2011年7月21日 星期四

台版Cyber Clean Center之我見

今天在某研討會聽到了某教授發表了他目前正在進行的某專案,以下是愚民我的雜唸:

1. 我一向是對人不對事,剛好這一個教授跟我個人很度爛的某一個教授來自同一間科大,所以我就特別注意聽了他的內容。

2. 演說的過程中一再強調,『這兩個平台是我學生做的,一個人做一個』,『我開規格給他們,他們就做出來了』,『他們沒有做出來我要的東西就不能畢業』。這些凸顯自己教師威風的話,風格跟我討厭那個聽起來如出一轍,不愧是同一間學校,一個X管系,一個X工系,同樣軍人背景,同樣令人討厭。照這個進度,我想他的學生不久之後就可以寫出一個全新的作業系統幹掉Winodws,順便寫了搜尋引擎取代Google,最後再用半天的時間寫一個比facebook還好用的社群網站。

3. 日本Cyber Clean Center的概念是,由SOC或NOC等資安或網管單位進行網路流量和異常行為的監控和分析,一旦發現有主機感染惡意程式,則將這些異常的活動紀錄提供給CCC,再由CCC主動與主機管理員聯絡,並提供該惡意程式的修正檔(解毒程式),以此達到積極處理資安事件的目的。如果我沒記錯的話,日本CCC是和趨勢科技一同合作,由趨勢科技分析惡意程式的行為並製作修正檔,再由CCC去告知並發送給客戶。這個模式對資安組織和民間企業來說是一個互惠模式,民間企業可以藉此蒐集到更多的惡意程式樣本,提高自家防毒軟體辨識惡意程式的準確度;另外,資安組織也可以節省大量的資源,直接提供已經製作好的修正檔給受害端的客戶。

4. 這個老師的XX管理平台也是採用相同的概念,不過有幾個受限的地方:

  • 要在用戶端的電腦裝agent。
  • 惡意程式的來源是第二手,自己沒有誘捕系統或是管道可以蒐集。
  • 應該是透過別人已經做好的行為分析報告來製作修正檔(解藥)。
  • 惡意程式的樣本數有限。

5. 該老師宣稱他一個學生一天就可以寫出一隻惡意程式的修正檔,當下就知道是唬爛的。根據分析報告雖然可以知道該惡意程式可能感染了哪些系統檔案,修改了哪些註冊碼,但是因為每一台主機上的作業系統環境都不同,用戶的使用應用程式和設定值也不一樣,他要憑什麼去判斷哪一些檔案可以刪除?哪一些已經被污染的系統檔要怎麼還原?Registry裡面的值要怎麼還原?面不改色的吹牛,果然厲害。

6. 該平台必須要在用戶端的電腦上安裝agent,這樣管理者就可以遠端管理網內所有主機,並且可以即時比對主機上的惡意程式活動特徵,主動讓中毒的電腦到管理平台下載對應的修正檔回來進行修補。乍聽之下好像不錯,很棒哩,差點就幫他拍拍手了,不過這個solution有一個很便宜且執行效率更高的方案叫做『防毒軟體』。在每一台主機上面安裝防毒軟體,她就會幫忙監控主機上面所有的異常程序,還會自己更新病毒碼,找到病毒以後還可以自己掃毒,這樣的效果不是更好。不用仰賴他萬能的研究生一天寫一隻解藥,資安公司養了一群比較笨一點的資安研究人員,每天都在更新病毒樣本,修正防毒引擎,幫用戶端的電腦解毒。

7. 講得天花亂墜,口沫橫飛,我想實際執行時的成效要先打5折,而且現在幾乎所有學校都有校園授權版的防毒軟體可以使用,所以我真的很懷疑這個XX管理平台存在的價值。如果這樣的計畫可以拿到補助,我想審計畫的那些委員都要抓去槍斃。

1 則留言: