2008年7月19日 星期六

企業防毒管理

先看幾則新聞:
http://www.itis.tw/node/1913
http://www.zdnet.com.tw/news/software/0,2000085678,20130359,00.htm
http://forum.icst.org.tw/phpBB2/viewtopic.php?p=49359
=>趨勢CEO陳怡樺:防毒產業騙了客戶20年

這內容相當詭譎~~
有很多深層意義
1.防毒原廠不了解自己的產品。
2.客戶端沒了解也沒善用防毒軟體。
3.許多防毒觀念嚴重扭曲中,完全都在各自表述。
4.一竿子打翻所有防毒產業。
5.防毒產業還在業務導向,而不是服務導向也不是技術導向。

二十年了,惡意程式也經過不斷變形與攻擊形式轉換,反惡意程式這幾年有許多新興產品,反病毒(Anti-Virus)、反間諜、反廣告、強化反病毒(強調與防毒軟體互補的)...等軟體,多到不行的用戶端產品;我想每套軟體都有其優點,但也都有誇大功效之嫌,如何挑選,客戶根本沒有能力了!所以現今需要的了解攻擊趨勢及惡意程式來源管道,做重點強化防禦。如果只是希望買個軟體就能解決問題...結果已經很明顯了。

企業的防毒管理觀念:
1.多層次、多配套策略來建構防線,而用戶端防毒是最後一道防線。
2.每道防線都需要產出數據化資訊。
3.強化所有防線或策略,需要以最後一道防線數據來觀察其成效。
4.觀察每道防線的數據,注意其變化。
5.有專人檢視每份數據,並進行調整及強化作業。
6.如果沒有好的最後一道防線,將無法發掘真正問題點。

企業防毒中控端的需要功能(強調中控端就可以做,不是要在用戶端進行的):
1.查殺惡意程式可自救。
2.分析用戶端系統的工具或記錄不可少。
3.有客製化的服務功能(依據客戶有量身訂做的特定服務功能)。
4.報表數據要能符合需要,並能呈現現況。
5.有惡意程式分析(SandBox)功能。
6.能夠整合其他防禦設備進行協同防護,如與防火牆、入侵偵測、入侵防護...等設備,進行封鎖或阻擋行動。
7....

我對企業防毒中控端功能的期望:
1.有所有用戶端處於執行中檔案的MD5,SHA-1...等資訊,能第一時間查殺,而不需要等原廠製作病毒碼。
2.能主動查詢用戶端的網路連線、執行程序狀態...等,並可進行檢查或統計分析工作。
3.對於重要主機可以做執行程序、自動啟動(Auto-Start)途徑變更的比對功能,或其變化的紀錄。
4.透過中控端可遠端取得用戶端執行中之檔案複本,進行分析、檢測之用,檢測是否為"未知"惡意程式。
5.各種客製化的門檻或條件設定,做為警示或提醒作用。
6.各種客製化的數據及報表的產出設定,做為分析之用。
7.有惡意程式分析功能,找出特定網路行為,找出其他可能被相同駭客集團控制的主機。
8....

企業防毒對於"未知"病毒的發掘必須有工具或方法使用,現行遇到"未知"病毒所有客戶只能兩手一攤,防毒廠商也兩手一攤,然後呢?
使用者端PC都已經安裝一套軟體了,居然沒有一些工具或方法,透過企業的防毒中控端進行,這不是挺怪的...創意,這需要一些創意的。在這只點出一些方向...

沒有留言: