Cloud & Telecom Security

We have talked about VOIP legal monitoring and source location. In H.323 , softswitch or IMS VOIP network, it can possibly be done through signaling analysis. But as to P2P VOIP, especially encrypted P2P VOIP such as SKYPE, it is very difficult to identify P2P voice traffic.

Traffic classification and traffic identification can be useful in both ISP and enterprise environment, as well as in various occasions:

• Network planning and design
• Security policy such as legal monitoring, blocking
• QOS policy such as rate limitation, prioritization
• Pricing

Now there are two kinds of P2P traffic identification algorithms: transport layer based or payload based. Read more…

5/18早晨给我们留下了深刻的记忆，由于Symantec公司病毒代码库2007.5.17 rev 18的错误，sav将简体中文版Windows XP的两个关键的系统文件c:\windows\system32目录下的netapi32.dll和lsasrv.dll误报为 backdoor.haxdoor病毒, 并提示用户推荐删除该文件。用户当然服从命令听指挥，系统也就在重起时隔离这两个文件,导致无法正常重起,出现蓝屏。

这次看似简单的误杀，给安全经理们出了一道难题，甚至说将安全经理们放到了一个窘迫的境地。通常，我们都会努力引导用户提高安全防范意识，保证安装反病毒软件并及时升级代码库，遵从安全指令。可是，这次事故让最遵从安全策略、最具有安全意识的企业员工们无所适从。让执行效率越高的企业桌面信息系统承受越高的损失。

作为对国内用户的安抚，Symantec据说要在国内建设SRC，以提高对国内病毒样本的响应速度和查杀比例。另据说Symantec因为此次事故，还特意修改了内部流程，将原来全自动的病毒代码发布流程又改回到以前带有人工确认的环节。

零日攻击促使我们不断地加快补丁发布和安装速度，促使我们实现实时的病毒代码库升级，“作为欧洲领先企业安全软件提供商，提供世界最强杀毒引擎，拥有三十万级的病毒特征库，每隔一个小时自动更新病毒库。”这是市场上较为常见的宣传材料了，巨大的病毒库和快速自动更新显然是其中两个最招人惹眼的广告用语。

这样的快速和自动化带来了安全吗？还是带来了更多的风险？我们宁愿相信这次是Symantec的一次偶然事故。因为我们现在别无选择，只能将自己的企业网络的安全寄托在这几个厂家的可信度上，寄托在他们内部的流程成熟度上，期望他们内部的管控持久而有效，不会出现报复员工恶意植入后门逻辑炸弹… 作为一个企业，这样做事出无奈，然则可以接受。但是，从国家安全的层面，物种的多样性看来是安全进化的必要环境了。