金山網絡安全專家關成雷在接受光明網IT頻道專訪時候表示,目前,國內密碼竊取木馬和高級持續威脅(Advanced Persistent Threat,簡寫APT)趨勢有增無減,而且其攻擊觸角已延伸至政府、制造和商業基礎設施目標。
安全防范面臨新挑戰,白名單改變安全判定法則
中國國家互聯網應急中心最新報告顯示,在2012年,7.3萬個境外IP地址作為木馬或僵尸網絡控制服務器,參與控制中國境內1400余萬臺主機,3.2萬個IP通過植入后門對中國境內近3.8萬個網站實施遠程控制。其中最有名要數攻擊伊朗核設施的震網病毒Stuxnet,這一事件在全球掀起巨大波瀾。
關成雷認為,高級持續威脅能夠輕易避開目前傳統特征檢測的殺毒軟件。究其原因是因為傳統殺毒軟件基于黑文件檢測,目前的高級持續威脅則可以有效避開這一防護措施。
據了解,現在計算機病毒的數量在2008年后開始呈現幾何方式的增長,安全廠商傳統的分析能力無法應對每年千萬級以上病毒處理能力,尤其是基于黑文件的檢測手法,無論是基于問題特征的還是基于行為規則的,都面臨著同樣的問題。
關成雷介紹道,如今傳統的殺毒方式已經無法適應新的高級持續威脅的攻擊方式,為了應對病毒超常規的增長數量,殺毒軟件廠商發明了白名單方式,以有效應對的病毒泛濫和高級持續威脅的攻擊手段。
白名單方式誕生,迫使殺毒軟件廠商改變目前普遍應用黑名單傳統防范措施。據了解,金山網絡是目前國內較早采用白名單方式殺毒軟件廠商之一。
白名單將顛覆安全行業,更加貼近用戶
關成雷認為,白名單方式將徹底顛覆傳統安全防護行業。基于白名單方式可以明顯區隔病毒,其中包括網址、下載工具、優盤、共享網絡等容易被入侵的薄弱環節。白名單檢測所有入口也能有效防止高級持續威脅。
關成雷解釋稱,白名單方式更適合政府、電信、金融和軍隊等領域,其可以有效阻止未知威脅。舉個例子,傳統的黑名單制度還是方程式來解決問題,現在白名單是基于微積分來阻斷安全問題。
據了解,白名單方式對一些政府、軍隊、大型軍工企業等組織以及ATM等專業機器來說,可以實現環境鎖定,專機專用。例如,給這些機器設定可運行的程序名單,所有不在該名單上的程序與文件,一概不允許啟動和運行,這就可以極度降低上述專用機器可能面臨的安全威脅。
當光明網IT頻道提出,在用戶使用了白名單后,是否會遇到正常使用被無辜阻止。關成雷表示,金山一直在監控互聯網上的所有應用程序,通過智能化的方法分析鑒定用戶最常使用的網址與應用程,然后形成了我們的基礎白名單。金山目前的白名單庫中存在的文件是億萬級的;此外,我們還有針對不同行業、不同用戶的專用白名單。這兩個庫,可以保證用戶體驗。
