Invincea公司研究团队的领导者是创始人阿努普·戈什博士,一名备受尊敬的互联网安全分析师。他们的目标是阻止恶意软件利用网络浏览器入侵到计算机中,这正是我们真正需要的。
浏览器保护工具就是他们的工作成果。它通过对网络浏览器进行隔离来实现对主机的保护。如果我没有理解错的话,网络浏览器采用的是不同的操作系统。根据来自Invincea公司开发团队的说法,浏览器保护工具包含了下面列出的创新功能:
◆有效保护模式:当浏览器保护工具检测到来自恶意软件的威胁后,用户将获得提醒,虚拟环境将被关闭。一个新虚拟环境将在几秒钟内启动,以消除威胁和最大程度上减少中断给用户带来的影响。
◆免签名检测模式:对恶意软件进行确认标定不是必须的。也不需要用户的输入。浏览器保护工具会自动利用虚拟环境中的异常行为来对恶意软件进行鉴定和确认。
◆不会对用户正常使用造成影响:虚拟网络浏览器在外观上和普通浏览器没有任何区别。
◆法医数据库:在恶意软件攻击时搜集到的数据会被发送到Invincea的数据服务器上,在那里,数据会被分析,相关结果会被用来增强浏览器保护工具客户端的群体智慧。
我往往倾向于采用创新思维的方式来分析问题,并且,从表面上来看,浏览器保护工具的功能确实很有效。这也是为什么我会有很多问题的原因。在这里,浏览器是位于智能沙箱环境中的?它们是怎样发现没有标注的恶意软件的?
幸运的是,来自Invincea公司的专家回答了我几乎所有的问题。这里是他们答复的内容:
看起来,Invincea和美国国防部高级研究计划局(DARPA)及乔治·梅森大学信息系统安全中心这两家著名机构存在着联系。你能向大家简单介绍一下Invincea的创建历史么?
Invincea:Invincea公司(前身为著名的安全司令部公司)是2006年建立的,当时阿努普·戈什博士刚刚结束了在DARPA为期4年的项目经理工作。与此同时,戈什博士还获得了乔治·梅森大学信息系统安全中心的教师资格。他的研究课题之一,就是利用虚拟化技术,防止非受信用户连接到用户的桌面系统上。
出于对戈什博士的信任,DARPA资助了这一概念的早期原始模型。在获得了潜在客户的兴趣和支持后,Invincea获得了在原型上开发商业产品的创业资金。在2010年4月,Invincea推出了企业级产品,浏览器保护工具。
在观看Invincea提供的在线演示时,我发现这样一句话,“对于现今的网络犯罪分子来说,浏览器是最容易的获利途径。”你能解释一下,为什么这么说么?
Invincea:从市场营销的角度来说,这句话说明了两件事情:第一,对于现今的大部分恶意软件来说,网络浏览器都是最主要的传播途径。第二,大部分恶意软件开发者和分发人传播广告软件、垃圾邮件僵尸机器人、追踪类恶意软件和银行类犯罪软件仅仅是处于出于纯粹的经济目的。
使用者利用浏览器上网的时间,就会被这些代理感染。其中的一种模式就是,网站利用网络浏览器的安全漏洞进行偷渡式下载。但更常见的模式是,在访问网站的时间,软件会自动下载,使用者会遭到欺骗,而选择安装和运行。
取决于设计的类型,安装好的恶意软件可以做很多事情:发送垃圾邮件、展示广告、追踪使用者的在线活动情况、截取网络证书,甚至财务交易的日程安排也不例外。因此,如果你从事盗窃资金方面工作的话,与一个停车场里相比,在互联网上寻找欺骗对象更方便,而且被抓到的可能性极低。换句话说,对于犯罪集团来说,这是最理想的情况。
虚拟浏览器是一个非常有趣的概念。你能详细介绍一下么?
Invincea:网络浏览器是一种非常复杂的软件(源代码超过100万行),并且随着通过开放式接口添加的应用扩展(插件之类的第三方软件组件)处于不断扩大的趋势中。此外,网络浏览器运行在动态交互模式下,新内容会不断出现。
从安全的角度来看,在不限制使用者连接和使用的情况下,很难锁定网络浏览器防止恶意网上内容的攻击。虚拟化浏览器这一概念的实质就是在一个锁定的虚拟环境中运行浏览器和所有插件。
这样的话,当网络浏览器遇到偷渡式下载攻击时,或者使用者受到欺骗选择安装恶意软件的情况出现,唯一被破坏的就是一个一次性使用的虚拟设备。
Invincea的虚拟网络浏览器与沙箱环境中的实际网络浏览器,举例来说,和火狐浏览器相比,有什么区别?
