从引擎革命到木桶体系 互联网安全将迎新时代
今天,信息安全从原来的小众领域已经变成大众话题,信息安全也从纯软件领域衍生到了硬件领域。随着物联网的发展,万物互联的时代已经来临,IPV6让网络化成为所有设备的基本属性、而安全则象空气一样无所不在,成为整个信息行业需要解决的首要命题。
当1990年钱学森提出复杂巨系统理论时,所有人只是意识到复杂巨系统的不可统计性,但是网络的发展已然大大超出我们的想像。企业试图通过封闭边界来闭环自己的网络,形成孤岛式的安全,然而智能设备的发展、移动互联与无线设备的普及使得企业边界不断被突破,无边界网络已经成为信息世界的基本形态。
互联网本来与安全毫不相干,无论互联网企业还是互联网模式都没有把安全放在眼里,安全只是一块人人都知道但不想耕耘的土地,然而病毒在2007 年爆发式的增长,600万样本的增量,即将把安全带入一个无底深渊时,基于互联网思想的云安全则适时拯救了整个安全,也让互联网与安全两个判若水火的领域相互成为对方的基本属性。
互联网改变了病毒发展路
安全领域从一开始就被不同的文化细分成两个世界:病毒世界和黑客世界。虽然以UNIX操作系统核心技术为主的黑客活动最早出现在1972年,但是黑客技术的发展却是十分小众的。黑客攻击往往是个人行为,需要依靠高超的技术和不断渗透的耐心,找到系统弱点,然后一击命中,这种过程漫长而且无法大量复制,因此很长一段时间,黑客就象游侠一样,曲高而和寡,一直是黑暗世界的非主流。
计算机病毒则不一样,1949年计算机之父冯·诺依曼在《复杂自动机组织论》定义了计算机病毒的概念,即一种能够实际复制自身的自动机,1960年贝尔实验室的磁芯大战则在实验室环境下验证了计算机病毒的存在。就象各种病毒灾难片那样,1985年,一对巴基斯坦兄弟打开了计算机病毒的潘多拉盒子,第一个计算机病毒大脑诞生,从此计算机病毒开始正式登上舞台,上演了轰轰烈烈的近三十年的魔道之争的故事。
1989年,小球病毒正式登陆中国,成为中国第一个出现的病毒;DIRII病毒,在第一个击穿硬件防病毒卡的同时也毁掉了这个产业,却从此奠定了反病毒产品的软件形态,一直延续至今。CIH,让我们首次见识了破坏硬件的病毒,也打破了保护模式不可攻破的神话,并且掀起了WINDOWS病毒的风潮,从此病毒进入高速发展期。宏病毒、脚本病毒、邮件病毒、网络病毒、复合病毒等各种高级形态的病毒不断产生,病毒技术也不断进步。扇区感染、文件感染、内存感染、多平台感染,病毒通过不断变化的技术繁衍着自己,到2005年,全球病毒样本已达40万种,而后,随着互联网爆炸式的发展,病毒也开始以一种网络化的速度疯狂发展,以灰鸽子、熊猫烧香为代表的网络病毒开始泛滥,正式揭开了病毒网络化发展的序幕,截止到2008年,全球病毒样本已经达到8000万种,当时这个数字已经是天文数字,然而到了2012年,全球病毒样本已经达到60亿个。至此以后,病毒不再以年为单位来计算数量,而是以天为单位,2013年,平均每天有515万个恶意样本诞生,而到了2014年上半年,平均每天新增的恶意程序样本超过了850万个。
杀毒软件与病毒无休止的对抗
行业的发展是一个在不断试错中梳理的过程,安全行业里没有绝对的规则,也没有守恒的定律,唯一不变的就是对抗,病毒和黑客的发展是不断与操作系统对抗的结果,而安全的发展则是不断与病毒和黑客对抗的结果。
病毒出现了,就出现了杀毒软件,由于病毒个数较少,杀毒软件就是多个病毒清除指令的集合。但随着病毒数量的增多,为了提高杀毒效率,病毒通用特征库和病毒引擎的概念就出现了;为了对付感染扇区的病毒,防毒卡就出现了;为了对付内存驻留的病毒,内存扫描技术就出现了;由于病毒要通过设置标志位来避免重复感染,做到更好地隐藏自己,因此通过主动设置标志位的病毒免疫技术就出现了。
当WINDOWS病毒泛滥时,WINDOWS版本的安全软件开始出现。当大文件出现时,基于程序格式判断的预处理技术与基于入口点特征码技术就成为了安全技术的标准。当病毒除了传播还产生大量其它伴随文件时,后处理体系就出现了;随着用户的参与,配置体系出现了;如今一个商用的安全软件都遵循主程序、引擎、特征库、配置分离的结构,没有谁定标准,但是大家不约而同地一致,因为要想真正有效地与病毒对抗,这是最好的结构。
感染式病毒大量的出现产生了内存监控技术;文件病毒的出现产生了文件监控技术;随着不同种类病毒的出现,病毒监控体系也形成了如内存监控、文件监控、邮件监控、病毒防火墙、主动防御等一个庞大的体系。而此时,面对黑客的大量攻击,也产生了IDS、IPS等网络防护技术。
病毒数量的进一步激增,对“捕获—分析—升级”的传统三段式安全体系产生了巨大的冲击,于是未知病毒识别技术产生了,从启发式、反病毒虚拟机、再到360 的QVM,未知病毒技术也经历了一个并不短的过程。启发式反病毒技术是借鉴了病毒特征库的思想,将病毒的行为也形成一个经典指令集的数据库,可以识别一些采用类似指令编码的未捕获的病毒。反病毒虚拟机则是虚拟了一个CPU和内存,并且模拟了一套X86的指令集和WINDOWS API指令集,将文件放在这个虚拟的CPU和内存中执行,不用真实运行,就可以判断该文件是否是病毒。
