分享:IE9之SmartScreen程序信誉

hj5abc

原文：SmartScreen® Application Reputation in IE9
IE官方blog 5月17号的文章，介绍IE9中SmartScreen新增添的程序信誉保护
==============
译文（有所修改和省略，避免过于冗长，便于理解，重点在前面）:

比起通过漏洞攻击，利用社会工程学攻击更为常见和广泛(即通过诱骗用户下载运行恶意软件)
尽管每日头条都是介绍哪个高危漏洞被利用，网民面对更多的还是利用社会工程学的攻击，IE9中的SmartScreen(以下简称SS)新增的"程序信誉"正是为了对付这种攻击应运而生
本文将介绍现实世界中的攻击和这种保护方式是如何工作的

社会工程攻击和防御的技术

用户被诱导下载的恶意软件是个大问题，且还在不断增长

通过SS过滤器，IE有效为2-5百万IE8和IE9用户阻挡了众多基于社会工程学的攻击。
从IE8发布的那天起，SS已经阻挡了超过15亿次恶意软件攻击，而IE仍然是防御这种基于社会工程学攻击的主要浏览器。
据统计，我们发现，每14个被下载的软件其中有一个会被确认为恶意软件。

SS原本在IE7时代被引入的时候，是一种基于URL云信誉的过滤器，用来防护钓鱼攻击；
而在IE8时代，SS新增了另一层同样是基于URL拦截的保护，用来拦截诱导用户下载恶意软件的网站（如假装看视频需要安装某播放器，或欺骗用户下载伪造的杀软等）
基于URL拦截的保护，是IE保护用户免于利用社会工程学攻击的一道重要的防线

而在IE9时代，SS新增了另一道基于拦截用户下载的程序的防线，是对上面的提到的基于URL拦截的保护一种补充，这道防线就是SS程序信誉保护。
说到下载，其他浏览器，不是拦截所有用户下载的软件，就是完全不拦截，这两种方式都不能很好的帮助用户在判断下载的未知软件时作出正确的选择。
SS程序信誉保护正是突破了这种局限，特别是面对新一轮攻击发起，而恶意网站和软件未能被识别之前，SS程序信誉相比不管下载什么都拦截的浏览器来说提供了更好的防护。

通过信誉评估，新出的、试图伪装正常软件、并未能被现有安软检测到的恶意程序能更好的被区分，从而保护用户；
信誉评估也能使IE9建立起一个白名单或误报名单，从而移除不必要的下载误报警告。
举个例子，由知名的软件发布商推出的、并被广泛下载的、拥有有效数字签名的软件比由一个新建网站发布的、还没被广泛下载、没有数字签名的程序拥有更高的信誉。



解剖现实世界中的攻击

让我们来看看，SS程序信誉是如何保护IE9免于一个特殊的攻击。这张曲线图显示了一次大型攻击中该恶意软件被下载的流量。

IE9程序信誉在该恶意软件出现于网络上的第一时刻（0时）就警告IE9用户：



传统的基于URL和杀毒软件拦截的保护在11个小时候才开始发挥作用，而这时已经错了该恶意软件攻击的最活跃的时段。而IE报告该恶意软件拥有较低信誉，正是用户此刻唯一的防护手段。99%的IE9用户在收到这个警告时选择了删除或者不运行这个程序。



在这次攻击实例中，IE9的程序信誉拦截了这种攻击中的诱导下载（在其他情况下误被信任），大部分用户可以通过这种警告做出正确的选择。
这就是为何99%使用内置了SS程序信誉保护IE9用户能避免这次感染。这只是现实世界中的一个实例。
下面我们将探讨如何牢牢掌握这个大趋势。程序信誉将是一个变革，它将改变如以社会工程攻击占主导的恶意攻击局面。

