进。

卡巴斯基云安全网络云安全网络 (卡巴斯基称作“卡巴斯基安全网络” )加快对新威胁的响应速度，以期在新威胁产生后的最短时间内，就能够具备相应的识别能力。于是，就有了云安全。另一方面，就是提供一种前摄保护系统，可以预先对安全性未知的程序进行安全分析，乃至于进行安全分级，对不同安全级别的未知程序进行分级的权限控制，防止它们可能对系统造成的破坏，这样就可以在新的恶意威胁产生前，对其具备免疫能力，是更加先进和高效的防御技术。卡巴斯基目作为行业内第一家使用该技术的厂商，将其命名为“应用程序控制”

Symantec 云安全赛门铁克於 2008年并购了MessageLabs，结合云安全与软件即服务 (SaaS)的商业模式赛门铁克新品诺顿 2010版杀毒软件最大的卖点是其使用的 Quorum云安全技术，赛门铁克公司介绍这是一个实时的基于信誉评级的全球云防护技术，用于跟踪文件、应用程序及各种属性。诺顿通过收集与分析软件、文件的“指纹信息”，汇集成库。当用户下载、打开这些软件或文件时， Quorum 便向用户展示这些内容的信誉度，以帮助用户确实其是否恶意。赛门铁克公司表示， Quorum的研发工作耗时三年，目前Quorum 已经分析了四亿八千万软件，未来将侧重本地化软件的收集及分析。

瑞星云安全架构

瑞星云安全的应用与特点安装“瑞星卡卡”后，病毒一旦感染您的电脑，就会被“云安全”捕获，上传到服务器，几秒钟后，系统会将把分析结果反馈回来，您可以利用“云安全”客户端杀掉这个病毒，这个分析结果也会分享给他人，使他们不会再被该病毒感染。瑞星“云安全”的四大特色海量的客户端 (云安全探针 ) ；专业的反病毒技术和经验；投入亿元重金，国内最大专业团队打造；迅雷、久游等数百家重量级合作伙伴鼎力支持。

瑞星云安全焦点问题及官方解释瑞星“云安全”隐私问题瑞星“云安全”只收集安全软件运行的状态、功能日志等信息， 像软件序列号、电子邮件等等私人信息不会被收集，因此不会有 隐私的问题。而且，瑞星为用户提供了方便的关闭选项，用户随 时可以关闭云安全信息的采集。传言中的“云安全”使机器变慢问题瑞星“云安全模块”只是一个很小的模块，它主要用来采集某些 信息，不用进行任何复杂的运算，它只在您的电脑空闲的时候运 行，玩游戏、工作的时候会自动停止，因此不会影响您的正常 使用。

金山云安全架构

金山云安全金山毒霸杀毒软件“云安全”高效安全定义： 智能客户端 +集群式服务器 +开放安全服务平台 + 虚拟上门服务 完善云安全必须拥有：

——集群辨别能力。互联网可信认证体系，海量联机样本，分辨互联网上亿文件的善恶属性。 ——集群分析能力。金山毒霸水银平台，每日分析处理上百万未知文件，样本名单已达数

TB ！——集群情报收集。金山毒霸爬虫系统，自动抓取互联网上千万可疑安全威胁，反应迅速！ 金山毒霸 2009全面引入“云安全”概念，日最大病毒处理能力提高 100 倍、紧急病毒响应时间缩短到 1小时以内。

主要内容云计算时代的来临各厂商云安全解析趋势科技云安全详解云安全防护效果评测

威胁样本 (Email, Web, File)

多重关联分析

趋势科技云安全技术架构

Endpoint

Gateway

Off Network

Network

Management威胁分析

TrendLabs &Malware Database

Web 信誉URL

File 信誉Files

邮件信誉IP

安全威胁

VerificationAnalysis

CorrelationPackaging

数据收集• 客户• 合作伙伴• TrendLabs 研发中心• 样本• 提交• 密罐• Web 挖掘• 自动提交• 行为分析

Partners

• ISPs• Routers• Etc.

