摘要:Invincea是一家位于弗吉尼亚州的小公司,他们可能已经找到了一个解决方案,可以保护计算机免受来自网络的威胁,对用户来说,整个过程也是显而易见的。这可以说是一个双赢的结果。戈什博士,一名备受尊敬的互
|
Invincea是一家位于弗吉尼亚州的小公司,他们可能已经找到了一个解决方案,可以保护计算机免受来自网络的威胁,对用户来说,整个过程也是显而易见的。这可以说是一个双赢的结果。 戈什博士,一名备受尊敬的互联网安全分析师。他们的目标是阻止恶意软件利用网络浏览器入侵到计算机中,这正是我们真正需要的。 浏览器保护工具就是他们的工作成果。它通过对网络浏览器进行隔离来实现对主机的保护。如果我没有理解错的话,网络浏览器采用的是不同的操作系统。根据来自Invincea公司开发团队的说法,浏览器保护工具包含了下面列出的创新功能: 有效保护模式:当浏览器保护工具检测到来自恶意软件的威胁后,用户将获得提醒,虚拟环境将被关闭。一个新虚拟环境将在几秒钟内启动,以消除威胁和最大程度上减少中断给用户带来的影响。 免签名检测模式:对恶意软件进行确认标定不是必须的。也不需要用户的输入。浏览器保护工具会自动利用虚拟环境中的异常行为来对恶意软件进行鉴定和确认。 法医数据库:在恶意软件攻击时搜集到的数据会被发送到Invincea的数据服务器上,数据会被分析,相关结果会被用来增强浏览器保护工具客户端的群体智慧。 我往往倾向于采用创新思维的方式来分析问题,从表面上来看,浏览器保护工具的功能确实很有效。这也是为什么我会有很多问题的原因。在这里,浏览器是位于智能沙箱环境中的?它们是怎样发现没有标注的恶意软件的? 幸运的是,来自Invincea公司的专家回答了我几乎所有的问题。这里是他们答复的内容: TechRepublic:看起来,Invincea和美国国防部高级研究计划局(DARPA)及乔治 梅森大学信息系统安全中心这两家著名机构存在着联系。你能向大家简单介绍一下Invincea的创建历史么? Invincea:Invincea公司(前身为著名的安全司令部公司)是2006年建立的,当时阿努普 梅森大学信息系统安全中心的教师资格。他的研究课题之一,就是利用虚拟化技术,防止非受信用户连接到用户的桌面系统上。 出于对戈什博士的信任,DARPA资助了这一概念的早期原始模型。在获得了潜在客户的兴趣和支持后,Invincea获得了在原型上开发商业产品的创业资金。在2010年4月,Invincea推出了企业级产品,浏览器保护工具。 TechRepublic:在观看Invincea提供的在线演示时,我发现这样一句话,“对于现今的网络犯罪分子来说,浏览器是最容易的获利途径。”你能解释一下,为什么这么说么? Invincea:从市场营销的角度来说,这句话说明了两件事情:第一,对于现今的大部分恶意软件来说,网络浏览器都是最主要的传播途径。第二,大部分恶意软件开发者和分发人传播广告软件、垃圾邮件僵尸机器人、追踪类恶意软件和银行类犯罪软件仅仅是处于出于纯粹的经济目的。 使用者利用浏览器上网的时间,就会被这些代理感染。其中的一种模式就是,网站利用网络浏览器的安全漏洞进行偷渡式下载。但更常见的模式是,在访问网站的时间,软件会自动下载,使用者会遭到欺骗,而选择安装和运行。 取决于设计的类型,安装好的恶意软件可以做很多事情:发送垃圾邮件、追踪使用者的在线活动情况、截取网络证书,甚至财务交易的日程安排也不例外。因此,如果你从事盗窃资金方面工作的话,与一个停车场里相比,在互联网上寻找欺骗对象更方便,而且被抓到的可能性极低。换句话说,对于犯罪集团来说,这是最理想的情况。 Invincea:网络浏览器是一种非常复杂的软件(源代码超过100万行),并且随着通过开放式接口添加的应用扩展(插件之类的第三方软件组件)处于不断扩大的趋势中。此外,网络浏览器运行在动态交互模式下,新内容会不断出现。 从安全的角度来看,在不限制使用者连接和使用的情况下,很难锁定网络浏览器防止恶意网上内容的攻击。虚拟化浏览器这一概念的实质就是在一个锁定的虚拟环境中运行浏览器和所有插件。 这样的话,当网络浏览器遇到偷渡式下载攻击时,或者使用者受到欺骗选择安装恶意软件的情况出现,唯一被破坏的就是一个一次性使用的虚拟设备。 TechRepublic:Invincea的虚拟网络浏览器与沙箱环境中的实际网络浏览器,和火狐浏览器相比,有什么区别? Invincea:Invincea的专有技术和普通沙箱技术相比,有两处不同。首先,Invincea利用真正的硬件虚拟化技术来实现在虚拟环境下运行非原生的网络浏览器。 在沙箱解决方案中,网络浏览器是按照原生模式运行在操作系统中的。如果网络浏览器发出有效的文件系统调用命令(举例来说针对一个系统文件或注册表项),监控工具就需要确定。这样的话,沙箱要么容许文件系统写入命令执行,重新更改文件系统调用命令到一个“虚拟”注册表中,要么要求使用者选择采取的措施。在实际案例中,选择的结果往往是后者。因此,尽管有沙箱比没有沙箱好。