|
|
|
 |
|
微點總經理劉旭:云安全不是救世主 治本須主動防御
|
|
來源:CNETNEWS 2008-10-13 17:35:55
|
|
CNET科技資訊網 10月13日 CWEEK特稿(文/蔣湘輝):9月24日,國家863計劃“基于程序行為自主分析判斷的實時防護技術”課題組在京召開了“病毒現狀與國際病毒防御技術最新發展趨勢”高端研討會,就日益復雜的信息安全領域未來的發展方向進行深入探討。本報記者會后就計算機病毒防治趨勢、云安全和主動防御等信息安全話題采訪了該課題組組長、北京東方微點信息技術公司總裁兼總工程師劉旭。 CWEEK:現在用戶對信息安全問題越來越重視,殺毒軟件的裝機率也越來越高。不過根據國家計算機病毒應急處理中心的年度報告,我國計算機病毒感染率從2001年73%上升到2007年的91.47%,為什么會出現用戶越重視,病毒感染率越提高的現象? 劉旭:最重要的原因在于病毒編寫者的目的已經發生了轉變。以前病毒編寫者的目的大多是得到惡作劇式的個人滿足感,最終結果通常是損人不利己。而現在,獲取利益成了病毒編寫的最直接的目的。獲利的不同表現形式有竊取個人隱私、帳號密碼、商業機密、網絡財產等,還有一些是通過被控制的計算機進行網絡敲詐,還有一種是通過惡意廣告的點擊獲利。
目的的改變使病毒攻擊的形態發生了根本性的改變。目前在黑客和病毒領域已經出現了從黑客的培訓、病毒的制造、加工到出售等一系列的鏈條。而這樣的病毒除了具有隱蔽性、抗殺性和針對性的特點外,病毒制造者還會通過工具自動生成病毒變種,導致病毒數量呈幾何量級增長,反病毒公司難以應付的局面。根據德國AV實驗室的一項統計,2007年該公司就發現了550萬種新病毒,平均每天發現一萬多種新病毒,而通常一個熟練的病毒工程師每天可以分析40到50個樣本,這樣病毒的生產速度幾乎已經達到了廠商捕獲和分析能力的極限。如果不能在技術上遏制這種趨勢,將導致殺毒軟件賴以生存的特征碼掃描技術面臨嚴峻的挑戰。 CWEEK:安全廠商們也都認識到了這種挑戰,有的廠商希望在云安全方面尋找突破口,您認為云安全能否迎接這種挑戰? 劉旭:云安全是從云計算的概念中衍生而來。目前基于云安全的操作思路主要有兩種:第一種思路是將“云”作為新病毒惡意代碼的二度搜集和被動響應處理的系統。搜集病毒主要借助于安裝在用戶端的一種搜集器,一旦發現異常便匯報給服務器。這種方式確實能夠起到一定的作用,收集的效率也明顯優于現有模式。但是從用戶端后臺搜集信息,個人隱私的保護是個不可回避的問題。用戶覺得不安全,很有可能就不愿意配合。再者服務器收集到的數以億計的數據如何處理?人工方式顯然不能勝任。如果采用機器自動識別病毒,那為何不把這個環節放在用戶端,而是舍近求遠放在遙遠的云端? 第二種思路是將特征庫放在云端,用戶只要鏈接到服務器便可共享查殺服務。這種方案解決了日后海量的病毒庫在個人電腦更新存儲的難題。但目前優勢并不明顯,因為從現在的狀況來看,每天更新的特征碼直接下載到用戶端還是很快的,沒有必要放在云端。另外對不能聯結互聯網的計算機,云安全就可能形同虛設。 根據以上的分析,我認為云安全目前還只是概念,它仍然沒有回答最重要的問題——如何自動識別新病毒。遇到一個新病毒,不管你的病毒庫是放在本機上,還是放在云上,都需要進行有效的判定與查殺。所以,在更多細節與構思被提出之前,云安全尚不能成為治本的安全防護方案,更不是信息安全領域的救世主。 CWEEK:近幾年不少安全廠商也都提出過主動防御的理念,它能解決目前反病毒面臨的問題嗎?不同廠商間的主動防御有何不同? 