当涉及到个人和商业关系时,好的名声会打开一扇门,而坏名声会把它们关上。企业安全也是如此。
在过去的几年里,电子邮件和网络安全公司已经相当熟练地使用行为数据,这些数据是通过大规模的互联网流量监控网络收集的,用来获取域名、IP地址、消息和url的声誉分数。然后,电子邮件和Web安全设备使用声誉分数来允许或禁止连接——而不必深入研究内容。
如今,数十家反垃圾邮件和反恶意软件供应商为他们的产品提供信誉评分服务,其中大多数都相当不错,安全专家Joel Snyder说,他是Opus One的高级合伙人,一家位于亚利桑那州图森市的咨询公司。尤其值得注意的是思科系统公司(Cisco Systems Inc.)的IronPort SenderBase2007年购买钢铁端口的系统;McAfee Inc.的TrustedSource,它在2006年收购事项安全计算公司(该公司早些时候收购了最初的开发者CipherTrust);和开源Spamhaus块列表,他说。
例如,在他的测试中,Snyder发现SenderBase声誉服务,当设置为推荐级别时,平均88%的垃圾邮件捕获率,很少有误报。总的来说,这种捕获率并不像内容过滤器那么高。例如,Snyder说,在最近的测试中,他测量了IronPort的内容过滤器对96%的垃圾邮件的拦截。但是,内容过滤器正在进行繁重的处理,而信誉服务则没有。
信誉服务不需要深入研究内容,而只需在供应商数据库中查找得分,然后单独做出决定——连接、隔离或删除。大多数供应商提供预先设定的规则,但用户可以修改这些规则,使其对垃圾邮件或多或少地具有攻击性。以SenderBase为例,思科建议屏蔽在+10到-10范围内的-10到-3之间的电子邮件地址。分数本身是由许多属性所决定的。
最终的保护是当声誉服务和内容过滤彼此运行时。“如果您可以[使用声誉服务]击中内容过滤器之前的76%到90%的垃圾邮件,那么您在[过滤器]性能中有很大的优势。”再次引用最近的测试结果,斯奈德表示,由于信誉服务前面,IronPort内容过滤器的块速率增加到98%。两个百分点可能看起来不是很多,但是当90%的电子邮件是垃圾邮件时,即使是微小的一小部分也会缩小体积,使得斯奈德解释表。
因此,信誉服务提供商现在正集中精力把他们的评分机制应用到企业安全线上的其他地方,这就不足为奇了。例如,McAfee已经在其安全防火墙(以前是安全计算的Sidewinder)中使用TrustedSource IP信誉服务来允许或禁止连接。据该公司营销副总裁肯·鲁茨基(Ken Rutsky)报道,该数据库每天可以从防火墙接收约200万次查询。
通过将声誉智能编织成外围设备,安全供应商之间的希望是他们提高防火墙和入侵防御系统(IPS)的有效性和性能 - 甚至是路由器和交换机 - 以及他们为电子邮件的服务和交换机Web安全设备。
Robert Boenne是印第安纳州南本德教师信用联盟的网络工程师,他也喜欢这个想法。“我确实看到了增加声誉控制的潜力。只要我们与供应商合作,确保有效的流量不被阻塞,并让我们有能力做出调整,这是有意义的,”他说。
buzz声誉
致Jamey Heary,安全咨询系统工程师和频繁的安全博客,将IP信誉服务集成到各种安全硬件中是今年最令人兴奋的安全趋势。他说,真正让他兴奋的是这种集成带来的性能改善。
Heary以电子邮件安全性为例。他说:“与通过反病毒、垃圾邮件或恶意软件引擎进行真正的电子邮件扫描相比,名誉查询只需要占用一小部分CPU周期。”据估计,这种查找比垃圾邮件过滤器的处理速度快90%。另一个例子是,他说从IPS中卸载内容处理可以减少三分之一的带宽需求。他说:“如果一个企业需要三个IPS和一些负载均衡来处理所有数据,那么如果这个IPS进行声誉查找,那么它可能只需要一个IPS。”
IP信誉服务的整合与分层说话说话深入的安全战略根据专家的说法。
Pat Peterson是思科研究员,也是IronPort SenderBase开发团队的一员,他这样说:“我们知道互联网上有一些肮脏、肮脏、可怕的地方,比如俄罗斯商业网络,它承载着大量各种类型的恶意内容。为什么你不通知你的防火墙,特别是如果你不经常与俄罗斯网站做生意,或者你不是跨国公司,这个网络是存在的,99%的时间都被用于恶意活动?”
同样的逻辑适用于IPS,依赖于签名文件来确定访问。“知道签名来自一个非常好的服务器或者一个非常糟糕的服务器,将提供一个更高保的指标,签名与单独看签名文件,”彼得森解释说。
思科尚未将SenderBase IP信誉服务纳入其防火墙或ips中,但自收购IronPort以来,这一举措已被广泛预期。该公司曾表示,相关公告将在本月的RSA Conference 2009上发布,而Peterson也明确表示,这种整合即将到来。“我们认为是时候将这些因素添加到ips和防火墙连接中了。如果有大量的名誉信息可以提供给他们,为什么这些设备要自己关闭来做决定呢?”
