独家专访趋势CEO陈怡桦：侦测率竞赛是自欺欺人

lcatxin

日前以「 防毒产业骗了客户20年 」等惊人之语引发震撼的趋势科技CEO陈怡桦表示，大胆言辞的背后目的在让大家正视防毒产业的问题所在，「要解决问题，得先正视问题，」她说。  
陈怡桦在本(七)月初在纽约发表新产品并接受各国媒体采访时，语出惊人表示「防毒产业骗了客户20年」、「防毒产业糟糕透顶(Antivirus industrysucks!)」引发议论，她上周(7/17)返台接受ZDnet独家专访时解释，除了耸动的字面意义，她更希望整个产业能借此真正面对问题核心，并解释趋势投入云端运算的目的，即在于希望解决防毒产业面临病毒数量大增导致特征比对失灵的重大问题，而非互相比较在封闭环境中测试出的病毒侦测率，「那根本是自己骗自己，」她说。

她并提到投入云端运算技术后所可能产生的各种新型态服务，有助趋势从单纯的防毒公司，跨向更多不同的领域。

以下为访谈摘要：

问：你在美国的一席话传回台湾后，引起不少讨论，当中也有不少负面批评，防毒产业真的糟糕透顶吗？

答：我之所以会说这些话，是为了要解决防毒产业的问题。 要解决它，就得先正视它。 去(2007)年总共有550万只新病毒出现，你能据此说防毒产业做得很好吗？ 如果你真的要透过病毒码更新的特征档去比对出这550万只新病毒，你的电脑根本就没办法用了。 这是为什么我们推出云端运算技术的原因，因为目前绝大多数的新病毒是透过网页进到使用者的电脑里来，我们只要去分析这些网页，并且不让使用者连到这些恶意网页即可。 这需要庞大的运算能力，所以我们过去五年来在日本、台湾、美国东西岸、德国等全球六个不同地点，设立了云端运算的机房，搜集、分析所有的网站资料，把病毒比对的工作由最云端运算技术来执行，可以大幅缩短分析的时间。
我们虽然很努力去面对大量病毒的问题，但产业似乎没有普遍接受我们的作法。
事实上我们已决定退出Virus Bulletin（编按：知名防毒软体病毒侦测率测试组织，颁发的VB100标章经常成为防毒软体用来宣传的重点），因为他们仍只允许防毒软体在封闭环境中扫毒，不允许运用网路上的资源，但那正好就是防毒产业当前最大的问题。

当外面有550万只病毒的时候，我们的产业却在比赛我抓了两千只、你抓了三千只，这不是自己骗自己吗？
退出VB测试、说出这些话，对这个产业来说就好像是丢出一个炸弹，当然也可能炸到我们自己。
但我宁可自己炸死我自己，也不要被病毒炸死。
  问：不同的业者似乎也有类似的观察，赛门铁克高层日前也说95%的病毒扫瞄动作是多余的。
答：没错，但重点是在你有没有办法判断出来哪95%是绝对没问题的。 客户要的就是我们要把那有问题的5%抓出来。
我们为什么采用云端运算，目的就是要更准确抓出这关键的5%。

云端运算早期多半被搜寻业者使用，像是Google、雅虎等，因为它最大的特色就是能在海量般的资料中快速搜寻出你要的东西，当我们意识到当前防毒软体的问题时，就认为云端运算刚好能解决这些问题。
搜寻技术就好像是大海捞针，防毒业要做的，则是「海底捞毒针」。
  问：可是透过云端运算来封锁恶意连结带来的病毒，是不是也代表了没有网路连线的电脑就无法获得防护了？
答：我们应该先反过来看，为什么会有多达550万只病毒？ 因为它们都来自网路上，透过网路传播、自动下载、各种变种，才会有这么多病毒。
目前的病毒散布手法相当高明，它可能是先攻陷一个合法网站，植入特定的程式，这个程式通常是无害的，任何所谓的启发式扫毒引擎都未必能侦测出来，这种程式通常会是一个未启动的下载器，日后再伺机从不同的网路连结自动下载不同的程式到你的电脑里，这些个别的程式码可能是一个完整恶意程式的片段，因此防毒厂商未必能在第一时间发现这些「病毒」，必须等到所有片段程式码都被下载后，再组装成一个大毒虫，等到它真正发挥作用，这时你的病毒码可能根本还没办法对付这种最新病毒。
因为这些新型病毒高度仰赖网路连结，所以我们何不在一开始就把这些恶意连结挡住，不让后面的事发生？ 我称这种作法为以子之矛，攻子之盾。

