ITBear旗下自媒体矩阵:

360安全工程师正面回应独立调查员“九驳”

   时间:2013-03-06 22:08:06 来源:互联网编辑:星辉 发表评论无障碍通道

日前,360安全工程师针对“独立调查员”于个人博文《对质周鸿祎:九驳360“九大谎言”》做出公开回应,指出“云安全计划”是对可疑的可执行样本自动上报的措施,而不是指云查杀、主动防御这些基础安全功能。在360的“云安全计划设置”中对此有明确说明,用户也可在《360用户隐私保护白皮书》自行查阅该项隐私保护细则说明(http://www.360.cn/privacy/v2/yunanquan.html)。

回应1:可疑样本自动上报与“云安全计划”无关

独立调查员抛出的第一个质疑是:“用户手动取消加入云安全计划后,仍上传用户所有行为”。对此,360安扬回应称,《每经》虚假报道中所说的“进程防护”是针对系统中进程运行行为的云端鉴定和分析功能,和“云安全计划”针对的可疑样本自动上报无关。因此即便关闭“云安全计划”开关,程序仍会发送进程的行为信息到云端进行鉴定识别。

360的防御体系是以云安全为基础的,若彻底关闭云端功能,则会导致大部分安全功能失效,如果需要关闭对应的功能(例如“进程防护”),可以到相应的位置关闭(例如“进程防护”就可以到360木马防火墙的设置中关闭),只有彻底关闭了安全功能,才能关闭对应的云端分析和拦截功能,而不是单纯关闭“云安全计划”,同时用户也将失去对应的保护功能。

图:北邮安全专家现身解释“云安全”

对安扬的回应,北邮信息安全博士,现中国传媒大学计算机学院讲师黄玮也表示支持,“在入侵检测领域,离线分析是针对未知威胁的一种基本方法。已知特征从哪儿来?样本从哪儿来?没有云之前,样本主要来自蜜罐、蜜网、用户主动上报、厂商主动收集,云安全说白了就是要从用户那里取可疑样本。各位做云安全的厂商,哪家不这么做?别的不多说,涉密不联网,联网不涉密,隐私亦如此。”

他还表示:“看不惯那些不踏实做好技术,揪住别人一个缺陷就往死里打。搞软件,搞系统的,谁能保证你的系统没有缺陷?缺陷!=(不等于)阴谋。如果按照@独立调查员的方法论,世界上就再也不会有软件公司了。因为,每一个被发现的漏洞,都可以被冠以:厂商故意为之。”

回应2:异步上传运行程序行为是非常合理的云安全防护功能

针对独立调查员“事后分批上传用户行为记录,与用户安全何干?”的质疑,安扬回应称:安全防护并非一定要在行为发生前就做联网查询分析并进行实时拦截。因为病毒木马随时都在变化,仅凭云端已知的行为拦截分析是远远不够的,还需要通过云端分析和学习未知的程序行为来产生新的拦截策略。

事实上,绝大部分云安全厂商的云安全机制都是由云端行为分析和云端行为拦截两大部分组成的,其中前者就需要用户系统上程序行为异步(即所谓的“事后”)上传到云端进行分析,再确定拦截策略。例如国外赛门铁克公司的云安全产品Sonar的重要组成部分就在于其异步上传程序行为进行分析鉴定的结果,这也是云安全的重大意义所在:可以基于统计大范围内程序行为特征来指定安全策略。

因此,异步上传运行程序行为是非常合理的云安全防护功能,并非是独立调查员口中所称的行为记录监视和间谍功能,因为上传的数据是无法对应到单个用户的个人统计数据。

回应3:云端预留开关基于安全考虑腾讯金山亦如此

在回复独立调查员“云端预留可关闭此功能的配置接口,动机何在?”的这一质疑时,安扬介绍说,云安全功能的一大特点就是灵活、可操控性,而这灵活性就是通过云安全性设计灵活可控的各类“开关”。云安全时代之前的安全软件如果遇到大规模病毒木马爆发或突然的大规模误导,只能逐个客户端发布更新,非常缓慢,往往分发后已经为时已晚,而云端随时开关既可以随时制止突然爆发的病毒木马,也可以及时防止大面积误报,这属于云安全设计功能的基本和必备功能,包括腾讯金山在内都是如此。

对此,微博网友“潜伏鹰”表示:同为恶意软件检测技术研究者,我认同360的解释。360云防护的核心是机器学习模型,其增量学习过程需要不断采集海量用户行为样本数据进行训练,包括正常样本和异常样本。几乎所有大型安全系统都是集中控制的,效率第一。

举报 0 收藏 0 打赏 0评论 0
 
 
更多>同类资讯
全站最新
热门内容
网站首页  |  关于我们  |  联系方式  |  版权声明  |  RSS订阅  |  开放转载  |  滚动资讯  |  争议稿件处理  |  English Version