位于达拉斯的PrimeLending公司负责信息安全的副总裁Johnny Hernandez称,我们现在已经实现了95%的虚拟化。此举需要新的安全方法,例如,部署基于虚拟机的病毒入侵检测与防御系统。但是,PrimeLending还发现,传统的基于托管的杀毒软件在虚拟化时代之前运行得很好,但是,在虚拟化环境中却不能很好地运行。
这家公司已经逐步从传统的物理服务器和台式电脑过渡到基于VMware vSphere软件的虚拟化服务器和台式电脑。Hernandez称,我们在当前的虚拟化环境中不运行杀毒软件,因为杀毒软件对后台和系统虚拟化有影响。PrimeLending已经虚拟化了其内部财务数据库、Exchange和SQL服务器以及SharePoint软件。在多个虚拟化实例中运行的传统的杀毒软件程序能够破坏应用程序的性能。
基于周围环境的恶意软件过滤是这家公司的一道防线,在这个案例中是使用思科的杀毒过滤器。然而,用户安全的物理设备在虚拟机中一般会遇到一些"盲点".但是,PrimeLending现在使用惠普的TippingPoint虚拟控制器(vController)监视和检测虚拟机中的恶意软件或者攻击通讯的迹象。这是以前做不到的。惠普TippingPoint虚拟控制器是TippingPoint用于VMware环境的入侵防御系统,工作起来就像惠普物理的TippingPoint入侵防御系统的软件扩展。
Hernandez称,这个系统在客户虚拟机盲点方面做得很好。不过,出乎意料的高通讯速度对虚拟化本身产生的意想不到的影响意味着要过渡到更高速度的TippingPoint设备。
vController入侵防御系统一直能够识别出潜在的问题(如被感染的文件),这显然是因为这个软件是一位员工在一台被感染的家庭PC上编辑的,然后上载到SharePoint.Hernandez称,这个内部存储的文件在设法从其它文件中收集信息。vController入侵防御系统发现并且阻止这个行动。
PrimeLending还使用TippingPoint vController功能与它使用的RSA防止数据丢失产品以及RSA安全和事件管理产品EnVision共享安全事件数据。
但是,为了找到合适的能够用于虚拟机的杀毒软件防御措施,PrimeLending计划试用趋势科技的"Deep Security"产品。这个产品使用基于VMware的vShield应用程序编程接口实施恶意软件扫描。但是,但是,如果恶意软件悄悄地进入系统,它还没有办法自动删除恶意软件。Hernandez称,这在一开始是有局限性的。这是一个新的领域,一个新的努力。
其它企业也表示,以前有价值的传统的基于托管的杀毒软件现在对于他们是没有价值的,因为他们面临的主要问题是来自基于网络的恶意软件。
位于华盛顿的肯尼迪演艺中心IT运营经理Albert Gore称,我们的环境有许多病毒感染,每个星期一两次,有时候每个星期有三次病毒感染。他对大多数桌面杀毒软件表示怀疑,包括肯尼迪演艺中心使用的McAfee软件。他怀疑桌面杀毒软件能够完全消灭通过员工、合同工和使用网络的演员意外传播的恶意代码。
Gore表示,Facebook和Youtube是肯尼迪演艺中心体验到的两个最大的感染源。感染意味着你必须要去找到发生了什么问题并且进行隔离,必须查明数据是否被窃。恶意软件攻击会让人们丢失文件或者发现文件被删除。然而,肯尼迪演艺中心在业务中需要使用社交网络。
肯尼迪演艺中心发现,其病毒感染主要是因为使用一个网络过滤网关。目前使用的Websense网络安全网关让IT部门提供广泛的访问社交网络网站和普通网站的功能,但是,阻止危险的恶意软件来源的具体链接。
应对机遇网络的恶意软件事件的并不仅仅是肯尼迪演艺中心一家公司。
据本周发布的一项对382位IT专业人员进行的调查显示,78%的受访者表示,他们的机构在过去的12个月里至少遇到一次恶意软件攻击,平均每73天经历一次恶意软件攻击。
M86安全公司赞助的由Osterman Research实施的调查显示,97%的受访者表示,他们的机构使用某种类型的桌面杀毒软件。但是,只有60%的受访者表示他们使用一个安全的Web网关。70%的受访者表示,报告最多的恶意软件攻击是来自网络的感染。假冒的杀毒软件等假冒软件排名很高。27%的受访者表示,他们的恶意软件问题在过去的12个月里增加了。只有9%的受访者表示减少了。
这个调查发现,76%的受访者称,在恶意软件攻击之后需要重新镜像计算机。一般的恶意软件攻击平均需要IT专业人员花费27.5个工时进行修复。这个调查还指出,在修复与恶意软件有关的故障的同时,遭到攻击的机构平均有12个员工的工作会受到影响。