但它不能防范多种类型的攻击,并且需要使用者作出安全决定。 Invincea技术的第二处关键不同是,它可以在没有恶意软件已知信息的情况下,自动监测出恶意软件的动作和行为。随着恶意软件的数量呈现出几何级数增长的趋势,问题的关键就是找出存在的恶意软件,并采取有效措施,将计算机恢复到原始状态,还要保护使用者应用程序、文件和数据的安全。 TechRepublic:在阅读Invincea浏览器保护工具的应用程序白皮书时,我看到了“可以在无需签名的情况下检测出恶意软件”这样的说法。为 Invincea:确实,Invincea在检测针对网络浏览器的恶意软件时利用了专门设计的传感器。我们模式的独特之处在于,开始运行的时间,虚拟浏览器备始终处于原始状态。这样,我们就可以了解到原始状态是否发生变化了。 在环境被破坏时,操作系统中实时运行的事件和行为分析工具可以告诉我们相关的分析结论。这样,我们就可以对攻击进行监测,甚至没有签名的零日类恶意软件也不例外。一旦虚拟环境的破坏被确认,我们就还原到原始状态,为最终用户访问互联网提供最高等级的保护。 TechRepublic:将恶意软件分析结果上传到公司服务器中的做法,看起来非常类似熊猫公司的云防病毒。上传的信息是否会返回给用户?看起来,似乎用户越多。数据库的信息就会更准确更新就会更及时。这样的说法是否正确? Invincea:为了保护用户,基于云模式的防病毒解决方案需要利用互联网级别的“已知破坏类”文件、站点的共享列表,或者采用启发模式。对新恶意软件的鉴定工作来自供应商的研究或最终用户的操作。所有这些工作都是随机的,并且需要团队合作。 我们的模式是截然不同的。我们搜集了系统中所有非常规变化的法医数据,并发送到为企业客户准备的威胁分析数据库中,他们就可以利用这些信息更好地了解对手,对网络中的安全设备(举例来说防火墙、网络网关)进行强化。举例来说,我们搜集的信息有: 在设计时,我们的检测模式就没有包含签名功能,因此我们没有必要将信息返回给用户来保护他们。换句话说,Invincea是让信息部门利用我们的恶意软件数据,来有效保护企业的其他部门。 TechRepublic:我了解到贵公司的产品目前只支持InternetExplorer。对于其它主要浏览器来说,是否有发布支持版本的时间表? Invincea:我们现在已经提供了对InternetExplorerV6、V7和V8版的支持。不久以后,将提供对火狐浏览器的支持,并且计划根据客户的需求情况进一步扩大支持名单的容量。 TechRepublic:我也了解到浏览器保护工具目前并没有向大众公开。你觉得什么时间才会公开? Invincea:对于Invincea来说,进入消费市场意味着获得飞速发展的潜在巨大机会。现在,我们正在对市场进入策略进行评估,在没有确定之前,还无法给出时间表。 我认为浏览器保护工具有两项非常出色的功能。使用者不会受到很大的影响,不必利用事后签名文件来检测恶意软件。再加上,可以自动重建受到攻击的网络浏览器环境,让它看起来就象是我们的最佳选择。 比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。 比特商务周刊是一个及行业资讯、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊! 比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、组网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。 比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。 比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、数据保护与容灾构建以及数据管理部署等方面服务。 比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。 新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,覆盖面广的媒体传播途径。 比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。 比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。 IT专家新闻邮件长期以来,以定向、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、线下会议、读者沙龙等多种服务。 X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。 (责任编辑:admin)
|
了做到这一点,软件中是否采用了启发式或行为模式识别等技术呢?如果能解释一下检测模式的工作原理就更好了。
谈谈您对该文章的看