【51CTO.com 独家报道】赛门铁克公司于2009年4月1日,首次向媒体开放了中国研发中心。在此次媒体开发日中,赛门铁克展示其最新创新技术并重申其持续创新及服务中国市场的长期承诺。此外,赛门铁克在研发中心还展示了两项研发项目,即VIBES 和 DeepClean技术,并介绍了赛门铁克中国研发中心的最新情况。
据了解,VIBES是赛门铁克基于虚拟化安全的一项创新技术。VIBES利用虚拟化技术为用户提供保护,防止在线交易的敏感信息失窃,并降低从网上下载恶意内容所带来的风险。在对用户透明的情况下,通过建立多个独立的虚拟执行环境以及使每个操作环境都拥有单独的可信度级别的方式, VIBES显著地改善了浏览器的安全性,使用户能够无缝地在不同的虚拟执行环境之间进行切换,以进行不同的网络交易。
在51CTO记者看来,尽管应用虚拟化提高浏览器安全性的概念此前已有人尝试,但VIBES技术的独道之处在于能够根据浏览器交互场景自动选择最合适的虚拟操作环境,并对终端用户完全隐藏虚拟化的应用。
VIBES技术由以下系统组件构成:
◆虚拟机监视系统将虚拟机隔离,同时调节网络和硬盘流量以及键盘、视频和鼠标流。
◆VIBES代理代替虚拟机监视系统执行针对一个虚拟机的操作,并将虚拟机的信息传回虚拟机监视系统。
◆VIBES控制器嵌入在虚拟机监视系统中,负责传递网站的请求和应答,确定适合的虚拟操作环境,并且指示VIBES代理切换虚拟操作环境或转到另一个网址等功能。
现有VIBES原型中的三种虚拟操作环境如下:
◆“用户”(User)虚拟机,用于进行常规性的操作。
◆“可信任”(Trusted) 虚拟机,用于进行可信性操作,例如,输入敏感保密信息。
◆“遨游”(Playgruond) 虚拟机,用于进行冒险性的不可信活动,例如访问未知网站或者下载未知的应用程序。
在51CTO记者看来,VIBES技术的价值体现在两个方面:保护在线交易中的数据和降低恶意网络下载的风险
如何利用VIBES技术保护在线交易的数据安全?
为了保护在浏览器中进行的在线交易的敏感数据,VIBES监测所有浏览器和网站间基于HTTP的交互,以及其中返回用户虚拟机的应答。由于当前的网站趋向于使用HTTPS来传输敏感信息,VIBES会假定以HTTPS为基础的交易都涉及敏感信息,因此应在可信任虚拟机上执行。因此,VIBES运行两个浏览器,一个在用户虚拟机上,用于基于HTTP的交互;另一个则是在可信任虚拟机上,用于基于HTTPS的交互。
无论何时,只要VIBES控制器发现返回用户虚拟机的HTTP应答中有一个HTTPS URL,就将HTTPS URL改写为一个合成HTTP URL。因而当用户点击合成HTTP URL时,VIBES控制器就会监测到用户建立HTTPS的连接意图,然后在可信任虚拟机中运行的浏览器建立相应的HTTPS连接,同时无缝地将视频显示器切换到可信任虚拟机,用户这时就可以开始和可信浏览器进行交互。为了对网站保持透明,VIBES控制器还会传输用户在虚拟机上建立的所有会话状态,诸如cookies。当VIBES控制器发现由于用户点击URL而导致HTTPS连接断开后,它会再次无缝地把视频显示器切换回用户虚拟机。
如何利用VIBES技术降低恶意网络下载的风险?
打开或执行从互联网下载的文件被视为不可信操作,而所有其他操作都视为常规操作。降低因运行从网上下载的恶意内容而带来的风险,当用户试图在其虚拟机中执行或转换任何文件时,VIBES代理会拦截系统调用。如果文件为互联网下载文件,或是在网络应用的临时目录中(例如IM客户端或Web浏览器),VIBES会以透明的方式将文件复制到不可信虚拟机,并且把视频显示器切换到不可信虚拟机,然后执行或转换文件。当文件在不可信虚拟机的操作终止时,VIBES以透明的方式把视频显示器切换回用户的虚拟机。
赛门铁克中国研发中心的另一项技术是DeepClean,即基于可信认证理念的白名单技术。据介绍,该技术主要帮助客户评估迅速增长的新型攻击风险和隐患。DeepClean基于并进一步扩展了赛门铁克公司现有的全球情报网络(Global Intelligence Network),建立准确、全面的白名单,以及文件和提供者可信度资料,并不断对其进行维护更新。DeepClean采用了白名单和可信度分析,通过补充现有的签名、启发式和黑名单技术等,来甄别各种新型网络威胁和有针对性的攻击。
据了解,DeepClean主要部署方式是通过企业范围监视器,基于安全的专用网络门户为IT管理员提供风险评估报告,以及所有文件下载的详细信息。每个文件都有一个可信度等级,用于区分合法或者恶意文件,包括极为常见的文件和不大常见的文件。从来源上看,每个提供下载文件的站点都有可信任度评估,它们是根据赛门铁克全球情报网络提供的数据进行多方面评估的结果。
51CTO记者认为,白名单也存在一个不容忽视的问题,那就是如何避免白名单中的信源出现安全威胁?对此,赛门铁克全球副总裁兼赛门铁克中国研发中心总经理许明先生解释到,DeepClean可以实现实时检测,一方面可以避免出现白名单中的信源出现新安全威胁,另一方面还有可信度的评估制度,当白名单中的信源出现安全威胁时,它就是一个新的身份,而不是白名单中的信源。
事实上,这需要庞大的数据库来支撑白名单技术,如果没有多年的技术沉淀和积累,在51CTO记者看来,想做到这一点是有难度的。利用白名单技术可以在当前恶意程序迅猛增长的情况下,有效的降低新型攻击带来的安全风险。而相对白名单而言,被人们熟知的黑名单技术的价值体现在有效降低已知安全威胁的风险。两种技术相结合,势必会最大程度的降低企业用户的安全隐患。
DeepClean基于可信度的白名单基础架构由包括以下部分:
◆来自数百万个传感器的数据,有关各文件普及程度、文件及下载文件来源相关的风险数据;下载来源过去所托管文件的可信度记录;传感器的可信度以及该主机的安全状况。
◆可信度分析技术,该技术和黑名单技术已经应用于赛门铁克个人用户安全解决方案,并在一年多时间有效地保护着1800万台个人用户计算机。
◆新的白名单和基于可信度的企业级传感器,以及与全球智能网络连接的新型企业级报告接口,用于获取白名单和可信度信息。
◆计算可信度的新算法。
另据介绍,赛门铁克中国研发中心是赛门铁克全球研发体系的重要组成部分,旨在帮助中国客户解决安全性、存储和系统管理方面的现实问题。赛门铁克研究院是赛门铁克公司的全球性研发组织,它持续推动着所有业务范围内的技术开发和产品化进程。
据51CTO记者了解,目前,赛门铁克研究院开发出的多种技术已投入应用,其中包括:业界领先的rootkit保护;创新性的浏览器保护技术,以主动阻止对已知漏洞的攻击方;赛门铁克的首个反垃圾邮件技术;通用的的阻止威胁迅速蔓延的技术;在线消费者安全服务;以及保护美国关键电网基础设施的技术等。此外,赛门铁克研究院还与大学展开了多项深入合作。
