千呼万唤始出来：趋势SPN问题集回覆

12973

发觉有一篇很有意义的文章,SO 我就自翻给大家看看了...

原地址:http://www.avpclub.ddns.info/discuz/viewthread.php?tid=19986

內容:
题外话：其实趋势的客服挺好的，只要是正版用户，都可以取得快速的回覆。不过因为在下要上课，9/9客服来电没接到也没回电，昨天9/14才"奇迹似的"接到。

不晓得是不是因为昨天跟客服聊了一下，说研讨会的问题还没回给我，今天就得到回覆了！另外又获得好友赠送的Kaspersky正版序号，真是双喜临门！

话说这篇回覆过了快一个月才来信，也许回信也有优先权吧。

问题一、请问为什么你们有了Trend Micro System Cleaner还要开发iClean解毒快手呢？
答：趋势科技Trend Micro System Cleaner主要是TrendLabs针对全球所流行的病毒所制作的解毒程式，然而纵观近几年的病毒演变，部分病毒出现区域化流行的趋势。
也就是说，台湾可能会遇到以台湾客户为目标的目标式攻击，而这类目标式攻击未必会在其他国家或全球出现。因此我们特别针对在台湾所发现较流行的病毒，制作了iClean解毒快手，以协助台湾用户可以快速解毒。另外，iClean解毒快手提供给所有的用户，包含非趋势客户都可以使用这项免费工具，也可以提供没有安装防毒软体的电脑作一次性的检查、杀毒动作。

问题二、请问趋势的云端是全自动还是有分析师监控？
答：趋势科技的Smart Protection Network主动式云端截毒技术，以自动化分析为主，部份较特别的样本需要进一步分析才会由分析师判别，专业的病毒分析师会协助自动化机制，且透过专业的经验转化为系统机制做到自动化的目标。

问题三、我测试了几百个网站，发现有些是死连结，有些则是误判，但是回报Trend Micro Web Reputation Query隔了好几天都没有处理，这是为什么？
答：很多恶意网站常常会无法连结（也就是您提到的死连结），这是因为骇客藉由不定时的修改网址以规避Url Filter类型防护系统的拦截；不过这些被幕后操纵的网站，还是列在系统认定的嫌疑犯名单中。另外，您提到误判的部份，有可能是这些网站表面看起来正常，但实际上背后被骇客操纵，正从事恶意活动，我们随时都在监控这些外表看似正常的网站，如网站已修复会自动排除WRS黑名单内。
Smart Protection Network目前重点放在服务既有的客户所提供的样本，不过为了快速有效的处理网页上传的样本，Smart Protection Network特别采用智慧型回馈(Smart Feedback)加速采用系统自动处理，随着云端运算能力在逐日提升，可改善人工的优先权限机制会造成的回覆延迟。

问题四、TrendMicro File Reputation的反应速度似乎不够快，我透过趋势网页上报了十几个样本，隔了好几个礼拜都没有处理，这是为什么？
答：您提到的File Reputation Solution（FRS）档案信誉评等机制是最新版本的趋势OfficeScan 10，才加入的新功能，在尚未升级到OfficeScan 10前，应该不会使用到FRS机制。
若之前透过网页上传样本功能，趋势科技的回应流程是先由第一线技术人员初步分析后，再送交Trend Lab进一步分析，若确认为恶意程式，再将其加入传统病毒码中。这是优先权限设定中较低的部分，建议趋势科技客户可利用趋势科技台湾客户服务的优势，与技术服务窗口联系提供最佳的服务。
OfficeScan 10为改善传统病毒码反应速度问题，以File Reputation Solution（FRS）整合云端技术，有效控制病毒码对个人端电脑记忆体的耗用量，趋势Smart Protection Network架构当中的一环，新的Smart Protection Network智慧型回馈(Smart Feedback)可自动地将安全相关的问题和事件回报给趋势科技，让趋势科技进行研究分析并迅速制作更新解决方案给客户。

问题五、对于智慧型HIPS(不需使用者判断)，趋势有何看法？未来有没有打算更进一步研发？
答：HIPS能有效防止新型态病毒利用系统或应用程式已知弱点进行感染，今年趋势科技已经并购加拿大HIPS厂商Third Brigate，未来趋势科技将持续着重在HIPS的研发与整合。
HIPS对于终端电脑有补强传统防毒软体的功能，趋势科技的云端服务将可结合HIPS防御，让HIPS可以透过云端关联分析提供多层次防御。

问题六、趋势有培训大学生或社会人士做为以后病毒分析师或研究人员的计画吗？
答：趋势科技今年度针对大专院校学生举办腾云驾雾程式竞赛，其主要目地即是提供青年学子一个学习最新领域技术的机会
除了三天两夜的决赛之外，赛前并提供二梯次的课程由趋势科技专业研发人员教学，先教后战，培育下一代的资安软体工程师。
另外，趋势科技今年度尚需求50位软体工程师，有志投入资讯安全领域之朋友可以上趋势网站观看相关职缺：
http://asp.104ehr.com.tw/company/trend/trend_index.htm