Invincea:Invincea的专有技术和普通沙箱技术相比,有两处不同。首先,Invincea利用真正的硬件虚拟化技术来实现在虚拟环境下运行非原生的网络浏览器。
在沙箱解决方案中,网络浏览器是按照原生模式运行在操作系统中的。如果网络浏览器发出有效的文件系统调用命令(举例来说针对一个系统文件或注册表项),监控工具就需要确定。这样的话,沙箱要么容许文件系统写入命令执行,重新更改文件系统调用命令到一个“虚拟”注册表中,要么要求使用者选择采取的措施。在实际案例中,选择的结果往往是后者。因此,尽管有沙箱比没有沙箱好。但它不能防范多种类型的攻击,并且需要使用者作出安全决定。
Invincea技术的第二处关键不同是,它可以在没有恶意软件已知信息的情况下,自动监测出恶意软件的动作和行为。随着恶意软件的数量呈现出几何级数增长的趋势,问题的关键就是找出存在的恶意软件,并采取有效措施,将计算机恢复到原始状态,在此期间,还要保护使用者应用程序、文件和数据的安全。
在阅读Invincea浏览器保护工具的应用程序白皮书时,我看到了“可以在无需签名的情况下检测出恶意软件”这样的说法。为了做到这一点,软件中是否采用了启发式或行为模式识别等技术呢?如果能解释一下检测模式的工作原理就更好了。
Invincea:确实,Invincea在检测针对网络浏览器的恶意软件时利用了专门设计的传感器。我们模式的独特之处在于,开始运行的时间,虚拟浏览器备始终处于原始状态。这样,在此之后,我们就可以了解到原始状态是否发生变化了。
在环境被破坏时,操作系统中实时运行的事件和行为分析工具可以告诉我们相关的分析结论。这样,我们就可以对攻击进行监测,甚至没有签名的零日类恶意软件也不例外。一旦虚拟环境的破坏被确认,我们就还原到原始状态,为最终用户访问互联网提供最高等级的保护。
将恶意软件分析结果上传到公司服务器中的做法,看起来非常类似熊猫公司的云防病毒。上传的信息是否会返回给用户?看起来,似乎用户越多。数据库的信息就会更准确更新就会更及时。这样的说法是否正确?
Invincea:为了保护用户,基于云模式的防病毒解决方案需要利用互联网级别的“已知破坏类”文件、站点的共享列表,或者采用启发模式。对新恶意软件的鉴定工作来自供应商的研究或最终用户的操作。所有这些工作都是随机的,不确定的,并且需要团队合作。
我们的模式是截然不同的。我们搜集了系统中所有非常规变化的法医数据,并发送到为企业客户准备的威胁分析数据库中,这样的话,他们就可以利用这些信息更好地了解对手,对网络中的安全设备(举例来说防火墙、网络网关)进行强化。举例来说,我们搜集的信息有:
◆恶意软件的原始位置
◆它是如何对一名特定用户进行攻击的
◆恶意软件进行了哪些活动
◆网络命令和控制服务器的位置
在设计时,我们的检测模式就没有包含签名功能,因此我们没有必要将信息返回给用户来保护他们。换句话说,Invincea是让信息部门利用我们的恶意软件数据,来有效保护企业的其他部门。
我了解到贵公司的产品目前只支持Internet Explorer。对于其它主要浏览器来说,是否有发布支持版本的时间表?
Invincea:我们现在已经提供了对Internet Explorer V6、V7和V8版的支持。不久以后,将提供对火狐浏览器的支持,并且计划根据客户的需求情况进一步扩大支持名单的容量。
我也了解到浏览器保护工具目前并没有向大众公开。你觉得什么时间才会公开?
Invincea:对于Invincea来说,进入消费市场意味着获得飞速发展的潜在巨大机会。现在,我们正在对市场进入策略进行评估,在没有确定之前,还无法给出时间表。
最后的思考
我认为浏览器保护工具有两项非常出色的功能。使用者不会受到很大的影响,不必利用事后签名文件来检测恶意软件。再加上,可以自动重建受到攻击的网络浏览器环境,让它看起来就象是我们的最佳选择。
在这里,我要感谢Invincea公司首席执行官和总裁吉姆·吉里以及创始人和首席科学家阿努普·戈什博士在回答提出的问题中给予的帮助。
【编辑推荐】
