如果雲知道
雲端安全防護技術
文／圖 陳啟川

雲端運算(cloud computing)似乎繼綠色節能與虛擬化後，成為新一波熱門的IT議題，對未 能搭上前一波綠色節能與虛擬化議題的資安廠商來說，這次找到一個能有所發揮的空間，提出結合網路雲端的安全防護；但吊詭的是，網路本身就是企業安全威脅主要的來源之一，所以雲端安全技術對企業或個人來說究竟有什麼樣的意義？請看本專題的介紹。

---

不 管是「雲端安全」還是「Secure in the cloud」，近來不少資安廠商紛紛提出自家關於雲端的安全防護技術，加上目前似乎並沒有一個大家可接受的公開定義，讓雲端安全成為一個有點各說各話的行銷名詞。

如果要說雲端安全是一種透過網路收集大量資料，以加速對惡意威脅（不管是惡意程式、網頁或郵件）回應的話，早在網頁過濾的機制上就應用了類似的防護技術。網頁安全過濾廠商Websense技術經理林秉忠認為，雲端安全運作架構簡單的說就是一個client-server的架構，server端是廠商擁有強大運算能力的server farm(資料運算中心)，其資料中心會將收集來的網址資料進行分析，看是否有木馬等惡意程 式的存在，並對這些網頁來進行分類；client端則是一個簡單的使用者，就這點來看雲端安全防護並不是一個新的概念，但「in the cloud」則是一個近來熱門的行銷名詞。


為何需要雲端安全技術？
任何一種安全防禦技術的出現必其來有自，雲端安全也是，大力提倡雲端防護觀念的趨勢科技早在四年前便已開始建置發展相關的雲端安全計劃，究竟是什麼緣故讓趨勢科技「不得已」(此為趨勢科技的說法)要傾力發展雲端安全技術？

趨勢科技技術行銷部台灣區技術顧問戴燊提到，趨勢科技早在進行郵件過濾時便發現，因為垃圾郵件相較病毒的數量更為龐大、變化又快，以傳統病毒碼擷取特徵的方式來處理垃圾郵件成效不彰，所以需要重新設計一套分析架構，去收集大量的樣本並進行資料探戡以找出有用資訊，於是便想到利用運端運算的架構來快速分析大量的資料，其目的主要在解決病毒防疫空窗期與防毒軟體日益肥大的問題。


病毒防疫空窗期
如圖1所示的病毒防護運作流程可分為4個階段：t0階段是病毒開始出現，t1則是指防毒廠商發現這些病毒樣本，t2是製作病毒碼，t3是將病毒碼部署到用戶端，直到t4用戶端始受到安全防護。由於病毒碼的製作完成後還需要一段品質控管的QA程序，以測試是否能在各個不同平台上順利運作，且不會發生檔案誤刪的情形，所以等到病毒碼部署到用戶發揮防護作用的時間通常需要1~3天的時間，而趨勢的雲端安全技術會在使用者瀏覽網頁或程式時，到遠端詢問後端資料中心並做即時的回覆，以發揮立即回應的效果。

圖1=病毒防護運作流程。(資料提供：McAfee)


防毒軟體日益肥大
雲端安全技術解決的另一個問題是防毒軟體日益肥大而造成效能低落的缺點，藉由資安廠商後端強大的網雲運算能力來快速分析惡意程式樣本，並配合病毒碼的塑身，減少用戶端的資源消耗，以達到防毒軟體輕量化的目的。


一個雲端，各自表述
前面已說到不少的防毒軟體廠商都宣稱自己有雲端安全的技術，但若要細究各家做法又各有不同，容易給人似是而非的感覺。不過我們在此並不試圖去為「雲端安全」這個名詞下個定義，所以以下將就目前看到的雲端安全內容做一個概括性的介紹。

因為雲端安全技術的目的在對現今變種快速的各式威脅來做出即時回應，所以透過網路來協助廠商進行大量且即時的樣本收集，再將樣本資料經由網路送到後端資料中心，資料中心會對這些資料(網頁來源、IP、惡意程式、郵件等)進行關聯性的分析，像某特定IP是否有人註冊？存在使用多久？該IP之前是否有發送垃圾郵件的記錄等；或是對此惡意程式進行各種的分析掃描，並將分析的結果放入資料庫當中做為判斷的依據。由於這些資料探戡與行為分析需要耗用大量的運算資源，所以像趨勢科技便藉由網路雲端運算的強大運算能力來處理這些資料，而使用者也可透過網路去詢問瀏覽網頁或特定程式是否安全？以取得即時的安全防護。因為這些過程皆需以網路為媒介，只要有應用到部分相關網路技術的廠商都會宣稱自己有雲端安全技術，才會造成一個雲端，各自表述的情況。


雲瑞裡賣什麼膏藥？
到底資安廠商是如何成雲佈雨的？以下便以網頁、郵件、惡意程式來介紹運瑞安全的運作方式。


網頁過濾
以網頁過濾而言，安全廠商平常就會透過用戶回報、機器自動搜尋的機制來收集並分析各地的網址名單，並將分析結果儲存於網頁資料庫中以做日後的查詢，當用戶端瀏覽一個網頁時，安全軟體會將該網址送入資料庫進行比對。這個黑名單資料庫的所在位置可能是在企業本地端的網路安全閘道裝置中，或是直接放在網路上供使用者查詢，如果是黑名單中的網址則予以封鎖。