问题七、依趋势说法，是不是靠搜集多数的中毒用户群来提升云端的侦测能力？
答：并不尽然，利用云端运算能力，可以有效的把把用户怀疑的可疑中毒样本送至云端来分析，并把新发现的病毒解药快速的传送到客户端，有效的解决客户所面临的威胁。云端服务是透过大量的资料行为分析关联性，当使用者电脑中毒或不经意连线到恶意网页时，可以把相关资料传回云端伺服器，运用「群战胜过单打独斗」的众多网友力量一起加强电脑资安防护。
Smart Protection Network最主要的目标是监测Internet上所有异常的现象，然后在客户还没遭受任何到任何危害之前，产生解决方案及时保护所有的客户。所以如何比骇客更快更迅速防患于未然会是最主要的关键，简单来说可以分为两部份：
1、从已知防患未知，并切断所有可能的感染途径(Infection Chain)。
2、从未知但可疑的行为来防患更多的未知。

理论上没有人可以监控整个Internet，就实际上来说也不需要，因为我们要保护的是我们的客户，只要时时监控所有客户所构成的这个网路是否有任何异常的现象及时反应，就可以在所有的客户外架起一个保护网，这就是Smart Protection Network主动式云端截毒最主要的目的。

寒山竹语

理念绝对不错。
但趋势就吃亏在流程上了。比如，病毒出现他不是发现不了。而是繁琐的流程决定了解药出现的太慢。
他们放出一个解药，那是层层的审核。。。。。而不是人家的瞬间就推出。哈哈。虽然是好事儿。但用户就觉得病毒码响应太慢了。
最好的办法是，加速。。。

12973

寒山竹语 发表于 2013-1-14 14:38
理念绝对不错。
但趋势就吃亏在流程上了。比如，病毒出现他不是发现不了。而是繁琐的流程决定了解药出现的 ...

烂在做病毒码的那堆菲律宾人....

时不着调

寒山竹语 发表于 2013-1-14 14:38
理念绝对不错。
但趋势就吃亏在流程上了。比如，病毒出现他不是发现不了。而是繁琐的流程决定了解药出现的 ...

不大爷说的好有道理
个人感觉云的优势就是快速响应这点国内做的很不错，趋势有很好的技术和实力不过个人产品这边趋势最不好是没让用户了解他的优势在哪里!
其实我心中未来的杀软应该是赛门铁克防御+小红伞查杀+国内的云，现实是残酷的

寒山竹语

时不着调 发表于 2013-1-14 16:26
不大爷说的好有道理
个人感觉云的优势就是快速响应这点国内做的很不错，趋势有很好的技术和实力不过个人 ...

国内哪有那么多流程。。。。。发现样本就入库推送了。当（国内）做大时。可能也会这么慢吧。。。
趋势的病毒码制作和推送流程复杂到什么程度呢。举例说明。某某要推送之前，会在全球范围内各种测试。假设某特征会和中文系统冲突。那么到中文这去掉。假设会影响到日文某聊天工具。那么到日文这去掉。假设。。。。太多了。比如曾经日文的特征会误杀中文系统。但是到中文你不会见到误杀系统的。
再举例：avast偶尔大范围误杀中文软件。就是以上这个道理。
假设趋势只有一个中国区用户。或者流程不严谨。那应该响应嗖嗖的。估计没几个能有这响应速度。能明白吧？现在要说响应快的体现，顶多也就在web。虽然特征码2013年响应上加速了。但是，还是偏慢很多的。
这个体现也轻而易举的就可以看到。HouseCall监测到的，个人版或企业版好几天才入库。为啥呢?搞病毒码推出之前的测试呢呗。。。万一来个全球大误杀。那趋势可好玩了。
其实，赛门铁克也好，趋势也好。都是入口防御这响应快一些。毕竟，这样即使误杀，误报，影响也不会大的离谱。

时不着调

寒山竹语 发表于 2013-1-14 16:45
国内哪有那么多流程。。。。。发现样本就入库推送了。当（国内）做大时。可能也会这么慢吧。。。
趋势的 ...

感谢解答，明白了

明月丶舞白衣

寒山竹语 发表于 2013-1-14 16:45
国内哪有那么多流程。。。。。发现样本就入库推送了。当（国内）做大时。可能也会这么慢吧。。。
趋势的 ...

HouseCall最新版下载在哪？还有，可以与趋势或其他杀软共用不不大爷？

寒山竹语

明月丶舞白衣 发表于 2013-1-14 17:48
HouseCall最新版下载在哪？还有，可以与趋势或其他杀软共用不不大爷？

没中文，中文也是老版本。
http://housecall.trendmicro.com/这是英文的。前段时间8系列测试。现在好像下载还是7系列。

蓝核

特地去谷歌了主防软件，发现是09年新闻，不知道现在趋势有主防么？好用么

明月丶舞白衣

寒山竹语 发表于 2013-1-14 17:50
没中文，中文也是老版本。
http://housecall.trendmicro.com/这是英文的。前段时间8系列测试。现在好像下 ...

可以与趋势或其他杀软共用不