赛门铁克揭 新主动式防御技术

Tenki

赛门铁克揭 新主动式防御技术


赛门铁克揭 新主动式防御技术
记者马培治／台北报导　　03/07/2007



赛门铁克发表新的主动式防御技术，强调将减少使用者判断机会，并可更精细、仅局部封锁威胁等功能。

资安厂商赛门铁克继于其消费端资安软体Norton 360中加入其首个主动式防御技术SONAR后，今(3)日在台透露将于明(2008)年推出新版防毒产品Norton AntiVirus时，加入开发代号为Canary的浏览器弱点防御技术。此一新技术在封锁可疑威胁之余，会更重视使用者体验，例如在遇到可疑威胁时能自行判断、不去询问使用者，且只封锁有危害的程式码，而非整个网页，让威胁被阻挡之余，使用者仍能获得所需资讯，该公司指出。

不过赛门铁克并未透露产品推出时程与相关技术细节，仅表示详细资讯将待产品准备就续后，才会向外界发布，预计将加入2008年版的防毒相关产品。





在网路攻击由单一版本即可造成大规模感染的病毒、蠕虫等，转而以偷取资料、赚取金钱为目的，且变种快速的恶意程式主导的情况下，找到病毒、进行分析、释出病毒码的传统特徵比对(signature-based)技术的标准流程已跟不上新威胁出现的周期，这使得发展主动式防御科技，如行为侦测等，已成为资安业者近年来共同的努力方向。

「但未经精细设计的行为侦测安全产品，反而未必能让使用者受益，」赛门铁克行为侦测引擎技术架构师Mark Obrecht表示，某些采用行为侦测技术的软体，抓到可疑的应用程式后，多半是跳出视窗要求使用者自行判断要不要放行。他认为，一般使用者多半缺乏判断危害程度的能力，提供使用者太多选择的结果，可能反而是让使用者在感到不耐下只会点击同意的选项，让自己曝露于威胁中，也丧失安全产品的意义。

「有的产品则是一侦测到可疑行为，便直接封锁整个应用程式或网页，」该公司个人消费性产品事业部产品管理总监Bill Rosenkrantz补充道，完全封锁将让使用者无法正常使用电脑，虽然安全性可能较高，「但却完全没有考虑到使用者的现实需要，」他说。

Obrecht认为，长远看来，行为侦测在安全软体中扮演的角色，相较于特徵比对将更为重要，但须精确判断威胁，减少误判(false positive)，并且仅封锁真正有危害的关键程式码，让使用者不必受到过多不必要询问讯息打扰，且能在威胁被封锁的同时，仍能使用应用程式的基本功能，或浏览网页中无害的元件。「使用者要的是资讯，如果资讯本身无害，为什么要封锁它？」Rosenkrantz反问。

同样是处理来自网页的浏览器弱点攻击，竞争业者趋势科技采用的则是网页评等的方法。

趋势科技虽然在其防毒与邮件安全等产品，都采用了同属主动式防御的启发式技术，但对于来自网页的众多新型攻击，趋势科技则是打算打造大规模的网址资料库，每日比对3亿笔以上的网页，以即时更新的有害网页名单来对抗来自网页的攻击。

http://taiwan.cnet.com/news/software/0,2000064574,20120201,00.htm

闪电战

那个SONAR的作用有人感觉到过吗？

tracydk

原帖由 闪电战 于 2007-7-4 15:50 发表
那个SONAR的作用有人感觉到过吗？

没发现

yym1988520

这个技术的确不错呵呵，赛门铁克就是有钱 希望它越来越厉害