Invincea公司研究團(tuán)隊(duì)的領(lǐng)導(dǎo)者是創(chuàng)始人阿努普·戈什博士，一名備受尊敬的互聯(lián)網(wǎng)安全分析師。他們的目標(biāo)是阻止惡意軟件利用網(wǎng)絡(luò)瀏覽器入侵到計(jì)算機(jī)中，這正是我們真正需要的。

瀏覽器保護(hù)工具就是他們的工作成果。它通過對網(wǎng)絡(luò)瀏覽器進(jìn)行隔離來實(shí)現(xiàn)對主機(jī)的保護(hù)。如果我沒有理解錯的話，網(wǎng)絡(luò)瀏覽器采用的是不同的操作系統(tǒng)。根據(jù)來自Invincea公司開發(fā)團(tuán)隊(duì)的說法，瀏覽器保護(hù)工具包含了下面列出的創(chuàng)新功能：

◆有效保護(hù)模式：當(dāng)瀏覽器保護(hù)工具檢測到來自惡意軟件的威脅后，用戶將獲得提醒，虛擬環(huán)境將被關(guān)閉。一個(gè)新虛擬環(huán)境將在幾秒鐘內(nèi)啟動，以消除威脅和最大程度上減少中斷給用戶帶來的影響。

◆免簽名檢測模式：對惡意軟件進(jìn)行確認(rèn)標(biāo)定不是必須的。也不需要用戶的輸入。瀏覽器保護(hù)工具會自動利用虛擬環(huán)境中的異常行為來對惡意軟件進(jìn)行鑒定和確認(rèn)。

◆不會對用戶正常使用造成影響：虛擬網(wǎng)絡(luò)瀏覽器在外觀上和普通瀏覽器沒有任何區(qū)別。

◆法醫(yī)數(shù)據(jù)庫：在惡意軟件攻擊時(shí)搜集到的數(shù)據(jù)會被發(fā)送到Invincea的數(shù)據(jù)服務(wù)器上，在那里，數(shù)據(jù)會被分析，相關(guān)結(jié)果會被用來增強(qiáng)瀏覽器保護(hù)工具客戶端的群體智慧。
　　
我往往傾向于采用創(chuàng)新思維的方式來分析問題，并且，從表面上來看，瀏覽器保護(hù)工具的功能確實(shí)很有效。這也是為什么我會有很多問題的原因。在這里，瀏覽器是位于智能沙箱環(huán)境中的?它們是怎樣發(fā)現(xiàn)沒有標(biāo)注的惡意軟件的？

幸運(yùn)的是，來自Invincea公司的專家回答了我?guī)缀跛械膯栴}。這里是他們答復(fù)的內(nèi)容：

看起來，Invincea和美國國防部高級研究計(jì)劃局（DARPA）及喬治·梅森大學(xué)信息系統(tǒng)安全中心這兩家著名機(jī)構(gòu)存在著聯(lián)系。你能向大家簡單介紹一下Invincea的創(chuàng)建歷史么？

Invincea：Invincea公司（前身為著名的安全司令部公司）是2006年建立的，當(dāng)時(shí)阿努普·戈什博士剛剛結(jié)束了在DARPA為期4年的項(xiàng)目經(jīng)理工作。與此同時(shí)，戈什博士還獲得了喬治·梅森大學(xué)信息系統(tǒng)安全中心的教師資格。他的研究課題之一，就是利用虛擬化技術(shù)，防止非受信用戶連接到用戶的桌面系統(tǒng)上。

出于對戈什博士的信任，DARPA資助了這一概念的早期原始模型。在獲得了潛在客戶的興趣和支持后，Invincea獲得了在原型上開發(fā)商業(yè)產(chǎn)品的創(chuàng)業(yè)資金。在2010年4月，Invincea推出了企業(yè)級產(chǎn)品，瀏覽器保護(hù)工具。

在觀看Invincea提供的在線演示時(shí)，我發(fā)現(xiàn)這樣一句話，“對于現(xiàn)今的網(wǎng)絡(luò)犯罪分子來說，瀏覽器是最容易的獲利途徑?！蹦隳芙忉屢幌?，為什么這么說么？

Invincea：從市場營銷的角度來說，這句話說明了兩件事情：第一，對于現(xiàn)今的大部分惡意軟件來說，網(wǎng)絡(luò)瀏覽器都是最主要的傳播途徑。第二，大部分惡意軟件開發(fā)者和分發(fā)人傳播廣告軟件、垃圾郵件僵尸機(jī)器人、追蹤類惡意軟件和銀行類犯罪軟件僅僅是處于出于純粹的經(jīng)濟(jì)目的。

