Board logo

标题: 云安全不是救世主 治本须主动防御 [打印本页]

作者: Legend     时间: 2008-11-25 09:54    标题: 云安全不是救世主 治本须主动防御

云安全目前还只是概念,它仍然没有回答最重要的问题——如何自动识别新病毒。
主动防御技术最早是由微点公司提出来的,主动防御的思路2005年就发表在了《光明日报》上。
微点的主动防御技术已经是国家863计划中的重点课题。

CNET科技资讯网 10月13日 CWEEK特稿(文/蒋湘辉):9月24日,国家863计划“基于程序行为自主分析判断的实时防护技术”课题组在京召开了“病毒现状与国际病毒防御技术最新发展趋势”高端研讨会,就日益复杂的信息安全领域未来的发展方向进行深入探讨。本报记者会后就计算机病毒防治趋势、云安全和主动防御等信息安全话题采访了该课题组组长、北京东方微点信息技术公司总裁兼总工程师刘旭。

    CWEEK:现在用户对信息安全问题越来越重视,杀毒软件的装机率也越来越高。不过根据国家计算机病毒应急处理中心的年度报告,我国计算机病毒感染率从2001年73%上升到2007年的91.47%,为什么会出现用户越重视,病毒感染率越提高的现象?

    刘旭:最重要的原因在于病毒编写者的目的已经发生了转变。以前病毒编写者的目的大多是得到恶作剧式的个人满足感,最终结果通常是损人不利己。而现在,获取利益成了病毒编写的最直接的目的。获利的不同表现形式有窃取个人隐私、帐号密码、商业机密、网络财产等,还有一些是通过被控制的计算机进行网络敲诈,还有一种是通过恶意广告的点击获利。


    图为国家863计划“基于程序行为自主分析判断的实时防护技术”课题组组长、北京东方微点信息技术公司总裁兼总工程师刘旭在接受CWEEK记者采访。
    目的的改变使病毒攻击的形态发生了根本性的改变。目前在黑客和病毒领域已经出现了从黑客的培训、病毒的制造、加工到出售等一系列的链条。而这样的病毒除了具有隐蔽性、抗杀性和针对性的特点外,病毒制造者还会通过工具自动生成病毒变种,导致病毒数量呈几何量级增长,反病毒公司难以应付的局面。根据德国AV实验室的一项统计,2007年该公司就发现了550万种新病毒,平均每天发现一万多种新病毒,而通常一个熟练的病毒工程师每天可以分析40到50个样本,这样病毒的生产速度几乎已经达到了厂商捕获和分析能力的极限。如果不能在技术上遏制这种趋势,将导致杀毒软件赖以生存的特征码扫描技术面临严峻的挑战。

    CWEEK:安全厂商们也都认识到了这种挑战,有的厂商希望在云安全方面寻找突破口,您认为云安全能否迎接这种挑战?

    刘旭:云安全是从云计算的概念中衍生而来。目前基于云安全的操作思路主要有两种:第一种思路是将“云”作为新病毒恶意代码的二度搜集和被动响应处理的系统。搜集病毒主要借助于安装在用户端的一种搜集器,一旦发现异常便汇报给服务器。这种方式确实能够起到一定的作用,收集的效率也明显优于现有模式。但是从用户端后台搜集信息,个人隐私的保护是个不可回避的问题。用户觉得不安全,很有可能就不愿意配合。再者服务器收集到的数以亿计的数据如何处理?人工方式显然不能胜任。如果采用机器自动识别病毒,那为何不把这个环节放在用户端,而是舍近求远放在遥远的云端?
    第二种思路是将特征库放在云端,用户只要链接到服务器便可共享查杀服务。这种方案解决了日后海量的病毒库在个人电脑更新存储的难题。但目前优势并不明显,因为从现在的状况来看,每天更新的特征码直接下载到用户端还是很快的,没有必要放在云端。另外对不能联结互联网的计算机,云安全就可能形同虚设。
    根据以上的分析,我认为云安全目前还只是概念,它仍然没有回答最重要的问题——如何自动识别新病毒。遇到一个新病毒,不管你的病毒库是放在本机上,还是放在云上,都需要进行有效的判定与查杀。所以,在更多细节与构思被提出之前,云安全尚不能成为治本的安全防护方案,更不是信息安全领域的救世主。

    CWEEK:近几年不少安全厂商也都提出过主动防御的理念,它能解决目前反病毒面临的问题吗?不同厂商间的主动防御有何不同?

    刘旭:主动防御跟传统的杀毒软件不一样,它是依据程序行为,自主识别和判断程序是否是病毒的一项反病毒技术。主动防御技术最早是由我们微点公司提出来的,我把主动防御的思路2005年就发表在了《光明日报》上,当时还引起了很大的争议。一些人认为先中毒后杀毒是天经地义的,另外也有人认为主动防御是天方夜谭。后来我从“人能否发现新病毒”、“人如何判断新病毒”、“识别新病毒有多难”和“病毒主动防御是否可行”又写了篇题为“主动防御电脑病毒并非天方夜谭”的署名文章,主题思想是“既然人可以比较容易分析判断出新病毒,反病毒专家也可以把分析病毒的过程智能化、自动化。那篇文章再次发在光明日报上。后来越来越多的同行也渐渐理解了,并都开始走向了主动防御探索之路。
    目前国内外的一些主流杀毒软件也提供了一些主动防御的功能,但包括McAfee、诺顿和瑞星在内的绝大多数产品提供的所谓主动防御功能还处于概念阶段。主动防御应该具备三个要求:对未知病毒能够自主识别、明确报出并能自动清除。如果做不到这一点,只是对单一程序动作报警,而没有对程序动作进行关联分析,那就算不上真正的主动防御。举一个很常见的例子,在使用某款号称具有主动防御功能的产品时,经常会遇到“有程序正在向您的计算机设置全局挂钩,是否允许”之类的提示,什么叫全局挂钩?一般用户可能不理解,也就无从选择。用户使用杀毒软件,就是将杀毒防毒的工作交给软件,现在反而要自己进行判断,这是不合理,更是不负责任的。所以现在的杀毒软件越来越像“高手”专用的,表面上是易用性和亲民性不足,实际上是这些安全软件还没有真正成熟的主动防御技术。

    CWEEK:您对微点的主动防御产品非常自信,在市场表现上您有何期待?

    刘旭:微点的主动防御技术是国家863计划中的重点课题,今年已经取得销售许可证。技术和产品上均比较成熟和完善。
    我们早在2005年推出的免费试用版本,就显示了威力。比如熊猫烧香是2006年底到2007年初在国内广泛传播的一种