但是當資料庫中並無該網址資料時又該如何？以Websense而言，除了黑名單比對外，還會在客戶的Security Gateway裝置中放入行為分析機制，先對該網頁進行一些必要的安全檢查，之後再將該網址送回Websense的Lab中做更進一步的分析。而趨勢科技則會將該網址送到後端的資料中心以雲端運算立即檢查並回覆該網址是否安全，並將結果存入資料庫中，若有人再問相同網址便能立即回覆。而McAfee的SiteAdvisor網域信譽評等機制則會將此網址標註為未檢查，並將此網址列進排程檢查，而用戶端則視其安全設定看是否准予瀏覽未檢查的網頁。


惡意程式與郵件檢查
如果是惡意程式的話，雲端安全機制會將可疑檔案的MD5的Checksum值上傳到廠商的資料庫中去進行比對與分析，如果發現該程式為惡意軟體的話就會禁止執行該檔案，因為不用像病毒碼的製作需要再一道QA的檢查程序，使線上查詢比對的雲端安全機制能有效的減少病毒碼的防疫空窗時間。在郵件的檢查上則可分為兩塊，發信人IP、郵件地址可由網路即時查詢信譽評等，而郵件內容與附件檔案的部分則還是以特徵碼為主的掃描引擎來進行比對。


雲端安全常見Q&A
在介紹完雲端安全機制後，以下我們整埋出一些關於雲端安全技術的常見Q&A：


Q1：網路頻寬耗用與回應時間？
A：雲端安全技術因為都是透過網路來查詢網址或惡意程式，所以在企業網路頻寬耗用與回應時間上，即所謂效能的表現究竟如何？因為惡意程式的查詢並不是將整個程式上傳，而只是將該檔案的MD5值送出比對，所以如同網址的DNS查詢一般，並不會耗用太大的頻寬，而回應時間約在百萬分之一秒。不過對此有些廠商則採保留的意見，因為目前並未看到明確的數字資料來證明在企業實際環境應用上是否真的不會對企業的網路效能造成明顯的影響。


Q2：機密資料外洩疑慮？
A：有些人會想到病毒樣本的上傳是否有機密或個人隱私外洩的疑慮。對於這點，McAfee技術經理沈志明表示，由於是將檔案以MD5的數值上傳，不但不會耗用頻寬，且能確認可疑檔案與惡意軟體是否一致，而MD5的不可逆性讓廠商即使有了MD5值也無法還原回原始檔案，所以不會有隱私權的問題。再 者，一般安全軟體中對於樣本回報機制通常會先詢問使用者是否願意上傳回報，用戶也可以選擇不回報，當然這會影響到資安廠商對樣本來源的收集。而如果像從網頁所帶來的惡意程式，趨勢科技會根據使用者回報這個可疑程式所帶的網址去收集分析這個可疑程式，所以也會減少資料外洩與耗用頻寬的疑慮。


Q3：行為模式偵測技術沒有作用？
A：雲端安全技術主要在解決病毒碼未能即時發現新興攻擊的窘況，但許多安全軟體都具備行為式的偵測技術或所謂的啟發式分析引擎來抵擋這些未知的攻擊威脅，難道這些行為分析技術無法發揮作用？戴燊提及自己也曾問內部技術人員如何提高產品的偵測率？內部技術人員認為單就提高產品的偵測率不是問題，困難點在於這些啟發式分析技術將需要耗用大量CPU運算資源，讓使用者的電腦無法負荷，所以才將大部分的行為分析交由後端的資料中心來完成，以減少使用者的負擔。像Websense在客戶端的Security Gateway閘道裝置中所放置的也是精簡版的行為分析引擎，做為初步檢測，更進一步的深入分析也是送回後端的資料中心進行。

賽門鐵克資深技術顧問莊添發則提出啟發式防禦機制的另一個問題。因為這些啟發式分析技術會對可疑程式的行為進行評分，像視窗大小是否為0？是不是有說明檔？會不會更改機碼？等多項行為進行評分加總，一定分數之下為惡意程式，一定分數之上為正常程式，但位於中間分數的模糊地帶就無法進行判別，所以對於惡意威脅還是得藉由多重的縱深防禦機制來保護用戶安全。


Q4：採用雲端安全技術是否需要修改企業的安全防禦架構？
A：對企業來說，目前雲瑞安全技術並不需要更改任何的安全部署架構，就像DNS的查詢一樣，只是多了一個網路查詢與回應的部驟，其他像UTM這類整合式安全設備一樣不會消失，因為企業仍需要閘道設備來做第一步的檢查來降低風險。


其他廠商的回應
當然並非所有防毒廠商都會擁抱雲端安全技術，據莊添發表示賽門鐵克目前並未有明確訊息計劃發展相關技術。針對病毒碼更新速度太慢的問題，賽門鐵克是藉由後端超級電腦來執行自動化的病毒定義檔處理程序，以加快病毒更新檔的速度到每30分到1小時就釋出新的病毒碼。另外再搭配白名單比較、主機型的入侵防禦系統與裝置控管機制，像是停止USB裝置自動執行功能，或禁止在USB裝置中的執行檔執行來加強防護。

銷售NOD32產品的台灣二版簡朝璋則提到會以啟發式偵測技術、虛擬環境與病毒碼比對做為其產品主要的防禦技術，並以程式優化減少資源耗用的方式來解決啟發式偵測耗用資源的問題。


雲端安全技術的影響？
就目前各家雲端技術來看，對現有企業的資安架構不會有太大的影響，它比較像是一個防毒軟體廠商用來做為病毒偵測的補強技術，而且對於一些無法連接網路的封閉環境仍需要仰賴病毒碼比對等傳統機制。所以雲瑞安全技術對廠商而言的意義較大，因為後端的架構需要做些調整，但對用者而言，重點在於這樣的技術是否真能解決面臨的安全威脅問題及提高產品的偵測率。