云时代安全防护:三步阻止云端恶意软件

本文讲的是<b>云时代安全防护:三步阻止云端恶意软件，</b>据最新的Palo Alto应用使用和风险年中报告透露，企业为带宽支付的每一块钱里，大概有三分之一是用来支持流媒体或文件共享应用的，而这两个大项中有近250个应用是专供个人使用的。

　　在这项调查中，Palo Alto对全球2036家企业2011年11月到2012年5月间原始应用的流量进行了评估，他们发现相比2011年4月到11月的调查，端到端的文件共享和视频流媒体应用的带宽消耗增长了300%到700%。

　　一方面，流视频利用社交网络的信任关系带来了间接的安全威胁。一段视频可能是诱惑用户进行点击操作或下载恶意软件的诱饵。另一方面，病毒可能内植于可以下载的媒体播放器或是视频文件中。

<b>　　1、重新控制和监控</b>

　　可视性是管理威胁的关键，特别是对于能轻易绕过防火墙的应用而言。这些应用越过端口，使用标准协议，如SSL和SSH，潜入80端口或是使用非标准端口。

　　在最近的应用使用和风险报告中，Palo Alto发现只有23%的应用使用80端口，而这些账号占用的带宽仅为35%。因此，只关注80端口只能保护好前门，后门的安全成了隐患。

　　意识到这一点后，Palo Alto的下一代防火墙便要对所有流量使用分类技术，而不管数据的传输端口，要对每次会话和连接的流量进行解码。“你需要看看流量中夹带的数据，不要走捷径。”Williamson说。“现在，我们可以看到流量中的异常情况。这并不是禁止员工使用Facebook或即时通讯，而是要知道传输的数据究竟是什么。对堆栈的全面分析应该成为例行公事而不是偶尔为之。”

<b>　　2、控制攻击范围</b>

　　Williamson说，“获得持续安全保护的方式是创建基于逻辑的周边设备。不论你身处何处，你仍然可以连接到网络。这就是说通过物理周边的防火墙选择传输路径或是通过云中的防火墙来提供相同的防火墙，IPS，漏洞与恶意软件检测功能。”

　　Williamson还提议限制端到端应用以及认证代理和远程桌面的使用。代理常被僵尸网络作为发送恶意软件的工具，而远程桌面应用通常会向网络罪犯提供通往企业系统的远程访问链接。

　　Williamson表示，“企业必须了解底线是什么，人们需要的是什么以及如何创建有效的策略，比如，你可以为用户制定社交媒体使用规则，但是要强调有风险的行为。你可以通过特性来显示社交媒体的使用，如在工作场所设置为只读。”

<b>　　3、找到并阻止威胁</b>

　　Palo Alto防火墙方案在应用级别对流量进行分类。Williamson说，“当我们用尽所有工具都无法分辨流量的类别时，要么它是恶意软件，要么就是用自定义代码编写的应用，这对于基准线的设置也非常有价值，因为我们还要看到恶意软件如何发送数据，最常见的情况是——它发送不明数据和虚假的http地址。如果你可以通过识别应用和指出不明应用来减少不明数据流量，那么恶意软件可藏匿的地方也会相应减少。”

　　另一个挑选恶意软件的方法是看对话消耗的带宽。普通应用占用的带宽不会很大。Williamson说，“虽然带宽骤增不一定是剑指恶意软件，但至少说明情况有些可疑，因为恶意软件通常避免使用过长连接，最终需要创建大量会话。”

　　另一个挑战是大量通过Web传播的恶意软件来自形态各异的客户端，版本的独特性避开了基于签名的检测。基于云的WildFire方案可以转发不明文件，保护云引擎或是沙盒。公司可以观察到可疑恶意软件如何对虚拟目标做出响应，再寻找可以揭露其是恶意软件的70多种恶意行为。

作者：vivian/译

来源：it168网站

原文标题：云时代安全防护:三步阻止云端恶意软件