瑞星“云安全”计划能否突破木马围城

自从1988年莫里斯蠕虫出现直到2004年,全球截获的电脑病毒总数有10万;然而,今天的安全局面不容乐观,瑞星公司目前每天截获的新病毒数量高达8-10万个,其中大部分是木马病毒。电子邮件带毒、即时通信工具带毒、网上下载的电影和MP3带毒、网页上被植入木马……可以说,只要电脑接入互联网,就会立刻面临木马病毒的包围。


    在国内各大IT论坛上经常能听到电脑用户的抱怨,不管使用什么杀毒软件,都难以阻挡病毒,只能将电脑一次次重装。而国外反病毒公司Trend Micro的CEO上个月曾表示,目前反病毒业界的状况糟糕极了。
的确是糟透了,一个普通的病毒分析工程师,每天最多能分析20个左右新病毒,面对成几何级数爆炸增长的新木马病毒,反病毒公司何以承担如此严峻的任务?如果依然沿袭以往的反病毒模式,安全厂商将被淹没在木马病毒的汪洋大海中。


    瑞星安全专家表示,安全厂商面临着三大难题:一是如何快速地截获大部分木马病毒;二是如何分析处理海量的木马病毒;三是如何把木马病毒解决方案推送到每个客户端。


    要知道,大部分木马病毒和后门程序在运行时,普通用户是难以感知的,直到QQ密码被盗、网络游戏和网上银行的账号丢失。让一个普通用户去查看注册表的可疑信息,并提取病毒样本上报给安全公司,是一件完全不可能的任务。而如果按照每天20个病毒的分析能力来衡量,处理每天出现的10万个病毒,则需要每个安全公司拥有5000名病毒分析员。据了解,国内最大的安全企业瑞星公司,也只有200名安全工程师。


    随着“瑞星卡卡6.0”的推出,瑞星公司野心勃勃的“云安全”(Cloud Security)计划也正式浮出水面。“云安全”(CloudSecurity)计划是让每个“瑞星卡卡6.0”的用户,都成为木马病毒的监测点,它的“自动在线诊断”模块在用户每次启动电脑时,都会自动检测并提取电脑中的可疑木马样本,并上传到瑞星“木马/恶意软件自动分析系统”(Rs Automated Malware Analyzer,简称RsAMA)。


    RsAMA每天可以处理10万个新的木马病毒样本,随后把分析结果反馈给用户,帮助用户查杀木马病毒,并通过“瑞星安全资料库”(Rising Security Database,简称RsSD),分享给其他所有“瑞星卡卡6.0”用户。


    可以肯定地说,瑞星的“云安全”(CloudSecurity)计划是整个安全行业开始突围的标志,5月份,欧洲安全厂商Panda在巴塞罗那也公布了一项类似的战略。它绝不仅仅是瑞星的新尝试,更是全球安全行业的普遍趋势。令人欣慰的是,这一次国内安全厂商走在了全球业界的前端。


    瑞星“云安全”(Cloud Security)计划的口号是,使用者越多,每个使用者就越安全,而整个互联网也就更安全。


    不难看出,“云安全”(Cloud Security)的实施难点有三。


    一是、如何有效截获新木马病毒。就像警察抓小偷,一个有经验的老警察会在商场、公交车站等地方发现猎物,同时能在人群中准确地发现可疑的人。因此这对安全公司的反病毒技术积累、反病毒经验,都是很大的挑战。


    二是、如何快速、有效地分析处理新木马样本。采用人海战术进行逐一分析是肯定不可能的,必须采取自动处理、批量处理的方式,寻找新木马病毒和老病毒以及某一类病毒的共同特征,这同样是考验安全公司的技术积累,包括虚拟机脱壳、人工智能、行为判断等各种核心技术。


    三是、拥有数量众多的用户群和强大的财力。据了解,瑞星“木马/恶意软件自动分析系统”(RsAMA)光是服务器就有上百台,为了保障和海量用户随时的通信,预计为了保障“云安全”计划实施,每年付出的服务器托管和带宽费用高达上千万。


    采用“自动诊断模块”的“瑞星卡卡6.0”一旦铺开,则每个用户都成了新木马的监测点,数千万用户的电脑将组成一个超大的木马病毒监测网,几乎覆盖了互联网的所有角落,加上瑞星近20年的反病毒技术积累和经验,快速收集新木马样本和快速处理成为可能。


    瑞星拥有近20年的反病毒经验,是国内最早将行为模式判断、虚拟机脱壳和智能主动防御等新技术应用在产品中的厂商,也最早提出族群式查杀的概念。其“木马/恶意软件自动分析系统”(RsAMA)从去年底开始搭建,并于今年3月份就投入试运行,目前官方发布的信息是,每天可以处理10万个可疑木马样本。


    这一切,让我们对“瑞星卡卡6.0”和“云安全”(Cloud Security)计划充满了期待。当然,一切的一切只能用事实去检验,最终效果如何,只有“瑞星卡卡6.0”的用户才知道。让我们都来尝试下免费的“瑞星卡卡6.0”,看看“云安全”能否真的带来安全。
小新颖 小新颖
又小又新颖~