及时的结果

从IE9使用的统计数据来看，我们看到两个主要的特征：

对于IE9用户，恶意软件感染大大降低了
1,用户在收到程序信誉警报时95%时候会选择删除或不运行该恶意软件；
2,我们估计程序信誉保护每个月将会阻挡超过2千万的附加感染，超过SS本来的基于URL信誉拦截的量

高效的体验:只有高风险的程序才会被警告
1,因为程序和发布商都可以建立信誉，90%的下载将不会弹出警告；
2,从我们的数据看，一般用户每年只会看到两个弹出警告；
3,收到未知软件警告中，有25%-70%的情况下存在恶意软件感染的风险

IE9采用了社区信誉来评估用户下载的软件，并对未建立信誉的软件进行警告，因为这类软件具有更高的风险。
在一天内有50%的新发布的软件未建立起信誉，而25%-70%触发程序信誉警告的软件过后会被确认为恶意软件，建立了信誉的软件和发布商将不会触发警告。
许多用户不会或很少会下载信誉低或不具备信誉的软件，而一旦下载这类软件，他们将会收到一个显眼的警告。用户会更注意地去看警告，因为这类警告并不常见。
用户可以选择继续下载，但我们的数据显示，用户会花时间去查询并确认这类被警告了的软件，在程序信誉的辅助下，用户能更好的区分恶意软件和正常软件的下载。

通过收集数据，为消费者提供更好的保护

我们的目标是为发布商的每一个软件建立信誉，以便消费者能获得更安全更简便的下载体验。从IE9 beta开始，我们分析了上十亿的下载，在网络上建立一个持久的程序信誉和信任的模型。为了维持这个覆盖率，我们建立了一个大型的情报系统来每天处理上十亿的信息。这些系统持续地为新的和已存在的软件和发布商提供信誉的建立。

有时候，有些用户会收到信任软件的警告，从我们的数据来看，这种情况很少发生，因为当发布商已经建立了信誉，其发布的软件也会集成发布商的信誉。新的软件发布者也可以在其软件每次被下载后通过代码签证来迅速获得信誉。所以，96%的警告来源于未签名的软件，而剩下4%的警告来源于之前被判断为恶意软件的证书所签名的软件或者正在建立信誉的软件。当用户信任与他们做交易的人时，用户可以在遇到警告时做出明确地选择并获得下载。

驭龙

我先来支持一下
================================================

大家要注意SS真正强大的并不是防网页页面病毒，而是下载程序的拦截，SS不能取代杀毒软件网页保护。

原因看看这个吧
http://blogs.msdn.com/b/tzink/archive/2011/06/02/clearing-up-some-data-on-comparisons.aspx

Johnkay.Young

好文。

hj5abc

大家有空可以看看。

あ掵㊣峫淰℡

chrome无压力[:01:]

Ранени

需要手动开启吗?怎么知道是否已经
开启?

驭龙

Ранени 发表于 2011-6-4 12:25
需要手动开启吗?怎么知道是否已经
开启?

IE9默认是开启SmartScreen的
点击工具→Internet选项→高级，就可以查看了

Ранени

zdshsls 发表于 2011-6-4 12:31
IE9默认是开启SmartScreen的
点击工具→Internet选项→高级，就可以查看了

大家要注意SS真正强大的并不是防网页页面病毒，而是下载程序的拦截，SS不能取代杀毒软件网页保护。

是防止不明的东西暗中下载?

驭龙

Ранени 发表于 2011-6-4 12:39
是防止不明的东西暗中下载?

Microsoft之前宣称SmartScreen可以拦截百分之95以上社交威胁，之后趋势科技做了一个测试，SmartScreen的拦截URL不到百分之十，接着在微软的博客上就出现SmartScreen主要是拦截下载威胁，而不是网页上的URL。

具体情况就是这个样子了，其它的我也不知道了

Ранени

zdshsls 发表于 2011-6-4 12:47
Microsoft之前宣称SmartScreen可以拦截百分之95以上社交威胁，之后趋势科技做了一个测试，SmartScreen的拦 ...

原来如此