【趋势云安全】小议“云”时代下的网络安全防护

黑白君

看完jp的帖子［美丽云端下的失望与希望］，我的观点有些不同，本想只是简单回复一下，结果写了很多，遂决定单开一帖与大家讨论。

————————————————
针对趋势云安全2.0

我个人认为：

趋势的云安全2.0是建立在1.0（web防护）基础上的
趋势云安全2.0的文件信誉防护与熊猫的云安全的样本收集来源有所不同，熊猫的云端数据库来自终端的扫描反馈，而趋势的数据库则来自web防护和邮件信誉防护。
当终端拦截到毒网时服务器（云）端会立即分析毒网中存在的可疑文件，然后记录到其文件信誉系统、邮件信誉系统数据库中。
这么做的好处是降低终端的负担（终端不需要复杂的启发分析模块），同时保证低误报（当然对测样本包时的检出率提升效果不是很明显），也提供了一定的前摄性防护，能够更早地发现和堵住源头（这便是趋势云安全的优越性）。
趋势的云安全的目的并不是单纯无差别地收集一个庞大的网络所有可疑文件、链接的黑白名单（那样的任务即使34亿台服务器也会吃不消），它是讲究实效的、有选择性地（针对一段时间内新兴、流行的网络威胁提供及时的防护）立体防护系统。
单纯拿几个样本包来测试趋势云安全2.0显得太单纯。
样本的检出率高的杀软不一定代表它一定安全，同样，有几个非主流的样本检测不出也不一定代表不安全。
针对目前的网络环境来说，就连VB测试也越来越无法体现一款安软的真实防护效果（从这点看趋势退出VB测试并非哗众取宠）。
我们应当抛弃成见，网络防护是一个立体复杂的过程，评判一款安软的好坏不能单看它针对个别样本的检出率。因为用户真正遇上非主流样本的可能性也是微乎其微的。
趋势云安全效果到底怎样，我认为，从理念上讲，它是先进的，它是安全软件发展的一种趋势。从趋势官方给出的成功案例来看，目前的效果还是不错的，相信在不远的将来，云安全一定会成为安全防护的主流~

————————————————

本人对云服务与云安全的部分理解

原帖由 朝闻道 于 2009-9-22 19:05 发表

云安全的关键不是“在线扫描”，而是联网校验
有些在线扫描需要花时间加载病毒库到本地或需要将文件完整上传到服务器才能给出判断，这都是不成熟的。

云安全的关键不是“自动上报”，而是客户端与云端的实时互动
只是自动上报的话依然存在滞后性，无法实时处理网络威胁，关键在于上报后能否立即得到反馈，立即得到应对威胁的解决方案

原帖由 朝闻道 于 2009-9-25 00:53 发表

请站在终端的角度考虑，假设存在这么一个“中转站”（云服务器）—— 终端用户在任何情况下访问“中转站”的速度很快（使得两者之间可以实时交流数据），那么用户完全可以把数据存放在这个“中转站”上以便随时获取数据；当终端用户需要运行大型计算时，绝大多数的运算内容可由这个“中转站”代劳，终端只需实时接收运算结果即可；当用户需要下载某些网站的资源而由于网络情况无法获取或速度很慢时，可由“中转站”帮助用户下载这些数据；我们可以这个“中转站”里存放一些网站、文件的信誉评价（这些内容都是由云服务器自动分析收集所得），当用户访问挂马网站或下载有毒文件时，这个“中转站”会立即把“阻止”的命令传达到终端。总之，这个“中转站”的存在使得终端可以借助它的力量完成自己无法完成的事情。

原帖由 朝闻道 于 2009-9-23 10:35 发表

我认为，“云服务”就是一个中转，本质上提供一个存储服务，时效性强的数据，终端不必“人手一份”，把他存到云端即可，需要的时候随时获取，本地只需保留“缓存”即可。在“云”时代，只需一个浏览器，几乎所有工作都可实现，我们使用在线的office随时可以办公、在线的高清视频播放随时观看电视电影动画、在线的大型3D游戏［应用云3D技术］随时娱乐、当然还有云安全实时阻断网络威胁的入侵……

————————————————

哎呀，写了2篇参赛帖，能不能拿2份奖呢？嘻嘻*^_^*

[ 本帖最后由 朝闻道 于 2009-9-25 01:16 编辑 ]

alexchen2008

分析得不错，理解比较透彻

jpzy

嗯~~其实我能理解趋势这么做的意义。
问题是对于终端用户来说，如果不是通过web到达本地的病毒，以趋势的特征码和启发能力，很难拦截成功的。

终端用户不管你用了什么手段，什么方式，有多高的效率。终端用户使用安软，首先要求的是——安全！

jpzy

在肯定趋势的web防护的同时，我还是希望趋势能够提升特征码的检出水平。现在的主流安软，仍然摆脱不了特征码查杀的技术，那么无论前摄做的多好，一旦样本到达本地，就只能听天由命了么？

我选择一个样本包当然不具有说服力。不过多少能够反映一些问题

何况运行中招的那个样本所采用的手段是目前主流的木马病毒都会采用的。

首先关闭进程中的任务管理器，添加IFEO达到屏蔽杀软的目的。估计还有检测到相关杀软就关闭的行为。接下来，添加服务项，释放exe到windows和IE目录，并且两个进程互相守护，紧接着联网下载病毒，加载驱动，弹出页面…………

黑白君

应当考虑使用环境，企业终端与家庭用户的上网习惯与用户需求还是有所不同的。

jpzy

嗯，所以我帖子里面写了。考虑到企业部署的话，如果能够防住入口，也还是可以的。

另外，刚才跟阿贝聊了一下，据说这个Trend Micro Security是面向上网本用户的~~~

黑白君

恩，Micro Security类似于熊猫的Cloud Antivirus，本地的病毒库和防护模块都很精简
同样拥有云安全2.0的个人版的2010的效果会好一些
不过趋势主要的用户是还是来自企业

jpzy

感觉跟Cloud还是差别挺大的~~~
总之除了web防护以外，就没看到云的影子~~~

stsha

期待辨出正义...

popfather

原帖由 jpzy 于 2009-9-18 16:18 发表
感觉跟Cloud还是差别挺大的~~~
总之除了web防护以外，就没看到云的影子~~~

你测试那个版本我认为功能很不完善，所谓的行为防护和TIS2010相比差的太远，前段时间我就测试过，运行后tis对不少数剩余样本有反应，那个上网本版本运行后几乎没有什么拦截能力