專訪趨勢科技:從殺毒到防止感染的防毒思維(上) 記者馬培治/台北報導 2007/08/24
安全威脅形式快速變化為資安業帶來重重考驗,而趨勢科技研發高層則認為應轉變思維,才足以應付新型態的安全威脅。
安全威脅形式由過去大規模爆發電腦病毒或蠕蟲感染,轉而以變種快速、精準式攻擊為主的惡意程式主導,資安廠商傳統的作業方式----先搜集病毒樣本、分析、編寫派送病毒特徵碼與更新程式,已漸露疲態,但用以對付新型態攻擊的啟發式病毒分析引擎卻又存在誤判問題,Yankee Group分析師甚至曾針對資安產業此一進退兩難情勢,喊出防毒軟體將死的預言。
負責技術研發、甫上任的趨勢科技全球研發暨大中華區業務執行副總裁張偉欽在接受專訪時表示,與其採用過去移除特定病毒的殺毒方式來維護資訊安全,不如設法讓系統根本就不要接觸到病毒,切斷感染鏈,才能在此時代有效處理資安威脅,與三年前該公司認為病毒難以預防的論點相較,有了大幅轉變。此外,他亦談到在競爭日益激烈的資安市場中,趨勢相較於對手的優勢何在。以下為專訪摘要:
問:最近幾年資安業界有很多整併和變化,微軟、Google亦相繼投入這個市場,趨勢怎麼看待這些變化與競爭者的動向? 答:競爭的確很激烈,但我們的市場表現未受很大影響。舉例來說,微軟雖在美國推出OneCare,但我們這兩年在美國的成長卻非常大,沒有受到影響,PC-Cillin的佔有率還比OneCare來得好。
另一方面,Google併購Postini來說,從目前的狀況看來,我不認為Google有意進軍資安市場,他們的目的應該是在推動他們的Google Apps線上應用、為自己的Gmail增加安全的附加功能,成為一個較完整的解決方案(solution),剛好Postini就是在做郵件安全代管的廠商,Google買下也非常合理。
Google的竄起,幾乎可以說是IT界近年來的最大神話,但要說到他們是不是真的會進軍資安業,還要觀察他們還有沒有下一步,現在很難判斷。
資安業並沒有發展到一個完全成熟,因為威脅不斷在轉變。我們之所以還留在這裏,是因為還是有很多安全問題沒有被解決。我們也衍生出像是反垃圾郵件、URL過濾等等領域,未來也會做防止資訊外洩,但這些都是因應病毒因為的改變而做;我們的一切發展也會以防止病毒為核心。
問:談到新領域,趨勢科技最近推出了網頁評等服務(Web Reputation Service, WRS),並表示是創業以來最大的改變,但某些競爭對手卻批評用的仍是傳統特徵比對的技術。他們認為啟發式技術才能有效對抗新威脅。 答:啟發式技術趨勢很早便已採用,事實上,我們從第一版的PC-Cillin就已用到了啟發式技術,一直到現在,我們也一直持續投入這方面的研究。但啟發式技術有一個很大的缺點,便是會要求使用者做決定。
系統偵測到可疑的行為,便會詢問使用者要如何處理,但現實是使用者根本就不懂如何做決定,你也不可能去向客戶解釋太複雜的技術問題,他們未必聽得懂,所以,我們只好改變作法,我們一樣會用啟發式技術,但我們把它用在後端,由我們的專業人員代替使用者作決定,不去打擾使用者。
WRS的把使用者上網的每一筆點擊或系統自動的連線,都上傳到我們後端中心,我們再把每個連結的安全評級再傳回使用者端,依使用者設定的安全等級,由系統決定是否允許連結。表面上看起來可能是舊的比對技術,但我們在後端判斷每個連結的安全性時,同樣用到了啟發式技術。
推出WRS的最大意義,是我們發現,當絕大多數安全威脅進入內部網路後會不斷變種,導致之前的解藥就沒有效了。等惡意程式到了用戶端才被發現、再去處理時,多半為時已晚,早已造成了大量感染。與其等到病毒進來了再把它殺死,倒不如從源頭就根本阻斷接觸的機會,把感染鏈整個切斷。這是我們看待病毒問題在思維上的很大轉變;與其找到了病毒再殺,不如做到零接觸。
目前我們企業版產品體已經納入這個機制,在我們每天分析的28億個點擊或連結中,有高達7.55億個會導向可能引發中毒的惡意網頁,而下一版本的PC-Cillin也將納入WRS機制,讓所有用戶組成聯防機制,任何一個用戶的連結被偵測出來是惡意的,後端系統會馬上記錄,之後的使用者便不會連上這個惡意網頁了。
問:很多廠商推UTM(整合性威脅管理)裝置來防止安全威脅。趨勢過去也做過硬體,未來的計畫? 答:我們幾年前的確曾經和中華電信合作推出過名為GateLock的個人資安硬體,不過去年就結束服務了。原因很簡單,雖然我們想要賣什麼樣的產品都可以賣,但要不要買卻是使用者在決定的。
另一個原因,則是我們從軟體起家,硬體設備講求成本控制的生產思維不適合我們,也缺乏上下游產業鏈資源,從生產到銷售,老實講,我們並不熟悉。此外,在商言商,硬體的毛利太低,要我們這種習慣毛利在30%以上的軟體業者轉而去賺不到10%的錢,也不符合現實。
可以肯定的是,趨勢不會投入UTM市場。幾年前我們曾經和鴻海等網路設備廠商合作發展嵌入式的安全產品,如果我們要做硬體,一定會和其他業者合作,或是用授權軟體技術的方式,不會自己跳下去做。
我們認為交換器或路由器會向上延伸到安全市場。如果由使用者的角度來思考,他要買交換器時,安全只是附加功能,而非主要的考量。公司再多錢沒有用,唯有了解使用者習慣才是贏家,所以我們現在重點在http,也就是Web層次,它還有很多問題還沒解決。 (待續)