QVM则是未知病毒识别领域的又一个突破,它将人工智能技术应用于病毒识别的过程当中,首先通过对病毒样本的分析和分类形成样本向量和向量机,然后建立一个机器学习的决策机模型,利用决策树和向量机,对大量样本进行学习,从而识别恶意程序或非恶意程序。随着学习样本数量的增加,再配合白名单,就能够在识别未知恶意程序的同时,降低误报,使未知病毒识别技术真正商用。
云安全是互联网对安全技术的一次颠覆
几十亿样本的庞大规模和每天几十万种病毒产生的速度,彻底击穿了传统的样本分析体系,无论多么有实力的安全公司也无法提供与病毒数量相匹配的样本分析人员,安全领域即将迎来一次真正的危机。这时云计算出现了,全新的思维模式滋生了云安全体系,而云安全体系则拯救了整个安全。
云安全体系虽然来到世上的时间并不长,但是也经历了几个发展阶段。最初的云安全体系是以网络爬虫为基础,遍历互联网内容,用文件信誉、邮件信誉和URL信誉来对整个信息世界进行安全判定。接下来云安全体系变成了以软件客户端收集用户电脑上的可疑样本,上报到云端样本分析系统进行自动分析,然后将分析的结果形成特征库再下放到客户端的一个基于个人PC与云端PC的闭合的样本收集和分析体系,取之于民用之于民。如今的云安全体系在用户样本上报和样本分析的闭环系统中又加入了云查杀引擎的概念,所有特征库不再下放,而是直接存在云端,通过云端鉴定的方式来进行信息的安全识别。
云安全是一个颠覆式创新的技术,它的出现,不但拯救了整个安全,也拯救了整个互联网。在云安全体系出现之前,所有病毒的识别都是基于对文件格式的解析,通过反病毒引擎和反病毒特征码协同工作来对样本进行安全判定,样本的分析、特征库的积累、引擎的开发,在十几年的发展过程中已经形成很高的壁垒,所有的互联网公司都无法在短时间内叩开安全的大门,而此时后进者开始尝试以文件哈希的方法来代替传统的特征码技术。文件哈希技术就象指纹一样可以唯一标识样本,但是只要目标文件改动一个字节,也会导致文件的哈希值产生极大的变动,这会使哈希特征库在短时间迅速增大,最终使用户电脑无法承受,因此在传统安全领域,这种技术虽然可以避开传统反病毒引擎技术和特征码的积累,但是还是相当落后的。
云安全的出现很好地解决了两个矛盾,一是解决了无限增长的特征库与用户电脑资源不增长的矛盾,把特征库放在云端,极大地降低了本地资源占用。另一个是解决了传统特征码技术与自动化分析之间的矛盾。传统特征码技术基于人工分析,可以一条特征匹配多条样本,一条优质的特征码往往可以匹配上百万的样本,这无疑极大地降低了特征库增长的速度,但是这种技术是基于文件的个体分析,无法让机器自动化处理。而哈希技术却由于不依赖于样本自身的结构,可以自动化处理,曾被认为是一种落后的技术,但在云安全体系里,却成了唯一的样本判定技术,而云鉴定也不再依赖样本的上传,只要上传十几个字节的哈希值就能对文件进行快速鉴定,拥有极高的效率。
360总裁齐向东曾经说过:云安全以一种网络化的分析手段来对抗网络化的威胁产生,形成了一个正向的生态链,360正是依靠这样的一个体系,获得了60亿的样本,成为全球规模最大的云安全系统。虽然病毒样本会不断产生,但是随着云安全规模的不断扩大,病毒会以更快的速度消亡。
“木桶”体系堵住安全最短板
随着网络的无边界化和数据爆炸式的增长,网络安全问题也越来越严峻。同时,“棱镜门”事件揭露了网络数据被监听的事实,暴露出国家安全、网络安全的严峻形势。无论数据被恶意代码破坏,还是被黑客监听,最终都使安全问题回归到了安全体系如何建设这样的根本命题上来。
安全体系的建议也经历了几个阶段,早期安全体系建设的核心思想是基于安全策略(Policy)、防护(Protection)、检测(Detection)和响应(Response)的P2DR体系,该体系的好处是基于风险评估理论,将安全看做一个动态的整体,通过策略与响应来使得安全问题形成闭环,但是该安全体系并没有对安全威胁的本质进行分析,是安全体系的初级阶段产物。
随着安全威胁的不断发展和对安全理解的不断加深,人们开始对安全本质进行思考,出现了基于木桶原理的安全防护体系。木桶原理简单的说就是整个系统的安全系数取决于最弱一环,因此整个安全体系的建设就是寻找整个网络的所有安全边界,然后将这些安全边界进行防护。传统的安全防护思想就是基于木桶理论为用户构建一个完整的线式防御体系,但是攻击却是点式的,任何一点被攻陷,整个安全体系就会崩溃,因此基于木桶理论的基础,安全体系建设的成本将会极其昂贵。
事实上,木桶理论虽然希望安全形成一个完整的体系,但是由于终端安全和边界安全厂商的对立,这两种安全事实上也处于割裂状态,并没有形成一个完整的整体。 360提出的云+端+边界的安全模型,则很好地解决了这一安全被割裂的问题。整个体系包括云安全平台、边界安全和终端安全三个关键部分。云安全平台是指基于云计算技术构建的安全威胁捕获和分析平台,分为公有云和私有云两部分。在互联网环境下,使用公有云,对于隔离网环境,则使用私有云。边界安全是指基于网络边界的威胁发现技术。终端安全是指基于云安全技术的终端的安全管理与防护系统。三者互相协同,为企业环境建立一个生态的安全系统。