金山網(wǎng)絡(luò)安全專家關(guān)成雷在接受光明網(wǎng)IT頻道專訪時(shí)候表示,目前,國內(nèi)密碼竊取木馬和高級(jí)持續(xù)威脅(Advanced Persistent Threat,簡(jiǎn)寫APT)趨勢(shì)有增無減,而且其攻擊觸角已延伸至政府、制造和商業(yè)基礎(chǔ)設(shè)施目標(biāo)。
安全防范面臨新挑戰(zhàn),白名單改變安全判定法則
中國國家互聯(lián)網(wǎng)應(yīng)急中心最新報(bào)告顯示,在2012年,7.3萬個(gè)境外IP地址作為木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器,參與控制中國境內(nèi)1400余萬臺(tái)主機(jī),3.2萬個(gè)IP通過植入后門對(duì)中國境內(nèi)近3.8萬個(gè)網(wǎng)站實(shí)施遠(yuǎn)程控制。其中最有名要數(shù)攻擊伊朗核設(shè)施的震網(wǎng)病毒Stuxnet,這一事件在全球掀起巨大波瀾。
關(guān)成雷認(rèn)為,高級(jí)持續(xù)威脅能夠輕易避開目前傳統(tǒng)特征檢測(cè)的殺毒軟件。究其原因是因?yàn)閭鹘y(tǒng)殺毒軟件基于黑文件檢測(cè),目前的高級(jí)持續(xù)威脅則可以有效避開這一防護(hù)措施。
據(jù)了解,現(xiàn)在計(jì)算機(jī)病毒的數(shù)量在2008年后開始呈現(xiàn)幾何方式的增長(zhǎng),安全廠商傳統(tǒng)的分析能力無法應(yīng)對(duì)每年千萬級(jí)以上病毒處理能力,尤其是基于黑文件的檢測(cè)手法,無論是基于問題特征的還是基于行為規(guī)則的,都面臨著同樣的問題。
關(guān)成雷介紹道,如今傳統(tǒng)的殺毒方式已經(jīng)無法適應(yīng)新的高級(jí)持續(xù)威脅的攻擊方式,為了應(yīng)對(duì)病毒超常規(guī)的增長(zhǎng)數(shù)量,殺毒軟件廠商發(fā)明了白名單方式,以有效應(yīng)對(duì)的病毒泛濫和高級(jí)持續(xù)威脅的攻擊手段。
白名單方式誕生,迫使殺毒軟件廠商改變目前普遍應(yīng)用黑名單傳統(tǒng)防范措施。據(jù)了解,金山網(wǎng)絡(luò)是目前國內(nèi)較早采用白名單方式殺毒軟件廠商之一。
白名單將顛覆安全行業(yè),更加貼近用戶
關(guān)成雷認(rèn)為,白名單方式將徹底顛覆傳統(tǒng)安全防護(hù)行業(yè)。基于白名單方式可以明顯區(qū)隔病毒,其中包括網(wǎng)址、下載工具、優(yōu)盤、共享網(wǎng)絡(luò)等容易被入侵的薄弱環(huán)節(jié)。白名單檢測(cè)所有入口也能有效防止高級(jí)持續(xù)威脅。
關(guān)成雷解釋稱,白名單方式更適合政府、電信、金融和軍隊(duì)等領(lǐng)域,其可以有效阻止未知威脅。舉個(gè)例子,傳統(tǒng)的黑名單制度還是方程式來解決問題,現(xiàn)在白名單是基于微積分來阻斷安全問題。
據(jù)了解,白名單方式對(duì)一些政府、軍隊(duì)、大型軍工企業(yè)等組織以及ATM等專業(yè)機(jī)器來說,可以實(shí)現(xiàn)環(huán)境鎖定,專機(jī)專用。例如,給這些機(jī)器設(shè)定可運(yùn)行的程序名單,所有不在該名單上的程序與文件,一概不允許啟動(dòng)和運(yùn)行,這就可以極度降低上述專用機(jī)器可能面臨的安全威脅。
當(dāng)光明網(wǎng)IT頻道提出,在用戶使用了白名單后,是否會(huì)遇到正常使用被無辜阻止。關(guān)成雷表示,金山一直在監(jiān)控互聯(lián)網(wǎng)上的所有應(yīng)用程序,通過智能化的方法分析鑒定用戶最常使用的網(wǎng)址與應(yīng)用程,然后形成了我們的基礎(chǔ)白名單。金山目前的白名單庫中存在的文件是億萬級(jí)的;此外,我們還有針對(duì)不同行業(yè)、不同用戶的專用白名單。這兩個(gè)庫,可以保證用戶體驗(yàn)。