使用者利用瀏覽器上網(wǎng)的時(shí)間，就會被這些代理感染。其中的一種模式就是，網(wǎng)站利用網(wǎng)絡(luò)瀏覽器的安全漏洞進(jìn)行偷渡式下載。但更常見的模式是，在訪問網(wǎng)站的時(shí)間，軟件會自動下載，使用者會遭到欺騙，而選擇安裝和運(yùn)行。

取決于設(shè)計(jì)的類型，安裝好的惡意軟件可以做很多事情：發(fā)送垃圾郵件、展示廣告、追蹤使用者的在線活動情況、截取網(wǎng)絡(luò)證書，甚至財(cái)務(wù)交易的日程安排也不例外。因此，如果你從事盜竊資金方面工作的話，與一個(gè)停車場里相比，在互聯(lián)網(wǎng)上尋找欺騙對象更方便，而且被抓到的可能性極低。換句話說，對于犯罪集團(tuán)來說，這是最理想的情況。

虛擬瀏覽器是一個(gè)非常有趣的概念。你能詳細(xì)介紹一下么？

Invincea：網(wǎng)絡(luò)瀏覽器是一種非常復(fù)雜的軟件(源代碼超過100萬行)，并且隨著通過開放式接口添加的應(yīng)用擴(kuò)展(插件之類的第三方軟件組件)處于不斷擴(kuò)大的趨勢中。此外，網(wǎng)絡(luò)瀏覽器運(yùn)行在動態(tài)交互模式下，新內(nèi)容會不斷出現(xiàn)。

從安全的角度來看，在不限制使用者連接和使用的情況下，很難鎖定網(wǎng)絡(luò)瀏覽器防止惡意網(wǎng)上內(nèi)容的攻擊。虛擬化瀏覽器這一概念的實(shí)質(zhì)就是在一個(gè)鎖定的虛擬環(huán)境中運(yùn)行瀏覽器和所有插件。

這樣的話，當(dāng)網(wǎng)絡(luò)瀏覽器遇到偷渡式下載攻擊時(shí)，或者使用者受到欺騙選擇安裝惡意軟件的情況出現(xiàn)，唯一被破壞的就是一個(gè)一次性使用的虛擬設(shè)備。

Invincea的虛擬網(wǎng)絡(luò)瀏覽器與沙箱環(huán)境中的實(shí)際網(wǎng)絡(luò)瀏覽器，舉例來說，和火狐瀏覽器相比，有什么區(qū)別？

Invincea：Invincea的專有技術(shù)和普通沙箱技術(shù)相比，有兩處不同。首先，Invincea利用真正的硬件虛擬化技術(shù)來實(shí)現(xiàn)在虛擬環(huán)境下運(yùn)行非原生的網(wǎng)絡(luò)瀏覽器。

在沙箱解決方案中，網(wǎng)絡(luò)瀏覽器是按照原生模式運(yùn)行在操作系統(tǒng)中的。如果網(wǎng)絡(luò)瀏覽器發(fā)出有效的文件系統(tǒng)調(diào)用命令(舉例來說針對一個(gè)系統(tǒng)文件或注冊表項(xiàng))，監(jiān)控工具就需要確定。這樣的話，沙箱要么容許文件系統(tǒng)寫入命令執(zhí)行，重新更改文件系統(tǒng)調(diào)用命令到一個(gè)“虛擬”注冊表中，要么要求使用者選擇采取的措施。在實(shí)際案例中，選擇的結(jié)果往往是后者。因此，盡管有沙箱比沒有沙箱好。但它不能防范多種類型的攻擊，并且需要使用者作出安全決定。

Invincea技術(shù)的第二處關(guān)鍵不同是，它可以在沒有惡意軟件已知信息的情況下，自動監(jiān)測出惡意軟件的動作和行為。隨著惡意軟件的數(shù)量呈現(xiàn)出幾何級數(shù)增長的趨勢，問題的關(guān)鍵就是找出存在的惡意軟件，并采取有效措施，將計(jì)算機(jī)恢復(fù)到原始狀態(tài)，在此期間，還要保護(hù)使用者應(yīng)用程序、文件和數(shù)據(jù)的安全。

在閱讀Invincea瀏覽器保護(hù)工具的應(yīng)用程序白皮書時(shí)，我看到了“可以在無需簽名的情況下檢測出惡意軟件”這樣的說法。為了做到這一點(diǎn)，軟件中是否采用了啟發(fā)式或行為模式識別等技術(shù)呢?如果能解釋一下檢測模式的工作原理就更好了。

