金山是成熟的云安全 金山云查杀现场实录

2009-09-22 11:36 出处:PConline原创 作者:Darkid 责任编辑:lidongsheng

  主持人:2009年互联网安全领域有很多热词,作为一个安全厂商怎么样让普通用户第一时间感受到这个新型的产品,消除误区,还有云安全的未来走向如何?这些问题会在今天发布会上得到解答,首先请我们金山互联网安全COO王欣给大家做一简单的开场。

  王欣:大家早上好,这两天我也是接到非常多媒体朋友给我打电话,一个针对微软免费的事,还有关于云查杀的事情,就想借这个机会跟大家交流一下,一个是关于云的一些技术上的知识点,还有金山对于查杀的态度,还有对免费的看法,因为他们对于技术会有详细的解释,因为陈睿也是我们以前金山的同事,专门辟出来这么一块做云查杀的。

  我就先说一下微软免费的事情,其实是微软正版增值计划的一部分,是对所有正版windows用户才可以使用,但是这个正版windows用户非常少,只有十万个帐号,这是什么概念?相当于金山每年下载的十分之一。其实对于这么一个策略,金山也是在积极应对之中,绝对的免费对用户长期是一个伤害,一定要给用户一个差别化,你要给收费用户有一个更好的体验在里面,所以这是我们计划的前身。

  后面就有请陈睿先给大家讲一下云查杀。

  陈睿:大家上午好。我这有差不多一年时间没有做过PPT了,这次刚好把过去一年干的事跟大家说一说。主要围绕两个关健词,一个是云安全,还有一个是我们做的查杀。

  首先我从木马的发展趋势开始,我每次讲PPT的时候,第一项总是讲木马发展趋势,为什么?其实我也想换一个花样,但是做安全这一行,挺枯燥的,其实这行没什么创新,因为我们不可能去针对不存在的木马,就是我们所有的工作都是针对现有的已经存在的病毒或者木马去做的,所以看病毒和木马的趋势也是我们工作的方向。

  从08到09年的趋势来看,第一个还是量,仍然是爆炸式的增长,而且病毒比例进一步降低,现在病毒只是占互联网威胁的3%,可能这个数字放到五年前,病毒数量是比木马多的,但是现在病毒比例就是占3%了,其实病毒仍然也在增长,只不过增长速度远远不如木马。

  第二个就是新木马采用的速度是越来越快,更新的越发频繁,我记得比较早的时候,05年的时候,那时候我还在毒霸,当时毒霸每天三次升级,已经是行业内频率最高的,到后来从一天三次到一天五次,到一天12次,到每小时一次,速度在不但提升,但是我们面临情况是木马更新速度更快,而且它更新速度是高于杀毒软件更新频率的。

  第三是木马的投放越发的精准和科学,现在行业里比较流行的一个词是精准的广告,我觉得木马投放的科学跟广告也是越来越接近了,现在大部分是挂马,比如说网游玩家比较喜欢的论坛,可能他们就要想办法去挂马了,因为用户比较固定,因为木马的投入也是有成本的,他希望每一个木马都放在能盗号的机器上。

  我给大家举一个例子,不知道大家打不打魔兽,比如说我输入魔兽、大脚,大家看google出来的,就有木马,用户没有辨别能力的,我们就针对这个做了一个专题。这种投放木马的效率非常高,这些网游辅助工具都是人民群众喜闻乐见的,玩家上去搜这个东西,他希望下辅助工具,但是下下来的是木马,所以很多玩游戏的人不知道帐号怎么被盗了,就是跟这些细节有关系,我们这边就列了一个正版的网址。

  还有利用邮件和IM欺骗,现在木马的思维比较灵活,过去更多是通过程序去做,而现在可能是雇人人工投放,比如雇人跟你聊天,他给你发美女图,我们以为这是机器,其实是真人,他在二级城市雇人也需不了多少钱。

  还有一个是免杀已经成为木马的必修课。大家在网上艘“免杀”,这个教程比教你防木马的都多。

  还有一个趋势就是专业人士,这个行业在技术方面的独立分工已经做的非常成熟了,像过去可能做一个木马你得独立面对很多问题,你要盗号,能架服务端,要能升级,要能免杀,或者抢先杀掉杀毒软件,但是现在不需要了,因为行业已经有细致的分工了,downloader已经不需要你自己做,他可以帮你干很多事,你写木马的人只需要写木马就可以了,而且加壳这些都是由专业人士提供了。

  所以安全软件面临的问题比较明显,第一个问题就是越来越大的病毒和木马库。现在木马库非常容易突破百兆,如果我们查杀100个木马,特征库就是100个,而且还不够。跟木马拼更新也不够的,因为它比较小,也没有什么测试,而杀毒软件就面临一个问题,就是会不会出Bug。另外就是样本太多,无法精细分析,包括误报和漏报都很严重,为什么会这样?因为样本太多,分析比较难,因为你机器毕竟是死东西。

  还有一个就是样本无法及时获取,对新木马的响应速度慢,一个木马盗号只需要十几秒钟,但是一个木马从取得样本到变成用户机器上可以更新的病毒裤,时间是比较长的。所以当一个新木马出现的时候,就很容易出现一些受害者,而安全软件对于新木马的识别是不大靠谱的,因为所有新木马在推出之前,都会用现在市面上流行的安全软件进行扫描,如果扫出来他们就再改,改到你扫不出来为止,所以虽然所有安全软件都做了通杀,虚拟机等功能,但是都用不上。

  我可以举一个例子,就是安全软件面临的问题,因为我也是一直在做安全,做了七年多杀毒软件。比如说一个木马加了一个壳,这个壳很奇怪,我们认为加壳的大部分不是好东西,我们就报这个壳,然后木马就换一个壳,结果用这个壳的正常软件他不会换,所以你就误报了,最后发现你相当于端着枪走进人群,你打,有时候坏人没打着,打着好人了。

  最后就是敌暗我明,主动防御敌不过免杀。我记得卡巴8.0主动防御出来的时候,觉得对木马还是挺有效的,正式发布以后,发现越来越没效了,因为敌暗我明,相当你摆一个靶子到那去,对敌人说,你来打我吧,他可能一两天想不到,但是一个月就可以把你攻破了,但是你杀毒软件不可能一个月换一个杀毒方案,这就是问题。

  所以安全软件继续目前的技术框架,面临情况只有两个字,被动。主要原因是木马对于互联网的理解领先于安全软件。其实病毒和木马一贯是先驱者,像当年蠕虫传播的时候,他们是非常有互联网思想的,后来就把这种方式,我们称之为病毒行销,一个东西几天就成为全世界了,可能厂商就想如果我新闻能这么做多好。现在木马之所以难打,就是因为互联网。

  没有互联网的时候,当贼的都是比较低调的,因为他知道,一旦被你发现,你很容易把它杀掉,那个时候像马希思,他是避免你发现,但是现在木马不怕你发现,他充分利用互联网,他可以升级,比你先知道信息,动作比你快,所以我觉得,在现在这个具体情况下,任何具体的技术都难以长期对抗木马,因为信息是共享的,安全本质上是对抗战,攻防战。

  第二个,主动防御类似于马奇诺防线,我专门举了一个保险箱的尴尬。07年的时候,当时毒霸、360、瑞星基本上同一个月推出这样的产品,名称可能不一样,就是保险箱,这个产品每家厂商都是经过半年以上的研发,而且技术都是不错的,但是到现在,保险箱一点用没有,因为现在所有木马都可以登陆保险箱,如果装了保险箱就不被盗号,那木马作者早饿死了,所以杀毒软件不是不行,而是杀毒软件占有率太高了,如果木马不破杀毒软件他就没饭吃。所以就是说,我觉得具体技术也好,主动防御也好,都类似于马奇诺防线,他非要过你,地上挖个洞都要过你。

  第三个就是行业内大家讨论的问题,传统鉴定手段能不能满足现在吞吐量的要求,现在都是几百个木马,你就算一天100个,一年也就三万个,这个还是不够的。

  第四个也很重要,大家都抱怨杀毒软件特别占资源,我也不能说什么,因为我这台笔记本就没有装杀毒软件,装了以后速度要慢的多,为什么那么占资源呢?因为它复杂。现在的杀毒软件跟五年的杀毒软件复杂度完全不一样的,因为它面临的问题要多的多,大家知道,软件越复杂,资源占用越大,运营成本越高,产品改进越慢,BUG越多,就是说,跟木马作战的时候,木马采用游击战的策略。对于木马来说,它成本比较低,他被杀了是应该的,他躲过了是万幸,而杀毒软件你保护了再多次,但是只要中了一个毒,用户还是说你这个不行。

  那么继续这个“云”的思路,这个我不多讲了,所谓“云”就是指服务端计算,云安全就是把样本的收集、鉴定、处理工作从用户PC转移到互联网服务器来。

  在座都是媒体朋友,云安全肯定不是新概念了,至少去年厂商就开始炒云安全了,真假云安全,进口、本土云安全等等。其实四年前,安全厂商就开始讨论如何利用互联网更好的收集样本,这就是云的前景了。07年的时候,11月,我在AVAR2007年的时候突出互联网可信认证概念,那个时候我们也在做一个服务端返回文件是否安全的模型,这个在一个月之后,集成到了我们产品之中。所以云安全不是一个新玩意。

  我觉得安全技术没有突发爆发的革命,我觉得做安全既没意思,也不神秘,因为你没啥创造,做病毒和木马是有创造的,它创造了,所以我们要扼杀它的创新。我们不可能针对不存在的病毒和木马,而且我现在也没好奇心猜它怎么做,因为我过去猜了很多次都错了,这是一种对抗的状态,所以安全技术没有突发爆发的革命。前几天,360也在说,他们云安全是一个革命,我觉得这个提法不对。

  为什么要用云呢?不是因为云这个字好听。我也想讲讲我的观点,也给媒体各位朋友一些参考意见。我个人认为用“云”带来的好处能开辟敌后战场,20年前安全软件用的是黑法则,就是一群文件里面用特征找出一两个有问题的文件,安全的本质其实是黑白判定,这个世界上的文件只有两种属性,一种是黑,一种是白,没有不黑不白的。如果用云的思路,其实我们可以开辟一个白战场,什么叫白战场呢?

  现在情况是,用户机器上所有文件都可以在互联网上找到,比如说我这台机器,所有文件在其他王敏机器上都有,所有可信文件,也就是说我完全可以收集国内用户机器上所有的文件,我不需要从每个人的机器上都上传一份,我从互联网上找到它就可以了,而找到以后,大部分的软件,其实我是可以知道他是干吗的,因为我可以知道它的来源,知道来源的软件我不需要考虑是不是木马,因为它有良民证,所以我只需要对没有良民证的才要判定它是不是木马。

  而野鸽白文件可以占到互联网上所有文件的多少,保守来看70%,80%,这就意味着我做了一个减法,我少到70%80%的工作量,这就是白法则,为什么不能在白名单里做,因为需要海量特征库,如果用云的话,就不怕这个海量特征库,其实现在存储非常便宜,一T的硬盘才多少钱,但是全世界的网页收集起来才多少。

键盘也能翻页,试试“← →”键
最新资讯离线随时看 聊天吐槽赢奖品