[ 本帖最后由 lcatxin 于 2008-7-21 23:08 编辑 ]

边缘vip

一点，面，两个概念，没有太直接的联系，但也不能说没有联系
杀软也一样，一项功能不能盖全面

嘁。不稀罕~

...大厂商和小厂商不同之处在于，新的技术出来后：
大厂商先提前部署，然后商用，一击即中！
小厂商抢先推出，然后拿用户测试。。。
云计算不是万能。。。网络安全任重道远。。。

lcatxin

下一代安全在网云运算
  
问：但如果这些连结上的病毒都只是乍看无害的程式片段，你怎么知道哪些连结是有问题的呢？

答：这和我们的技术背景有关。
趋势大概是唯一一家既懂防毒、又做防垃圾邮件，也同时有URL过滤产品的资安业者。
事实上我们的云端运算技术就是综合上述三种技术而来。

举例来说，当我们收到一封含有URL的垃圾邮件，或有用户连往一个新网站，我们便会马上将URL拿来分析，检查这个网站中有哪些元素可能有问题，找出来后，再将此资讯和全球的网站作出比对，发现还有哪些网站藏有一样的恶意元素，在此同时，我们也会检查可能的恶意程式中包含哪些转址资讯，因为这些转址终点通常都是下一个病毒元件的来源，我们也会自动连去下载这些元件、立刻进行分析，透过不停的循环，快速累积出新的病毒特征码，以及可能有害的URL连结。

除了网站本身的分析，我们还会针对URL域名的历史记录、域名申请者与IP来源地等各种网站信誉资料进行分析，透过不同的方法，从使用者下载一个档案、收到一封邮件，或连上一个网站这些小动作开始，立刻找出其他5000条以上的线索，并在15分钟内分析出所有线索间的相关性，并作出安不安全的评定。

过去我们要做到这种深度的相关性分析得花上五个星期，现在我们有了云端技术，可以在15分钟内完成所有分析。

而且这套系统在越多使用者使用的情况下，便会累积越多的分析资讯，让结果更正确，就好像Web 2.0一般，所有使用者的行为，都可以让这套系统更聪明。
  
问：病毒太多、网页浏览越来越危险，理应是整个防毒产业的共同问题，但为什么在主要的业者中，似乎只有趋势采用了云端运算的技术？ 这真的是最理想的作法吗？

答：当然不同的业者有不同的想法，我认为关键还是在趋势是同时具有防毒、防垃圾邮件及URL过滤三种技术的厂商。

赛门铁克过去几年虽然并购了好几家公司，却一直有没有和URL过滤相关的；McAfee没有自己的垃圾邮件技术，是用Postini的技术；卡巴斯基则只在防毒很强，其他都没有；至于在URL过滤做了很久的WebSense，则没有自己的防毒技术，必须与Sophos合作，但如果你要能作出最完整的关联性分析，这些技术都必须是你自己的，才有办法分析出不同来源资料的相关性。

我还要提出的是趋势一直以来都有跨部门分享、协作的文化，在一般的大企业里，不同的部门多半各行其是，但我们不同的部门竟然能互相想出这样的分析方式，很令我感动。

问：怎么会突然从传统的作法转型到云端技术呢？

答：我们并不是突然决定采用云端运算技术，事实上，我们准备了五年之久。

五年前我们为了做家长监护功能，第一次把URL过滤功能放进PC-Cillin产品，就是这一切的开始，一路来在全球各地投资新的机房、设备、发展技术，投资金额大到股东们不停问我到底把钱花到哪里去了。

