tag:blogger.com,1999:blog-69324872525919072542011-04-21T21:17:37.676-07:00不敢說自己是專家，因為我不想當「訓練有素的狗」，只是對這篇領域，有天塌的熱情。Kresiryshttp://www.blogger.com/profile/06452859784453829820noreply@blogger.comBlogger11100tag:blogger.com,1999:blog-6932487252591907254.post-31830816169071874672008-09-18T06:54:00.001-07:002008-09-24T02:54:41.661-07:00縱然我一直認為<span style="font-weight: bold;">好的威脅特徵碼品質取決於一家廠商的態度</span>。<br /><br />為何Kaspersky現在的威脅特徵碼如此隨便，也許是因為免殺增多，在<a href="http://www.avpclub.ddns.info/discuz/index.php">AVPClub</a>（註：台灣新崛起的資安論壇）上的偵測率今年看來一直<span style="font-weight: bold;">都不太好</span>，要不是AVPClub上那些死忠Kaspersky持續上報，<a href="http://www.avpclub.ddns.info/discuz/thread-1538-1-1.html">每月的樣本包</a>（註：AVPClub提供每個月流行威脅集合的樣本包）偵測率<span style="font-weight: bold;">肯定不過90%</span>。<br /><br /><span style="font-weight: bold;">我不打算</span><a style="font-weight: bold;" href="http://www.avpclub.ddns.info/discuz/viewthread.php?tid=10952">評論Kaspersky的HIPS</a>，我知道很多專家都認為已經是相當頂尖的HIPS了。<br /><br />前幾天<a href="http://www.avpclub.ddns.info/discuz/viewthread.php?tid=13420">COMODO　V3 Beta釋出</a>了，聽聞未來COMDO將會整合入ThreatCast這種社區意見服務。確實<span style="font-weight: bold;">社區意見不甚安全</span>，由於並非人人都是專家，致使該行為產生後依然有很大的不確定性。<br /><br />相形之下威脅特徵碼略顯重要，而雲端技術的產生，更持續的加重威脅特徵碼的重要性，例如：<br /><span style="font-weight: bold;">Norton號稱的15分鐘更新，以速度著稱</span>。<br /><br />Panda則是提出<a href="http://www.pandasecurity.com/taiwan/homeusers/solutions/collective-intelligence/">集體人工智慧技術</a>，除了提升啟發式的層次之外，其自稱會全自動分析所有最新的威脅，並透過雲端技術即時性的與使用者交換資訊，以達到最大偵測的效果。<div><br /></div><div>然而<span style="font-weight: bold;">上述技術都跳脫不離威脅特徵碼的迅速更新</span>。<br /><br />雲端技術所解決的問題是：<br />一、提升使用者與廠商的<span style="font-weight: bold;">同步更新速度</span>，<span style="font-weight: bold;">降低</span>新威脅所造成的<span style="font-weight: bold;">零天威脅</span>。<br /><br />二、致使使用者端<span style="font-weight: bold;">不必下載龐大的威脅資料庫</span>，可以<span style="font-weight: bold;">即時性的與威脅中心交換資料</span>。<br /><br />三、提供<span style="font-weight: bold;">即時的線上威脅判斷</span>。<br /><br />四、<span style="font-weight: bold;">給了安全廠商休息的空間</span>。<br /><br />第四點相信大家都會有所疑惑，就最近的觀察來說，<span style="font-weight: bold;">Panda的反應速率比以前降低＂很多＂</span>，透過<span style="font-weight: bold;">使用者上報的檔案幾乎不會處理</span>。當然不能否認Panda的集體人工智慧技術確實提升他們的偵測率。當然<span style="font-weight: bold;">也有反例的Norton</span>，15分鐘更新一次，幸好Norton人多是眾。<br /><br />如何處理龐大的威脅資料庫？雲端技術是目前所提倡的新型技術，看來前途似錦。<br /><br />然而目前雲端技術所應用的範圍與效率仍然有待加強，我已知使用雲端技術的廠商：<br />McAfee、Panda、Kaspersky、TrendMicro、F-Secure、瑞星。<br /><br />不過老話歸咎一句，<span class="Apple-style-span" style="font-weight: bold;">如果</span><span style="font-weight: bold;">安全廠商肯做出高品質的威脅特徵碼，哪還需要15分鐘更新、減少下載龐大的威脅資料庫</span>（當然<span style="font-weight: bold;">我不完全否認雲端技術在未來所帶來的極大效益</span>）？<br /><br />雲端技術可以是個解決方案，但如果安全廠商不懂得節制自己所製造出原本幾十萬變成幾百萬的威脅特徵碼。那也只是<span style="font-weight: bold;">安全廠商偷懶的一招</span>而已。<br /><br />雲端技術我看到更多相關的應用，某些廠商已經開始醞釀一股新的趨勢，某些廠商卻抱持著偷懶的心態。<br /><br />「未來不可預測，可自己想想，未來不也如此嗎？」<br /><br />-Kresirys</div><div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/6932487252591907254-3183081616907187467?l=kresirys.blogspot.com' alt='' /></div>Kresiryshttp://www.blogger.com/profile/06452859784453829820noreply@blogger.com9