劉旭:主動防御跟傳統的殺毒軟件不一樣,它是依據程序行為,自主識別和判斷程序是否是病毒的一項反病毒技術。主動防御技術最早是由我們微點公司提出來的,我把主動防御的思路2005年就發表在了《光明日報》上,當時還引起了很大的爭議。一些人認為先中毒后殺毒是天經地義的,另外也有人認為主動防御是天方夜譚。后來我從“人能否發現新病毒”、“人如何判斷新病毒”、“識別新病毒有多難”和“病毒主動防御是否可行”又寫了篇題為“主動防御電腦病毒并非天方夜譚”的署名文章,主題思想是“既然人可以比較容易分析判斷出新病毒,反病毒專家也可以把分析病毒的過程智能化、自動化。那篇文章再次發在光明日報上。后來越來越多的同行也漸漸理解了,并都開始走向了主動防御探索之路。 目前國內外的一些主流殺毒軟件也提供了一些主動防御的功能,但包括McAfee、諾頓和瑞星在內的絕大多數產品提供的所謂主動防御功能還處于概念階段。主動防御應該具備三個要求:對未知病毒能夠自主識別、明確報出并能自動清除。如果做不到這一點,只是對單一程序動作報警,而沒有對程序動作進行關聯分析,那就算不上真正的主動防御。舉一個很常見的例子,在使用某款號稱具有主動防御功能的產品時,經常會遇到“有程序正在向您的計算機設置全局掛鉤,是否允許”之類的提示,什么叫全局掛鉤?一般用戶可能不理解,也就無從選擇。用戶使用殺毒軟件,就是將殺毒防毒的工作交給軟件,現在反而要自己進行判斷,這是不合理,更是不負責任的。所以現在的殺毒軟件越來越像“高手”專用的,表面上是易用性和親民性不足,實際上是這些安全軟件還沒有真正成熟的主動防御技術。 CWEEK:您對微點的主動防御產品非常自信,在市場表現上您有何期待? 劉旭:微點的主動防御技術是國家863計劃中的重點課題,今年已經取得銷售許可證。技術和產品上均比較成熟和完善。 我們的用戶群也在穩步增長,據不完全統計,目前注冊用戶已經超過700萬。軟件正式推出的兩個月以來,銷量也在節節攀升。我相信作為國家863項目的微點主動防御將被越來越多的用戶認知,預計2008年微點的用戶有望超過1000萬。 在“病毒現狀與國際病毒防御技術最新發展趨勢”研討會上,與會的多位專家就主動防御以及安全產業的現狀與未來發展趨勢發表了自己的觀點。 中國工程院院士周仲義: 政府機關應盡早推廣主動防御 利益的驅使成為國家部委頻繁遭遇黑客攻擊、木馬植入的主要原因。木馬記錄鍵盤行為,竊取登陸口令,進而獲得相關情報,這對信息要求高度保密的國家部委來說危害極大。信息安全問題已經成為各部委工作任務的重中之重。下一代防病毒軟件的境界高低,已經上升到了事關國家信息安全的高度。863計劃課題所研究的主動防御產品,應在通過相關部門檢測認定的基礎上,首先在各部委大力推廣,保證國家機密信息的安全,讓政府機關也受惠于下一代防毒技術。 中國工程院院士倪光南: 國產軟件創新可以達到新高度 2008年新病毒的數量將突破1000萬個,平均每小時就會出顯1000多個新病毒!這就意味著傳統的“病毒出現-用戶提交-廠商人工分析-軟件升級”的思路將被徹底拋棄,殺毒軟件行業升級迫在眉睫!可以說主動防御是一套在應用中發現的全新模式。
拿到863課題本身就是認可 能拿到863課題,說明專家對微點的技術方案和技術思路是認可的。現在863計劃的專題主要做兩類,其中一類是做探索。而微點的主動防御技術就屬于探索類課題。我們希望課題組能在原來工作的基礎上更深入做下去。863計劃十一五要總結出很多亮點,希望微點的主動防御能夠作為一個亮點被總結。在信息安全產業中,黑色產業鏈目前很猖獗。不少地方在對僵尸網絡的檢測上就遇到了很大挑戰。我相信主動防御的思想在對僵尸網絡的檢測方面也能有更大貢獻。 |