Feb 2009

A compromised web siteOne click in a link.Fake news by email.

TROJ_CHOST.E

邮件信誉评估中心

Web信誉评估中心

文件信誉评估中心

云安全中心的运作流程

Web 信誉技术原理

1.用户收到黑客的垃圾邮件

2.点击链接

4. 发送信息 / 下载病毒

Web

Web

Web

Web

Web

对客户所访问的网页进行安全评估 –阻止对高风险网页的访问

3. 下载恶意软件云安全云安全

OfficeScan

Mail Server

互联网 防火墙

Desktop PCs

趋势科技

Web 信誉URL

Web 信誉技术应用

IWSA1500IWSA2500IWSA3000IWSA6000IWSA10000

趋势科技云安全 2.0Smart Protection

Network

趋势科技云安全 2.0Smart Protection

Network

威胁 威胁数据库威胁分析

邮件信誉技术

Web 信誉技术

文件信誉技术

云安全文件信誉技术

公司网络互联网

本地扫描服务器

查询文件签名即时响应

文件信誉

在云端进行不断的实时更新

查询文件签名即时响应

文件信誉技术应用 --- OfficeScan 10

文件信誉技术的优势Memory　Usage　Over　Time(Conventional　vs.　Cloud-Client　Approach)

零增长资源占用

Could-Client File Reputation

OfficeScan 云安全应用文件信誉数据库

Quert

ResultsClient

移动用户

客户端

移动用户 实时查询

自动更新、实时或手动更新实时查询“Local Cloud”恶意程序特征 Local Cloud

Scan Server

客户本地只需要更小的特征库无需更新与分发永远是最新的和最全面的防护

客户价值

内存使用 (MB)

0

20

40

60

80

100

120

Traditional AV Cloud Client传统防病毒技术 云安全客户端架构

带宽消耗 (kb/ 天 )

050

100150200250300350400

Traditional AV Cloud Client传统防病毒技术 云安全客户端架构

降低带宽消耗 较低的内存使用

文件信誉技术的优势

公司网络互联网

本地扫描服务器

查询文件签名即时响应

文件信誉

在云端进行不断的实时更新

查询文件签名即时响应

文件信誉技术的优势零时间的防护部署

IMSA

Internet

End-user

End-user

Spammer Mail Server

邮件信誉技术的应用

DNS Query

Mail Abuse Prevention SystemRBL+ Updated per investigation250 million entriesRBL, OPS, RSS, DULAnd Dynamic Reputation

ReputationDNS

Server

SPAM is rejected

Responsewith Rating

Remaining emails are

scanned with TMASE

优势：在垃圾邮件达到网关前隔离节省网络资源

EthernetInternetProtocol

(IP)

TransportLayer

(TCP/UDP)

Email (SMTP, POP3), Web (HTTP/S),File Transfers (FTP)