其实对我们来说，关注的核心问题就是客户的问题解决了没有？
但现在病毒的问题只有更严重，而趋势虽然已经是一个营收接近10亿美金的企业，但我们全球桌面端防毒软体的市占率也不过才8%而已，我们还有很多可以做的事。

[ 本帖最后由 lcatxin 于 2008-7-21 23:21 编辑 ]

Kevin Garnett

很有意义。收下了！每个CEO都有自己的感慨。

gho

只是了解一下内部人士的看法

lcatxin

趋势科技（Trend Micro）执行长陈怡桦对于防毒产业过去20年来的效能有一番独到见解。  
陈怡桦表示，安全产业普遍夸大了产品的效能，因此多年来一直误导了客户。

陈怡桦认为以目前病毒推陈出新的速度，没有单一公司能做到完全保护。


Q：趋势最近也开始转战云端服务，那么传统的防毒方法还有效吗？

在防毒产业，我们已经骗了客户20年了，大家都以为防毒软体可保护他们，但其实我们不可能完全挡住病毒。
防毒软体通常是24小时更新一次，很多人都会在这空窗期内中毒，而产业则会用一个新的病毒码（pattern file）来做善后。

过去20年来，我们也太过自我膨胀，哪有人可侦测550万只病毒的？
现在是没有大规模病毒爆发事件，多半是著重在恶意软体危害，但若没有病毒样本呈报过来，根本不可能去侦测到。

其他模式的分析呢？
你不需只靠防毒而已？

每年产业都会推出一个新口号，但后来总是失败收场，启发性技术(Heuristics)会利用规则来检视档案，但病毒作者当然也知道。
他们会把恶意程式分割成好几个档，并下载每一个档来跟启发性技术做比对测试，每个档案看起来都没问题，但合在一起，就变成病毒了。

三年前，市场最热的口号是「个人防火墙」，但你不可能挡得住所有东西，若真要有效的个人防火墙，你得挡住port 80，但HTTP就使用port 80，你若真的挡住了，就无法使用网际网路了。
  
HIPS（主机入侵防御系统）有很多规则可判定某个应用是否想要接触另一个应用。
HIPS行为监控需要档案才能执行，因此病毒作者也会确保他们躲掉这些规则。

那么现在云端技术（in-the-cloud-computing）是不是也是另一个口号呢？

趋势进军云端运算是因为有这必要，骇客现在也会渗透网站，使用者点了URL（网址）后，他们就会被重新导引至一个恶意网站。
他们先下载一个元件，通常是一个下载程式，然后又下载更多元件跟recompiler。

趋势今年三月曾有两个网站被骇客入侵对吗？

这显示出这是人人都会碰到的问题，我们的网站是委外做的，网站程式码里面有许多指令都可能被破解。攻击者可透过"SQL injection"插入Iframe，这个事情发生在一个我们外包出去的网页上，我也不知道那是哪家做的。

你知道是谁攻击趋势网站吗？

我们不知道，那是个大规模攻击，约有2万个网站，很难去追查。

趋势目前跟Barracuda Networks为了一个专利争议在打官司 ，由于Barracuda使用了开放原始码ClamAV引擎，开放原始码现在议论纷纷 ，因为任何公司若把ClamAV用在闸道安全产品中都会被趋势控告，真的是如此吗？

我们告的是Barracuda，不是ClamAV，这个专利跟如何阻挡传送中的病毒有关，我们跟IBM与赛门铁克都有交换专利，而McAfee还在Networks Associates时期也跟我们和解过。
我们跟Fortinet打官司也打赢。
我们尊重他人的智慧财产权，我们也希望别人尊重我们的。
这跟自由软体无关，而是跟部署有关。

水木

这两个主题里的内容太相似了，故给予合并

godhua

来看趋势考虑的很好，想到了从网页入手，源头上解决问题，很好很强大！

cctv12a

是的
趋势就是强悍！