APT对传统反病毒技术的威胁和我们的应对尝试

尘梦幽然

z13667152750 发表于 2013-3-20 22:16
你认为所谓的云主防会没有信誉云的参与,只靠黑白名单就可以了?还有反钓鱼,连云查杀都可以有信誉云,云又 ...

请问阁下我有这么说过或否定什么吗？我什么都没说呢。我只是想说国内外两种云发展的主要方向不同，所以用更通俗的方法来称呼它们。
你说的这些我多少知道。主要是我并不是从业人员，秉着尽量严谨的态度我一般避开在公开版区说这些。如果私聊的话我很愿意和您放开来交换想法。

z13667152750

尘梦幽然 发表于 2013-3-20 22:27
请问阁下我有这么说过或否定什么吗？我什么都没说呢。我只是想说国内外两种云发展的主要方向不同，所以用 ...

我认为云最终发展方向都是统一的,国内也有安全软件厂商在做大数据分析,国外也有以查杀为主的云,但最终都是要实现快速反应以及免杀难度的最佳平衡

我不同意的是这篇文章的一些看法,无论什么解决方案,最终的优劣都是看实际效果来评判的,包括短期的和长期的

这篇文章的很多方面都显示出了安天与常规安全软件厂商所不同背景

尘梦幽然

z13667152750 发表于 2013-3-20 22:31
我认为云最终发展方向都是统一的,国内也有安全软件厂商在做大数据分析,国外也有以查杀为主的云,但最终都 ...

我觉得分析是找出解决方案的第一步，这篇文章在此基础上肯定了国际大厂的技术实力和分析能力。
有的东西不是一下就能看到效果的。比如Flamer和Duqu，诺顿虽然都没有添加它的病毒定义，但是信誉云都成功自动将其分类为威胁。而相比之下，那些“查杀云”则一个都没有能够检测出来该威胁的。开发侧重点不同，效果也不同，用途也有差别。比如诺顿的信誉云对小众文件却有较高的误报。但是这些都在逐渐调整当中。我们看得到“信誉云”和“查杀云”的进步。

z13667152750

尘梦幽然 发表于 2013-3-20 22:38
我觉得分析是找出解决方案的第一步，这篇文章在此基础上肯定了国际大厂的技术实力和分析能力。
有的东西 ...

实际使用中,我不认为诺顿的信誉云有意义,只有会确实报毒的监控,sonar才有实际意义

信誉云只有转化为你所谓的查杀云才对用户有意义,这种转化过程才是各个安全厂商的最大技术

尘梦幽然

z13667152750 发表于 2013-3-20 22:43
实际使用中,我不认为诺顿的信誉云有意义,只有会确实报毒的监控,sonar才有实际意义
信誉云只有转化为 ...

这需要时间来证明了。
不过诺顿的信誉云在企业对抗APT中起到了一定的作用。也有利于企业安全策略的制定。而目前查杀云在企业内部的作用却相对有限得多。
所以我前面才有提到啊，作用不同，定位不同，市场不同。

wjcharles

z13667152750 发表于 2013-3-20 22:43
实际使用中,我不认为诺顿的信誉云有意义,只有会确实报毒的监控,sonar才有实际意义

信誉云只有转化为 ...

信誉云可以用来入口防御，已知的比如SEP可以按需要设定不同的阈值，按下载的文件的信誉数据拦截，有一定的意义。当然缺点也很明显，只要绕过这个检测就可以了。

我的理解，信誉云主要的数据来源是跟文件相关的间接信息，查杀云主要是分析文件本身，两者可以结合，并无严格的界限

正如安天的报告所说，建立企业的私有云，查杀云根据厂商发布的各种定义进行检测，信誉云根据文件的足迹等进行数据挖掘，才有可能对抗目前已知的APT

yaoogle007

不错的文章，真心学习了

Humhook

这篇文章简单的一句话概括就是： 部分国产杀软内功太差  剑走偏锋 注重短期效果

鉴往知来

实际上我们永远都没有停止应对，只不过我们可能还不够积极主动，而且没有把它转化成有效的产品形式。我始终坚信，我们对于对手的恐惧和无力感不是软弱，而是我们对于技术的敬畏与执著的源泉。来自: Android客户端

z13667152750

wjcharles 发表于 2013-3-21 01:45
信誉云可以用来入口防御，已知的比如SEP可以按需要设定不同的阈值，按下载的文件的信誉数据拦截，有一定 ...

现在使用云的谁不知道这样用的?

关键是要用得好,查杀高误报低