Cloud computing a bezpieczeństwo

Przeczytaj także: Bezpieczeństwo w sieci - wskazówki

Komunikacja dwukierunkowa

Naturalnie, systemy "in-the-cloud" mogą pomóc klientowi ustalić, czy plik na jego maszynie jest zainfekowany czy nie: maszyna-klient pyta, serwer odpowiada. Jednak w artykule czytamy, iż w zależności od sposobu implementacji technologii, proces ten może również działać w drugą stronę: klienci mogą pomóc firmie antywirusowej zidentyfikować i wykryć nowe zagrożenia. Przypuśćmy, że plik jest analizowany na maszynie-kliencie przy użyciu technologii emulacji lub ochrony proaktywnej. Na podstawie analizy ustalono, że plik jest szkodliwy. Taki plik może zostać przesłany do dalszej analizy przez analityków firmy antywirusowej. Naturalnie, to oznacza, że klient musi udostępnić swój plik innym osobom, przed czym może mieć opory. Istnieje jednak inna opcja: zamiast wysyłać plik binarny, oprogramowanie klienckie może po prostu wysłać "odcisk palca" pliku wraz z informacjami (takimi jak rozmiar pliku, klasyfikacja zagrożenia itd.) pochodzącymi z modułów, które przeprowadziły analizę. Jeżeli nowy robak rozprzestrzenia się w szybkim tempie, analitycy z firmy antywirusowej wiedzą, że istnieje nowy plik, oflagowany jako podejrzany, który nagle pojawił się na tysiącach komputerów, i tylko od nich będzie zależało, czy plik ten zostanie zidentyfikowany jako szkodliwy. Jeżeli dojdą do wniosku, że istnieje rzeczywiste zagrożenie, dodanie wykrywania nie będzie stanowiło żadnego problemu, ponieważ będzie już istniał "odcisk palca" dla tego pliku. Pozostanie tylko umieścić go w bazie sygnatur, do której komputery klienckie wysyłają swoje żądania.

Nie istnieje coś takiego jak darmowy lunch

Oprócz wymienionych zalet bezpieczeństwo "in-the-cloud" posiada również kilka wad. Przykład wyżej pokazuje, w jaki sposób dodawanie wykrywania na podstawie monitorowania statystycznego może stanowić skuteczny sposób zwalczania nagłych epidemii. Z drugiej strony znacznie zwiększa się ryzyko fałszywych trafień. Jako przykład Magnus Kalkuhl podaje sytuację, w której została opublikowana nowa wersja popularnego programu typu shareware; wieści o tym rozejdą się szybko i w krótkim czasie bardzo wiele osób pobierze ten program. Jeżeli program będzie oddziaływał na pliki systemowe, nie będzie podpisany i będzie pobierał inne pliki wykonywalne w celu uaktualnienia się, istnieje duże prawdopodobieństwo, że zostanie oflagowany jako szkodliwy przez zautomatyzowany system "in-the-cloud". Po kilku sekundach taki program spowodowałby tysiące fałszywych trafień na całym świecie. Naturalnie, taka sytuacja nie miałaby miejsca, gdyby analityk przyjrzał się programowi, jednak to zajęłoby mu trochę czasu, a wtedy nie byłoby mowy o żadnej potencjalnej korzyści wynikającej z szybkiego wykrywania. Chociaż rozwiązanie problemu fałszywych trafień zajęłoby kilka sekund (w przeciwieństwie do fałszywych trafień w klasycznej bazie sygnatur, które można usunąć dopiero po pobraniu kolejnej aktualizacji), nadal miałoby to negatywne konsekwencje. Ludzie nie lubią fałszywych trafień, dlatego jeśli ktoś zauważy, że bezpieczeństwo "in-the-cloud" wiąże się z coraz większą liczbą fałszywych alarmów, istnieje duże prawdopodobieństwo, że wyłączy tę funkcję lub przejdzie do innej firmy antywirusowej, która nadal stosuje klasyczne podejście. Aby zapobiec takiej sytuacji, firmy antywirusowe muszą stworzyć i utrzymywać własne kolekcje plików, o których wiadomo, że są "czyste". W przypadku opublikowania nowej łaty lub programu, firma antywirusowa musi bardzo szybko przeanalizować te zasoby i umieścić na białej liście, zanim klienci zaczną pobieranie.

Jak widać, przejście do chmury oznacza dla producentów rozwiązań antywirusowych dużo dodatkowej pracy. Oprócz aktywnego utrzymywania kolekcji "czystych" plików serwery firmy muszą być całkowicie stabilne 24 godziny na dobę. Naturalnie, klienci zawsze mieli takie oczekiwania, bo - jak wiadomo - serwery off-line nie mogą dostarczać uaktualnień. Z drugiej strony klasyczne podejście będzie działało z sygnaturami, które zostały opublikowane kilka godzin temu, nawet jeśli współczynniki wykrywania będą niższe. W tym miejscu widać różnicę między klasycznym podejściem a podejściem "chmury": podczas przestojów serwera klienci pozostają bez ochrony, ponieważ cała koncepcja opiera się na komunikacji na żądanie oraz w czasie rzeczywistym. W przypadku przestoju serwera, konieczne będzie użycie heurystyki w połączeniu z potężną technologią HIPS w celu zapewnienia ochrony klientom.