Invincea：確實(shí)，Invincea在檢測針對網(wǎng)絡(luò)瀏覽器的惡意軟件時(shí)利用了專門設(shè)計(jì)的傳感器。我們模式的獨(dú)特之處在于，開始運(yùn)行的時(shí)間，虛擬瀏覽器備始終處于原始狀態(tài)。這樣，在此之后，我們就可以了解到原始狀態(tài)是否發(fā)生變化了。

在環(huán)境被破壞時(shí)，操作系統(tǒng)中實(shí)時(shí)運(yùn)行的事件和行為分析工具可以告訴我們相關(guān)的分析結(jié)論。這樣，我們就可以對攻擊進(jìn)行監(jiān)測，甚至沒有簽名的零日類惡意軟件也不例外。一旦虛擬環(huán)境的破壞被確認(rèn)，我們就還原到原始狀態(tài)，為最終用戶訪問互聯(lián)網(wǎng)提供最高等級的保護(hù)。

將惡意軟件分析結(jié)果上傳到公司服務(wù)器中的做法，看起來非常類似熊貓公司的云防病毒。上傳的信息是否會返回給用戶?看起來，似乎用戶越多。數(shù)據(jù)庫的信息就會更準(zhǔn)確更新就會更及時(shí)。這樣的說法是否正確？

Invincea：為了保護(hù)用戶，基于云模式的防病毒解決方案需要利用互聯(lián)網(wǎng)級別的“已知破壞類”文件、站點(diǎn)的共享列表，或者采用啟發(fā)模式。對新惡意軟件的鑒定工作來自供應(yīng)商的研究或最終用戶的操作。所有這些工作都是隨機(jī)的，不確定的，并且需要團(tuán)隊(duì)合作。

我們的模式是截然不同的。我們搜集了系統(tǒng)中所有非常規(guī)變化的法醫(yī)數(shù)據(jù)，并發(fā)送到為企業(yè)客戶準(zhǔn)備的威脅分析數(shù)據(jù)庫中，這樣的話，他們就可以利用這些信息更好地了解對手，對網(wǎng)絡(luò)中的安全設(shè)備(舉例來說防火墻、網(wǎng)絡(luò)網(wǎng)關(guān))進(jìn)行強(qiáng)化。舉例來說，我們搜集的信息有：

◆惡意軟件的原始位置

◆它是如何對一名特定用戶進(jìn)行攻擊的

◆惡意軟件進(jìn)行了哪些活動

◆網(wǎng)絡(luò)命令和控制服務(wù)器的位置　　

在設(shè)計(jì)時(shí)，我們的檢測模式就沒有包含簽名功能，因此我們沒有必要將信息返回給用戶來保護(hù)他們。換句話說，Invincea是讓信息部門利用我們的惡意軟件數(shù)據(jù)，來有效保護(hù)企業(yè)的其他部門。

我了解到貴公司的產(chǎn)品目前只支持Internet　Explorer。對于其它主要瀏覽器來說，是否有發(fā)布支持版本的時(shí)間表？

Invincea：我們現(xiàn)在已經(jīng)提供了對Internet　Explorer　V6、V7和V8版的支持。不久以后，將提供對火狐瀏覽器的支持，并且計(jì)劃根據(jù)客戶的需求情況進(jìn)一步擴(kuò)大支持名單的容量。

我也了解到瀏覽器保護(hù)工具目前并沒有向大眾公開。你覺得什么時(shí)間才會公開？

Invincea：對于Invincea來說，進(jìn)入消費(fèi)市場意味著獲得飛速發(fā)展的潛在巨大機(jī)會?，F(xiàn)在，我們正在對市場進(jìn)入策略進(jìn)行評估，在沒有確定之前，還無法給出時(shí)間表。

最后的思考

我認(rèn)為瀏覽器保護(hù)工具有兩項(xiàng)非常出色的功能。使用者不會受到很大的影響，不必利用事后簽名文件來檢測惡意軟件。再加上，可以自動重建受到攻擊的網(wǎng)絡(luò)瀏覽器環(huán)境，讓它看起來就象是我們的最佳選擇。

在這里，我要感謝Invincea公司首席執(zhí)行官和總裁吉姆·吉里以及創(chuàng)始人和首席科學(xué)家阿努普·戈什博士在回答提出的問題中給予的幫助。

【編輯推薦】

1. 應(yīng)對新一代Web2.0安全威脅瀏覽器虛擬化成關(guān)鍵
2. 簡介存儲虛擬化與災(zāi)難恢復(fù)