今年8月Intel 以77億美元併購McAfee市場一片嘩然,當時也不少人推測Intel應該是要把防毒軟體做到晶片裡,
但是在最新的報導當中,McAfee的CEO Dave DeWalt表示,Intel併購McAfee並不是為了整入Chip而是針對四個未來的走向;
- Communities
- Virtualization
- Consumerization of IT
- White listing approach
基於目前不同與多樣的End point devices 與 Cloud的興盛,這也改變了原本網路安全的防範措施。 如果採用以前的防毒軟體的模式來針對不同的End point來推出防毒軟體,這樣的方式對防毒軟體業者(要多一組人來開發與維護)與使用者(在256MB 的 iPad來裝防毒軟體?)都是一個不經濟的使用模式。 DeWalt所提的四種原因並未說明的很清楚,不過我基本上推測其作用與方式有可能是;
Communities
其實在現實社會上,我覺得最安全的保全方式就是守望相助,我也相信這樣的模式套用在防毒軟體是可行的。 如果在10年前有人提出要把人際關係的整個模式放到網路上一定是會被嘲笑的,但是Facebook的成功卻證明這個方式是可行的。 事實上McAfee之前就有提供了SiteAdvistor的服務,當你開啟某個site之前可以警告你這個site是否安全,作法跟Google的Safe Browsing 很類似,(之前我有用C#寫了一個testing program去呼叫Google Safe Browsing API的程式,如果是使用pre download data的方式效果不太好)。 要提供這樣的服務或解決方案就必須事先收集許多的資料以供使用者來採用,如果是自己的公司來收集就要有爬蟲程式去跑,其實最好的方式就讓使用者來提供資料,利用檢舉匪諜人人有責的方式最快。
由於社群網路的興起,很多社群網路已經成為一個platform了,個人或是公司的site可以掛上去或是做連結,所以由原本的人與人,人與社團,社團與社團進而到人與Site,Site與Site的連結。 其實一個很明顯的例子就是當你寫完一篇blog後你可以post到Facebook 或 Twitter,這個動作就已經是Site to Site的連結了。
當Site與Site的連結越來愈頻繁後,安全的問題也會出現了,我要如何知道你的site是安全的呢? 是否有一個單位可以幫我確認這個site是安全的? 我相信這個問題與需求應該會出現。
Virtualization
其實這個與雲端科技的盛行有關,IaaS與 internal Cloud 會大量的使用VM的技術來節省成本,可是要在每一個VM上裝防毒軟體這個方式可能太耗資源了吧。
由於最近一直在看跟VM與雲端的資料,在看了Xen與Intel 的VT資料,我覺得以後只要做在Kernel 端的軟體可能真的要觀察這趨勢發展了。 在解釋這個發展前先簡單看一下一般防軟體在OS的運作方式;
作業系統分成User Mode與Kernel Mode,一般的軟體在跑在User Mode的,但是如果要檔案攔截的動作就要在Kernel mode來做(其實微軟有提供在user mode做hooking的機制,叫做
detours)。
Xen
Intel VT-d
如果要具體化一點,我畫了一個圖用layer來表示(Virtual Appliance)
Physical Layer就是硬體裝置(網路, 硬碟..等等), Monitor Layer就是 VMM (Virtual Machine Monitor),Management Layer 就是Xen所提的Domain o跟Intel所提的SOS,Guest VM就是跑在上的的不同VMs。
所以VM很有可能會改變工具軟體的作法了,想想要在每個VM上裝防毒軟體,這個Virtual Appliance跑的動嗎? 現在如果我把Kernel mode與user mode的觀念帶入的話,其實要在哪裡做hooking應該就很明顯了。
Consumerization of IT
不同的end device將會出現在企業裡,可是你期望在256M的iPad上安裝防毒軟體嗎? 應該會有更好的方法吧? 這個問題我也還在想。
White List Approach
這個就是白名單的防毒方式,以往的防毒方式是用黑名單的比對方式,理論上白名單應該會比較難做,要不然時10年前就該出現這樣的防毒模式。 但是如果以雲端的概念再配合use case來看,似乎白名單好像比較合理。
舉例來說,我有一個未知的檔案,我的雲端防毒把這個檔案特徵(不是整個檔案)送到雲端的資料庫來問,如果用黑名單來解答,一旦符合特徵這個檔案就是病毒了,但是如果這個檔案是一個全新的未知病毒的話,黑名單資料庫根本沒有資料的話,他就會判定這檔案不是病毒了。 反觀白名單的方式,如果這個檔案特徵並未符合白名單的資料庫內容的話,這個檔案極有可能是未知病毒。 但是白名單要能夠有效的話,他的資料庫一定要要比黑名單要多很多,要在一般的client來裝個白名單資料庫鐵定被罵死,可是雲端科技的出現不就是讓使用者可以使用後端龐大的資料庫嗎? 所以這樣看來白名單的防毒方式有可能會在雲端科技來實現了。