基于特征防护的软件不能满足消费者需求
黄智华在接受记者采访时表示,MSE是微软替代Windows Live OneCare的安全产品,此前,用户和业界专家对Windows Live OneCare的反馈并不是太好。他向记者解释说,从安全角度讲,微软这款产品提供的是简化的或是基础的防护,它只能对位于威胁雷达之下的基于“特征”的病毒进行检测。
黄智华还解释了基于“特征”防护的概念,他表示这种防护只能对位于威胁雷达之下的基于“特征”的病毒进行检测。他还认为面对当前复杂的互联网环境和猖狂的黑色产业链,这样做却并不能为消费者提供全面的保护。
此外,他还特别指出,当今互联网上的威胁是复杂多变的,每次改写都会延长恶意软件的存活时间,同时改变了病毒特征,从而使得传统的启发式检测和特征检测无法判断,并导致许多恶意软件能够延长藏匿于威胁雷达之下。黄智华向记者强调,“仅仅通过特征文件和行为启发式检测,已经不再能够遏制数量急剧增加且日益复杂的安全威胁。”
基于信誉评级的Quorum技术
当记者问及黑色产业链给安全厂商带来的挑战时,黄智华称,“如何应对传统检测方法无法检测到的恶意软件,提升对付更棘手的‘零日威胁’的动态检测能力,这些都构成了对安全厂商的挑战。”此外,他还表示,对于用户的引导和教育也是非常重要的,称应该让他们意识到现在的威胁和以前的威胁所面临的环境是有巨大变化的。
据悉,赛门铁克为了应对这种挑战,已经于9月23日在中国发布了诺顿2010安全软件。据他介绍,该软件采用基于信誉评级的安全技术(Quorum),代表了在多层防病毒防御中的一种全新且尤为重要的防护手段。
据黄智华介绍,Quorum技术是赛门铁克经过三年时间研发的成果,它可以跟踪某个文件或某个应用程序及其相关联的数十个属性,如存在的时间、下载来源、数字签名和盛行程度等。随后,Quorum使用复杂的算法将这些属性结合起来,以决定该文件或应用程序的信誉。当文件在互联网上传播而属性更改时,便会更新文件的信誉。对于一个新文件(很可能是威胁),传统的防御方法可能检测不到时,此信誉信息就显得尤为重要。通过诺顿社区防卫3500万成员的及时反馈、对文件或程序的信誉评级,Quorum实现了保护消费者的最终目的。
黄智华还自豪地向记者透露,独立第三方测试实验室 AV-Test.org 最近还宣布,在其最近的传统检测方法(如启发式检测和特征检测)以及对付更棘手的零日威胁(传统方法通常检测不到)的动态检测测试中,诺顿 2010 测试版的查杀正确率达到99.75%。
消费者应养成三个良好的习惯
据赛门铁克统计,从2002到2008年,威胁的数量呈现爆发式的增长,增长达到了600%,预计2009年将存在超过250万的病毒威胁。同时,黑客的行为已经从早期的技术炫耀性演变成有组织、有盈利目的的行为,甚至现在整个黑色产业链每年交易金额远远高于毒品的交易额。黄智华就此表示,“现在的用户应该要了解现在整个安全威胁的状况,如今的安全威胁已经不是以前非常静态的、基于特征的或者是行为启发方式的检测手段,是能够很简单的防御的,我们需要很好的面临零日威胁,这些威胁更隐蔽,造成危害更大。”
对此,他还针对用户日常互联网应用提出三点建议:第一,对操作系统,包括浏览器,要经常更新补丁程序;第二,安全软件不是静态的安全,它需要不断的把病毒定义进行更新,要选择一个全防护的安全软件,因为好的安全软件不仅仅是对病毒定义进行更新;第三,对个人信息防护要有足够的重视,要经常性更改比较敏感的个人信息,比如密码等。
谈及安全威胁形势的日益严峻,黄智华向记者介绍说,“中国已经成为全球第二大被黑客攻击的遭受网络犯罪袭击的国家,仅次于美国。”对此,他认为一方面消费者要寻找更好的防护手段,另一方面,安全厂商也要不断提高技术手段,开发更好的产品来保护消费者。谈及未来安全行业的发展,这位赛门铁克的高层意味深长地说,“怎么样利用最好的技术把研发出的成果真正提供给用户,推出有价值的服务,这是整个行业共同要面对的问题。” 最后他还非常自信地表示,未来十年,互联网安全行业将会以 Quorum 这类技术为基础。