IM, P2P

分析 OSI 2-7 层协议中的应用层信息

关联分析技术应用 --TDS 分析 OSI 2-7 层协议中的信息

HTTP

SMTP

IRC

P2P

80+ 其他协议

零时差攻击未知安全问题

肉鸡

TDS 分析超过 80 种网络协议和应用

DNSDNS

DCE-RPCDCE-RPCTelnetTelnet

RDPRDP

SSHSSH

HTTPHTTP AIMAIMIRCIRCFTPFTP

TFTPTFTP

SMBSMB

SMTPSMTP

GmailGmail

Bit TorrentBit Torrent

IRCIRCMSNMSN

ICQICQ

Google TalkGoogle Talk

SlingboxSlingbox

iTunesiTunes

Windows MediaWindows Media

eMuleeMule

eDonkeyeDonkey

Trend-Labs Threat Intelligence Network

ActiveUpdate

DNS-IP Reputation

Phishing Filter

App ReputationHTTP-URL Reputation

Switch

威胁报告

Link-up

镜像口威胁发现系统 TDA

Correlate

7×24 小时监控中心

服务支持

TDS 工作原理

云安全多层次终端安全解决方案网络

文件 电子邮件

网络防毒墙OfficeScan 10

威胁发现设备 TDA

Web 安全网关 IWSA

主要内容云计算时代的来临各厂商云安全解析趋势科技云安全详解云安全防护效果评测

•35

NSS Labs 防恶意程序测试概述在 2009 年 9 月， NSS Labs 发布了产业界最接近真实世界的防毒 /终端保护套装的测试报告。 NSS Labs的实况测试在最接近用户真实环境的测试环境中测试，使用的是最新的威胁；而不是在封闭的测试环境中，使用陈旧的或者存在问题的样本做测试。这项测试的结果是根据为期　 17 天的　 24 小时不间断测试所得出的实证数据，在此期间，每　 8 小时就会完成一轮　 59 项独立测试，每一轮都会加入新的恶意程序　 URL。每个受测产品在测试开始之前都会先更新到最新版本，并且在整个测试过程中被允许访问互联网。

来源 : NSS Labs Consumer Report, September 2009

• Classification 04/22/23

目标

链接和附件

针对两个防护层做单独测试

互联网 可移动介质

文件传输•威胁•威胁•威胁

邮件 网站

威胁防护网络有多个防护层需要被测试简单来说，需要考虑两个防护层：

• 感染防护层在目标计算机上拦截传输及执行恶意程序• 暴露防护层拦截访问带毒来源• 其他防护层可以被协调进入测试

垃圾邮件

执行时防护基于文件内容（代码、哈希值）的检查

下载时防护基于来源（ URL 、域名）的检查

NSS labs 测试过程1. 恶意 URL 筛选 从最初 17,000 多个唯一的可疑新网站列表中，预先筛选 4,134 个恶意

URL 用于测试中，这些 URL 在开始测试时已经可以访问。浏览器至少在一次运行中成功访问了它们。删除了不满足验证标准的样例，其中包括那些包含无效样例的网站。在最初的 4,134 个 URL 中，最终有 3,243 个 URL 通过了后期验证过程，并保留在最终的结果中。

2. URL 动态更新 每天平均有 324 个新验证的 URL 添加到测试集中。添加的数量随当日犯罪活动的活跃程度有所变化。 3. 测试过程 本报告中的数据是在 17 天的测试期间（ 2009 年 7 月 7 日到 7 月 24 日）得到的。所有测试均在德克萨斯州奥斯汀市的实验室中进行的。测试过程中，定期监视网络连接情况，以确保浏览器可以访问测试的实时 Internet 网站以及云端 AV 信誉服务。在本次研究过程中，对每个测试的产品进行了 59 次单独的测试（每隔 8 小时一次），中间没有中断。

测试拓扑

主动和执行防护数据统计

阻止新恶意 URL 的响应时间 为了保护大多数用户，信誉系统必须快速而准确。下表回答了这样一个问题：平均要经过多长时间，才会将受访的恶意网站添加到阻止列表？

评测数据总览

客户要如何取得 NSS Labs 的测试报告 ?

趋势科技已购得了这两份报告，可免费使用。根据购买的合约， NSS Labs也会在他们的网站上提供报告的下载使用，可透过以下的 URL 来取得。消费者产品测试报告

Consumer Report (TIS 2009):http://nsslabs.com/reprints/9b/EndpointProtection-3Q2009

企业产品测试报告Corporate Report (OfficeScan 10):

http://nsslabs.com/reprints/9b/EndpointProtection-3Q2009

50亿 　—　 每日查询量

1200G　　—　 每日分析的资料量

5,000万—　 每月新增的 IP 地址 /URL

2 亿 5,000万—每年分析的恶意程序样本

趋势科技云安全平台数据

4 年—　 研发时间

1,200位— TrendLab 专职安全专家

7X24 —　全球 5 个数据中心

50,000台—　全球服务器

1,500万美金—　 每年维护费用约

4 亿多美金—　 投入成本

趋势科技云安全投入成本

THANK YOU!

http://www.trendmicro.com

46