賽門鐵克揭示兩大秘密技術(shù)

那　罡

4月1日，賽門鐵克首次向媒體開放了中國研發(fā)中心。在此次媒體見面會中，賽門鐵克中國研發(fā)中心首次向媒體揭秘了兩項研發(fā)項目，即利用虛擬化技術(shù)保護終端用戶敏感數(shù)據(jù)的VIBES（基于虛擬化的端點安全）和基于可信度的白名單技術(shù)DeepClean。

虛擬化與VIBES

虛擬化技術(shù)是IT業(yè)界近年的熱點之一。賽門鐵克公司研究院副總裁Joe Pasqua表示，基于虛擬化技術(shù)的VIBES可以確保用戶進行在線交易時信息不會被竊取，同時降低了從網(wǎng)上下載到惡意內(nèi)容的風(fēng)險。這一新方法通過透明地建立多個隔離的虛擬操作環(huán)境，為每個環(huán)境設(shè)立不同級別的可信度，極大地提高了瀏覽器的安全性，用戶可以無縫地使用不同的虛擬操作環(huán)境執(zhí)行不同的在線交易。

盡管應(yīng)用虛擬化提高瀏覽器安全性的概念已有人提出過，但VIBES技術(shù)的獨到之處在于它能夠根據(jù)瀏覽器交互場景自動選擇最合適的虛擬操作環(huán)境，并對終端用戶完全隱藏虛擬化的應(yīng)用。

賽門鐵克公司副總裁，中國研發(fā)中心總經(jīng)理許明解釋說，VIBES技術(shù)由以下系統(tǒng)組件構(gòu)成：

·虛擬機監(jiān)視系統(tǒng)將虛擬機隔離，同時調(diào)節(jié)網(wǎng)絡(luò)和硬盤流量以及鍵盤、視頻和鼠標(biāo)流。

·VIBES代理代替虛擬機監(jiān)視系統(tǒng)執(zhí)行針對一個虛擬機的操作，并將虛擬機的信息傳回虛擬機監(jiān)視系統(tǒng)。

·VIBES控制器嵌入在虛擬機監(jiān)視系統(tǒng)中，負(fù)責(zé)傳遞網(wǎng)站的請求和應(yīng)答，確定適合的虛擬操作環(huán)境，并且指示VIBES代理切換虛擬操作環(huán)境或轉(zhuǎn)到另一個網(wǎng)址等。

為了保護通過瀏覽器進行的在線交易中的敏感數(shù)據(jù)，VIBES監(jiān)測所有基于HTTP的瀏覽器和網(wǎng)站間的交互，以及其中返回用戶虛擬機的應(yīng)答。由于當(dāng)前的網(wǎng)站趨向于使用HTTPS來傳輸敏感信息，VIBES會假定以HTTPS為基礎(chǔ)的交易都涉及敏感信息，所以VIBES應(yīng)在可信任虛擬機上執(zhí)行。因此，VIBES可以運行兩個瀏覽器，一個在用戶虛擬機上，用于基于HTTP的交互；另一個則是在可信任虛擬機上，用于基于HTTPS的交互。

無論何時，只要VIBES控制器發(fā)現(xiàn)返回用戶虛擬機的HTTP應(yīng)答中有一個HTTPS URL，就會將HTTPS URL改寫為一個合成HTTP URL。因而當(dāng)用戶點擊合成HTTP URL時，VIBES控制器就會監(jiān)測到用戶建立HTTPS的連接意圖，然后在可信任虛擬機中運行的瀏覽器上建立相應(yīng)的HTTPS連接，同時無縫地將視頻顯示器切換到可信任虛擬機，用戶這時就可以開始和可信瀏覽器進行交互了。為了對網(wǎng)站保持透明，VIBES控制器還會傳輸用戶在虛擬機上建立的所有會話狀態(tài)，諸如Cookies。當(dāng)VIBES控制器發(fā)現(xiàn)由于用戶點擊URL而導(dǎo)致HTTPS連接斷開后，它會再次無縫地把視頻顯示器切換回用戶虛擬機。

DeepClean主攻白名單

許明介紹，DeepClean是賽門鐵克研究院先進概念（Advanced Concepts）部門開發(fā)的一種新的安全技術(shù)。

鑒于惡意軟件出現(xiàn)頻率空前，Joe Pasqua認(rèn)為，DeepClean技術(shù)可以幫助用戶評估迅速增長的新型攻擊風(fēng)險和隱患。由于DeepClean基于賽門鐵克公司現(xiàn)有的全球情報網(wǎng)絡(luò)（Global Intelligence Network），采用了白名單和可信度分析，通過補充現(xiàn)有的簽名、啟發(fā)式和黑名單技術(shù)等，來甄別各種新型網(wǎng)絡(luò)威脅和有針對性的攻擊。這一創(chuàng)新技術(shù)主要用于更好地滿足企業(yè)應(yīng)用對規(guī)模和速度發(fā)展的要求，并可最大限度地減少管理員的工作量。

許明表示，DeepClean主要的部署方式是基于安全的專用網(wǎng)絡(luò)門戶，通過企業(yè)范圍的監(jiān)視器為IT管理員提供風(fēng)險評估報告，以及所有文件下載的詳細(xì)信息。為每個文件都創(chuàng)建一個可信度等級，用于區(qū)分合法或者惡意文件。

從來源上看，每個提供下載文件的站點都有可信任度評估，它們是對賽門鐵克全球情報網(wǎng)絡(luò)提供的數(shù)據(jù)進行多方面評估的結(jié)果。因此，在有針對性攻擊的數(shù)量和密度大幅度增加的情況下，該技術(shù)能夠更全面地評估所有文件的風(fēng)險。

事實上，DeepClean技術(shù)所依托的白名單技術(shù)需要龐大的數(shù)據(jù)庫來做支撐，如果沒有多年的技術(shù)沉淀和積累，想做到這一點是有難度的。利用白名單技術(shù)可以在當(dāng)前惡意程序迅猛增長的情況下，有效地降低新型攻擊帶來的安全風(fēng)險。

而相對白名單而言，被人們熟知的黑名單技術(shù)的價值體現(xiàn)在有效降低了已知安全威脅的風(fēng)險。賽門鐵克將兩種技術(shù)相結(jié)合，勢必會在很大程度上降低企業(yè)用戶的安全隱患。