这正是圣路易斯IT基础设施服务提供商Savvis的首席安全官唐•伯蒂埃(Don Bertier)想知道的。他说,该公司已经使用了思科基于声誉的IronPort Web安全设备,并讨论了如何在防火墙中添加声誉数据库来减少进入DMZ和互联网门户的威胁。“我看到思科的声誉正在向边缘移动,我们很好奇思科会做些什么,将其整合为一个自然的、启用的防火墙项目。”
或者,Bertier补充说:“我可以有几个智能家伙工程师......制造某种类型的黑名单能力本身,但要留在那个上面将占据过多的能量。拥有自动化和无缝集成防火墙会更好。“
对于他来说,作品一号的斯奈德一直在思考,从IPS的角度来看,整合的声誉数据库意味着什么。他设想了三种可能性。
在第一个也是最直接的例子中,声誉分数将提供另一种方法来确定需要关注的事件。Snyder表示:“这不会影响IPS的行为,但它会帮助分析师更聪明地判断应该关注什么,忽略什么。”
在另一个场景中,IPS将复制电子邮件或Web安全网关的角色,从而减少这些设备的处理负担。斯奈德说,虽然在大型网络上减少网关负荷可能是一件聪明、容易的事情,但规模较小的公司并不一定需要一个基于声誉的IPS。
他补充说,第三种可能性是最有前途的 - 也是最难做到的。在这种情况下,IPS将根据IP连接的信誉改变其行为,而不仅仅是响应垃圾邮件或Web流量。“例如,”他解释说:“我可能会设置ips,以阻止具有糟糕声誉的人的流量。或者,我可能会说,'如果你触发签名,你的声誉很糟糕,那么我会丢弃你的包或者'如果你触发签名,你的声誉很好,那么我会假设它是一个假阳性,我不会丢弃你的包。'“
直到思科和其他人使他们的IPS-符号集成计划明确,然后用户开始测试,斯奈德坐在围栏上有关潜在的企业价值。“与基于声誉的IPS一起游戏可能对企业造成伤害,但我的问题是它是否会做任何好处。”
声誉和身份配对
据行业观察者称,这是一个明显的是,网络不会成为知识产权声誉服务的停止点。“这比防火墙或垃圾邮件更大,”Nemertes Research的分析师Andreas Antonopoulos说。
例如,Antonopoulos说,看看声誉和身份之间的协同作用。简单地说,“他说,”声誉和身份非常适合在一起,声誉增强了身份。“
思科的彼得森同意这一观点,但提出了一个警告。“细化用户声誉或在线身份声誉的概念非常强大,但仍处于起步阶段。这肯定是未来的发展方向,但出于几个原因,这是一个具有挑战性的问题。
第一个问题是弄清楚各种各样的网络身份——例如,ppeterson99@yahoo.com和ppeterson99@linkedin.com是同一个人吗?——并适当应用声誉分数。另外,IP信誉服务提供商不能轻易地从专有的社交网络、Web邮件或博客站点收集行为信息。
使用身份验证服务
其他人在认证领域中看到了类似的声誉服务越来越重要。
考虑这种情况:黑客劫持与信誉良好的Web地址相关联的身份,并且IP信誉服务允许连接,因为分数落入访问策略允许的范围内。这可能是坏的。全球营销公司副总裁Torsten George表示,真正需要的是在网络级别的声誉,而且是应用层的声誉,也不只是在凭证管理公司的全球营销副总裁Torsten George。
换句话说,与IP信誉服务非常相似,身份验证软件将收集属性并确定风险分数。例如,在正常的认证程序之上,该软件会查看行为信息和计算机的IP地址。用户通常只在工作时间请求应用程序,但现在他突然在凌晨2点这么做了吗?请求通常只来自台式电脑,现在却来自笔记本?George解释说,这是高级身份验证所需要的类似于声誉的输入。
诺斯罗普·格鲁曼公司企业安全和身份管理项目办公室主任基思·沃德对此表示赞同。类似于声誉的强认证已经成为该公司以及其他八家航空和国防公司以及参与跨全球安全协作计划(TSCP)的美国、英国和荷兰政府的当务之急。
作为一个例子,他指出了安全协作电子邮件,这是由tscp开发的规范,由Northrop Grumman、Boeing、Lockheed Martin和联邦环境中的其他参与者支持。他说:“这个位于微软电子邮件之上的应用程序是安全和协作的,因为它与参与联邦环境的员工的审查和校对紧密相连。”
这个过程类似于声誉评分。Ward解释说:“如果员工的任何属性发生变化,我们有18个小时的窗口通知联邦环境中的每个人,并更改建筑物物理入口、逻辑应用程序或门户访问的访问控制策略。”
显然,信誉服务在企业安全中发挥着越来越重要的角色,成为垃圾邮件和恶意软件控制,在周边保护或改进应用程序访问控制。虽然大部分是新的和未经证实的,但不应推迟IT安全管理人员。由于Opus One Snyder说,尽管存在未知数,但是,“我鼓励人们尽快开始使用这种东西。”
Schultz是芝加哥的自由作家。她可以到达bschultz5824@gmail.com.。
本文的《信誉评分改变企业安全游戏》最初是由《计算机世界》 。