每年一度的英特尔IDF大会于4月11日和4月12日在北京国家会议中心成功举办。英特尔认识到在网络快速发展的同时,安全问题日益加重,2011年英特尔收购安全厂商McAfee,安全在英特尔的发展战略中有了更高的地位。
IDF大会上McAfee北亚区技术总监韦颂修对McAfee的主要安全策略进行了详细阐述。并重点介绍了以防范隐秘型恶意软件(rootkit)为主的DeepSafe技术以及基于DeepSafe的DeepDefender(下一代硬件辅助终端安全技术)和DeepCommand(操作系统以外的安全管理)两种技术。
安全威胁现状
威胁不断升级
巨大破坏力的APT攻击和隐密型rootkit恶意软件快速增长,检测难度也越来越大。
特别是rootkit恶意软件,他的威胁主要在于他的隐秘型。
上图可以看出隐秘技术往往使得用户在攻击结束之后才能采取修复措施,这一特点在造成巨大破坏的同时助长了恶意软件的扩散。
下图是rootkit恶意软件爆炸式增长的趋势图:
设备数量剧增
智能手机、平板电脑以及超极本的广泛应用到人们生活的各个环节,使用智能手机收发邮件、浏览网页、安装应用等操作已经不是什么新鲜事,但是另一方面,移动设备功能和出货量的剧增带来了严重的安全问题。恶意扣费、垃圾短信等新的问题层出不穷,移动终端安全作为新的终端问题被各大安全厂商所重视。
云安全
云计算应该是当今最热门的应用技术,云安全作为云计算的一个重要的分支也是一个重要的发展趋势。
迈克菲/英特尔的发展计划
由于rootkit往往是在操作系统上一层进行操作,这样的结果是rootkit恶意软件能有效避开基于操作系统运行的安全软件,所以其防范措施也应该是在操作系统的上一层就开始进行检测和保护。英特尔和McAfee主要的计划如下图:
?
基于芯片的安全
移动设备迅速增长,种类也越来越多,架构的不同造成基于系统的安全软件研发难度越来越大,所以英特尔认为未来的安全应该是基于芯片的安全。
McAfee的DeepSafe技术
McAfee DeepSafe被称为是超越操作系统的安全技术,第一款硬件辅助安全软件。其原理如下图:
?
?
?
下一代端点保护 McAfee DeepDefender
DeepSafe工作于操作系统之外,先于操作系统和驱动程序启动,在操作系统端,DeepDefender根据DeepSafe的检测处理结果做出报告并反馈给用户。其信息交流过程如下图:
?
?
DeepSafe 先于操作系统加载,操作系统初始化之后DeepSafe就开始对整个计算机的软硬件环境进行检测,如果在驱动程序启动阶段发现有恶 意威胁,则进行阻止,知道操作系统启动完成,DeepSafe将系统安全报告提交于DeepDefender,并由DeepDefender反馈给用户。
DeepSafe和DeepDefender的客户优势
发现隐藏威胁:由于DeepSafe先于操作系统启动,所以能对计算机进行更全面的检测和保护。
更好的防止恶意软件传播并降低成本:将恶意威胁阻止在萌芽意味着系统受攻击后的损失更少。
