【IT168 专稿】全球经济形势的下滑给许多行业带来沉重的打击，但这些坏消息并似乎没有对安全厂商造成威胁。全球三大防病毒厂商赛门铁克、McAfee、趋势都在最近的报告中表明，其销售额均比历史同期有高度增长。其中又以McAfee的增长最为迅猛，这中间的原因，除了McAfee营销部门的突出表现外，于近日更名为McAfee Labs的老牌McAfee实验室也是功不可没。

　　从2009年10月开始，迈克菲将其全球知名的Avert Labs更名为迈克菲实验室(McAfee Labs)。该实验室创建于两年前，专注于识别和跟踪日益猖獗的各种恶意病毒威胁。

　　在2008年，Avert Labs共发现了约 150 万个恶意病毒软件，并推出了革新性、基于云计算的“阿尔特弥斯月亮女神技术”(Artemis Technology)- 这是安全领域有史以来最为先进的领先创举之一。研究人员还开发了业内第一个电子邮件和网络信誉度安全系统 – TrustedSource。数年来，迈克菲在监测密码盗取木马病毒方面一直处于领先地位，曾发现了世界靠前例多态病毒，并针对主机入侵防御研发了缓冲区溢出防御技术。

　　面对新时期的互联网威胁，尤其是中国的网络威胁，McAfee的研究方向又该走向何方? McAfee Labs IPS研究总监卜峥先生显然有很多话要讲。

　　McAfee的全球威胁智能感知系统

　　“就目前而言，McAfee在推一个概念叫全球威胁智能感知系统，这里面有威胁的收集，威胁的分析和研究。” 卜峥如是说道：“以前研究方向主要是是针对攻击，分散在全球的McAfee实验室会定期收集和反馈这方面信息给全球共享研究的数据中心。

　　但是中国有一些很独特的特点就是，在中国特别缺乏一个集中、统一的漏洞披露机制，在美国有CVE，大家都会遵从合理合法的渠道，比如说微软有漏洞，大家会向微软去报告。在中国很多问题，比如说一些流行网站的这些漏洞，McAfee实验室都可以第一时间发现，但是没有一个很好的机制来协调整个安全研究方面的工作。就目前而言，大家获得漏洞的信息很多都是从已经发生的零日攻击中获得样本或者从论坛上获得的。

　　第二个在中国这一块有一些很独特威胁的类型，比如说中国有自己的广泛应用程序，例如淘宝用得很多。另外方面，中国广大网民的安全意识还是要有待提高，实际上我们掌握的所有的僵尸计算机中，感染最多的数量是在中国，还有巴西、俄罗斯，相反美国那么大的计算机量，感染率却很低。”

　　据笔者了解到的情况来说，McAfee全球有350万的用户，几乎所有用户都参加了McAfee的云计划。再加上McAfee的安全硬件IDS和IPS(入侵防御/入侵检测)，也可以直接收集到威胁信息。

　　于此同时，McAfee与很多的学术研究机构有联系，包括一些学校里的网络中心，这就相当是众多的网络节点可以做数据支持。而且，通过相关渠道也会从第三方安全公司收集信息。所以就信息量而言，McAfee通过以上的全球性部署，信息量明显要提高几个层级。

　　中国的恶意软件发展迅猛 已超越美国

　　透过上述McAfee全球威胁智能感知系统，对于全球的数据统计报告就发现一个有趣的现象。在最近的一项报告显示对比表明，美国与中国的网络威胁方向是完全不同的。

　　就比如，国际上危害性比较大的Conficker病毒会利用漏洞来攻击计算机，当然是危害的，但没有大家想象那么大。通常来讲有两类是危害最大，一是盗码现象非常严重，举例来说就是盗取网银账号、盗取游戏帐号等，这些是一大类。另外一大类我们叫Fishing(钓鱼)，就像突然间弹一个框出来，说你的机器有病毒，下载一个软件可以杀这个病毒，其实这个软件就是一个病毒。而中国主要是盗码特别猖獗。

　　相对国际比较流行的病毒而言，中国所流行的盗码技术并不十分突出，相对比较初级。但是拿到中国特定的舞台来看，却屡屡让人中招。在谈到原因方面，卜峥解释道：“07-08年我们收集到的恶意软件的数量涨了600%，到了150万，而且从今年上半年收集到的情况来看，新的恶意软件就已经是150%的增长。中国的互联网威胁已经进入了一个量产的时代。首先攻击者生产一个盗码软件特别容易，而且制作、传播可以是分开进行。就比如制作木马是一拨人，另外一拨人负责传播，而他们传播的方式多种多样，给你发一个PDF、网页上找个漏洞挂个马等等。在如此众多的漏洞、木马面前，用户稍不注意就可能中招，这可以说是量变引发质变的一个证明。

　　当然，现在不同量的攻击，木马虽有各种各样的变种，但是如果能够基于系统或者软件方面的漏洞防范，并且加强基于异常的检测，那就卡住了很多的渠道。比如20年前的时候，用户觉得软件可能有问题，寄一张磁盘到我们的公司总部，然后我们的人去分析它，写一个对应特征码出来，然后再把清除过的磁盘寄给用户。可以看得出，原始方式虽然有效，但是影响范围有限。现在的情况可能是，我在写一个特征码的时候，互联网又出来了50个新木马，这就说明了无论你有多少人，如果搞一对一，以人力对抗这种攻击爆炸式的增长，那是没有办法保证安全的。

　　为什么McAfee开始推出了云安全的计划，实际上最重要的一个思路就是首先要有一个收集的机制，之后这个收集机制不光是只能汇报。最重要的就是通过信任机制进行过滤，这样可以大大降低重复劳动、节省分析时间。

　　漏洞库的合作、分享与研究

　　如果说McAfee的全球威胁智能感知系统是一把锋利的剑，那就需要有一柄合适的剑鞘来承接系统所产生的大量数据。不久前，由国家计算机网络应急技术处理协调中心牵头，神州绿盟、启明星辰、腾讯等国内近二十家安全公司、软件厂商、互联网企业就共同建设国家信息安全漏洞共享平台的合作事宜在湖南长沙举行了签约仪式。

　　透过这次签约仪式，我们也不难发现国家对于漏洞病毒的重视，甚至于首次组建了国家信息安全漏洞共享平台。那么对于McAfee实验室而言，如何与之做相关的分享?

　　“McAfee在中国是非常独特的!我们目的就是为了能让中国互联网整体安全化，包括从一开始的预警，到防范，甚至将来我们更加开放的分享一些数据，为大家做前瞻性的预防。类似事情，McAfee做过很多，比如说在2008年的时候McAfee主办的安全会议上，我们一个特别奖项颁给了一位在罗马尼亚专门做信息安全的检察官，而这位官员就是为罗马尼亚泛滥的网络威胁坚持不懈做斗争的人。McAfee的安全体系是全球性的。另外和厂商之间的协作方面，McAfee不仅仅是和安全厂商之间协作，包括主要的软件、硬件的供应商，都有紧密的合作。”卜峥更言到：“国家漏洞库的建立，对于所有安全厂商而言都有相当大的好处。”

　　如此一来，相信McAfee在今后会与国内的相关机构进行更紧密的互动，发挥McAfee全球智能威胁系统的优点，为中国互联网整体安全体系做出更多的贡献。