Blue Coat 的“智慧”—— 全球智能网GIN的“I”

网络世界的变化之快常叫人后知后觉，而作为保护网络安全的厂商就得做到预测先行了，Blue Coat在进行2015年数据安全趋势预测时指出，2015年将是流氓软件之年，流氓软件在移动设备上呈现上升势头；勒索软件将变本加厉，造成更大损失；间谍软件也会呈现上升势头；攻击者将更多的利用社交网络。

专注在应用web领域提供高级威胁防护解决方案的Blue Coat，在安全网关领域占有近一半的市场份额，与此同时，Blue Coat仍不断在技术上做创新，希望能够给企业用户提供最佳的安全的生态系统，帮助企业用户应对日息万变的网络安全威胁。

那么Blue Coat作为安全厂商的一员有有何一技之长呢？那就不得不提到其专有的全球智能网络——GIN（Global Intelligent Network）了。Blue Coat将全球智能网络与其产品线进行整合，就好比是每个Blue Coat的产品都带有GIN的基因一样。Blue Coat的GIN是基于云、由社区推动的分析与评级服务，通过 Blue Coat Web安全产品向用户提供实时评级。

全球智能网GIN的基础 “G——Global”

在介绍GIN的媒体发布会上，Blue Coat中国区总经理毕岸说到：“在全球有超过2000个合作伙伴的Blue Coat，主要特点在于开放式的体系架构。”确实，GIN的第一个“Global”就在于全球化。

左起： 中国区总经理 毕岸 大中华区系统工程师总经理 王跃霖

Blue Coat是一家全球性的公司，全球超过1400名的员工，在三十多个国家地区都有销售的团队，使得产品覆盖用户范围广，信息收集量非常大。全球500强企业中的80%，全球最大的20家运营商中的16家都已经是Blue Coat的用户，Blue Coat总的设备安装客户量已经超过了1万5千家。从这些典型的大型企业用户web和威胁流量中可以捕获到横跨全球的最具价值的攻击目标，并将这些威胁信息进行共享。

GIN能充分利用拥有7500 万用户的全球社区，将这些用户贡献到 GIN 的所有未确认站点和网页作为其分析与评级服务的输入数据。Blue Coat大中华区系统工程师总经理王跃霖表示：“GIN 社区既是全球化的又是多元化的，范围从消费者用户到企业用户，可以提供丰富的输入数据，揭示许多不同形式的威胁以及进入恶意软件传递网络的不同机制。”

另外，笔者认为，GIN的第二个“Global”在于技术的全球化。Blue Coat建立了WebPulse研究实验室，并先后收购了事件响应和取证厂商Solera、沙盒厂商Norman Shark以及SSL解码厂商Netronome，并将这些恶意软件研究机构融入Blue Coat的自有体系，将全部产品整合到Blue Coat的全球智能网络中，技术的不断整合使得GIN愈加智能。

全球智能网GIN的技术“1——Intelligent”

说到智能也就是“Intelligent”，才是GIN的核心。

首先的智能在于“透过现象看本质”，不论恶意软件传递网络如何不断变换的链接，都可以实现对安全的精准防护。

现在已经无法再通过传统的安全模式解决威胁，今天的现实需要一个了解新的威胁环境并且可以实时防御的系统。今天，一个典型的Web浏览会话通常从我们所知道并且信任的热门网站开始，或者从我们公司的安全政策通常允许的搜索引擎开始。王跃霖表示：“2011 年，由 Blue Coat 自己的安全实验室进行的研究发现，搜索引擎中毒 (SEP) 是排名第一的 Web 威胁传输方法。”

所以在威胁检测方面，GIN的分析技术实时协同包括反恶意软件、防病毒、脚本分析程序、Web关联、沙箱技术和 Web 令牌机器分析在内，不仅关注入口点，比如受感染的网站、中毒的搜索结果或者被攻击的社交网络链接，而是通过构成恶意软件传递网络直击有安全威胁的服务器。

二来，智能在于“联合产品 实时分析 及时通知”。

用户在用产品构建用户的安全体系架构的时候，每一个产品都可以和全球智能网络建立联系，和GIN互动。这里面除了Blue Coat自己的产品，Blue Coat也积极跟第三方安全的机构进行合作，丰富Blue Coat智能产品的数据库，或者说智能的分析能力。

通过覆盖全球的客户群体和全球智能的网络，每天GIN能够处理的新的URL是20万，GIN能够进行实时的分析，对于这些新的，从来没有出现过的URL的请求，GIN会给用户实时查询的结果，同时用户可以根据企业自身特点和安全合规要求进行信息库的更新时间设置，最快可以实现5分钟更新一次信息库。面对22%互联网域名存在不超过24小时，恶意链接往往就涵盖其中的难题，GIN的实时更新不但可以进行实时防御，还可以及时清除无效信息，提高防御效率，最后在全球范围内通知所有的客户群体，更新通知对事件实时的追踪。

第三，智能在于GIN的“分层防御模式”。

Blue Coat的分层防御模式可以减少误报。有些网关设备在进行病毒防御时打开全部开关，对所有URL进行扫描，这样的结果往往是报警一直在进行提醒，并且已经到了运维人员无法应对的程度。Blue Coat采取的是漏斗型的分层防御模式。首先在第一层防御已知Web威胁，第二层进一步防御下载有问题的文件。其余10%的文档进入沙箱进行分析，这样就会大大降低沙箱所需费用支出和性能要求，减少大量假报警带来的运营成本支出。

据了解，公司总部用户通常采用购买Blue Coat网关硬件的方式获得全球智能网络的支持，而移动端用户和企业分支机构可以通过购买Blue Coat云服务的方式获得全球智能网络的安全支持，相关安全策略公司可以根据自身实际情况制定。Blue Coat最后会提供给公司一个统一的安全报表。

除了企业级用户，Blue Coat还向个人用户提供可以免费下载的名为K9的消费类软件，这些消费类用户在免费使用安全产品的同时，也会作为节点向全球智能网络反馈有效信息。

智能网络GIN通过各个渠道获得的信息，在病毒网络新域名注册伊始便开始对域名进行收录并持续关注，当病毒网络发起攻击的一瞬间就直接对该IP进行阻止，为用户提供最快最好的网络安全保护。