访谈:趋势科技EOG专家值守服务

作为一家服务于IT技术人员的专业媒体,51CTO安全频道对趋势科技新推出的专家值守服务EOG颇感兴趣。近日51CTO安全频道采访了趋势科技的专家,为我们的读者介绍EOG能满足企业哪些方面的需求,会给他们的工作带来什么样的改善,以及如何把握采用EOG的最佳时机等。

采访对象:

99年加入趋势科技(中国)有限公司至今,先后担任趋势科技售前专家支持总监、首席安全顾问,时任专家管理服务部业务拓展经理。在大中型企业安全策略以及构架上有非常丰富的资历和经验。
记者:作为趋势科技新推出的安全服务产品,我们注意到EOG时常与趋势科技专家服务(TMES)、企业安全防护战略EPS-5一起出现。是否可以这样理解EOG,就是它是一种专家性的主动咨询业务?它与TMES、EPS-5有什么联系或异同呢?

可以这么说,EOG是主动型的咨询服务,EOG的核心是趋势科技或者我们的合作伙伴所提供的全天在线的快速预警及解决方案,以给用户的安全健康检查结果作为评定基础,以报告作为执行情况的跟踪和总结,并补充相关的培训内容。TMES是Trend MicroExpertService趋势科技专家服务的缩写,EOG是其中的一个咨询服务。EPS-5是趋势科技第五代企业安全防护策略的缩写,分为监控、强制、防护和恢复四个环节,成为一个完整的体系,EOG是其中第一个也是最重要的一个环节。

记者:据我们进行的的客户调查表示,现在的大中型企业,约有30%左右的安全总体投入会在病毒防护上,EOG的出现,会对现有的企业安全体系带来什么样的改变?什么样的企业适合采用EOG?

可以说,EOG给国内的企业带来了一种全新的安全理念,企业采用EOG服务,不仅可以提高企业的防病毒水平,也可以解放信息部门的生产力,对于什么样的企业可以采用EOG服务,只有规模化使用才有意义,这样集中对客户端的监控得来的数据才能够比较准确的把握目前的状况,另外我们对用户有要求的是用户要有安全管理的意识,这是最关键的一点,用户要能够明白,如果有什么防病毒的状况,是可以通过管理来达到一个比较完善,能够走向一个比较高的水平。其他并没有什么特别的要求,如果用户有一定的安全意识,也有相当数量的终端,目前都可能是EOG的目标客户。

记者:我们注意到,趋势科技表示EOG目前仅适用于已经采用趋势科技产品的用户,那么对于那些不具备这个前提条件的企业,是否能采用EOG?原有安全系统是否要完全更换?

是的,趋势科技是一家传统的防毒软件公司,像我们有自己的,其他的一些友商也都会有自己的产品体系,那么这些产品体系中的一些预置和字段也都不对外开外,在目前为止,我们通过自己监控中心(MOC)能够监控服务趋势科技自己的用户,之后也许我们会有机会对其他友商的产品能够做到一些简单意义上的监控。但是目前为止还不能实现对友商产品的联动。

记者:具体到企业的安全工程师或安全管理人员,EOG能帮助他们做些什么?例如专家在线的具体形式是什么样的?响应速度、准确性和服务的连续性如何保证?
EOG 服务中会有一个监控中心,同时有很多探头在外面,比如说客户要使用我们的eog服务,我们会在企业的趋势科技产品中央控管软件TMCM软件上面装一个监控平台的代理,这个代理会负责把所有的日志全部送上来,然后我们会对送上来的日志进行智能的分析,过滤出一些可疑的事件。然后和用户沟通和交流。这就是 eog的实现方式。

因为发送的日志都是精确匹配的,也不会有出现误报的情况,每一条日志都可以找到它的源头,不是采取一些所谓的"预测""预判"的技术来实现,完全是精准的一对一的实现,不会出现误差的问题。

谈到响应速度的问题,经过我们的测试,一条日志从客户端产生到上报,收到信息,大概可以在三分钟以内完成。收到信息之后,我们会进行相应的处理,如果是一次病毒的事件,得到日志以后,我们可以保证在四个小时以内给出用户解决方案。这是就新病毒而言,如果是常规事件的话,那就会极大的缩短处理时间。我们可以根据一些常规的动作,给出一些常规的建议。关于服务连续性的问题,现在我们是做7*24小时的值班,我们后台的平台全部是做双机容错的配备,在电信的主干链路不出问题的情况下,我们可以7*24小时的作业。

记者: 在7×24小时的监控中,假设企业网络暴发大规模的蠕虫,严重影响网络通信甚至阻塞网络,就是在线专家无法正常的通过网络监控,EOG对此有没有一个防范和反应机制?

这个可以这样来理解,就是在它暴发之前,它不可能从一直接到五十,它是从一二三四五……这样一直到五十,我们可以保证一条日志在三分钟之内收到,在这个过程当中,在它暴发的过程当中,我们就可以收到并且迅速处理,这个也就是EOG的价值所在,也就恰恰体现在它暴发的时候。

再就这个问题进一步说,如果物理链路出了问题,我们另外补充一点:EOG在中国区推出了不同的版本,其中有一个版本是比较符合中国国情的,叫做EOG增强版。除了本身具有监控的不间断的思路以外。我们目前还增加了一个本土的服务叫做紧急上门响应,如果出现了病毒的突发性的暴发以后,经过趋势科技认证授权的工程师会作出一个上门响应的服务,这也是趋势科技针对中国环境提出的最后一环。能够在特殊情况下应付突发事件。

记者:能给我们介绍一下EOG服务增强版的情况吗?

EOG 在国内相关的产品有四个:一个叫做EOG的标准版,是以远程的service为主的,比如说我可以远程监控网络,帮他提出这种日周月的报表,给他病毒事件的快速响应以及一些病毒的解决建议。以及提供其他服务的电话支持选购。如果把标准版作为EOG服务的第一项的话,增强版其实含了七项服务,下面分别含有安全健康检查,安全咨询报表,安全意识演习及培训,病毒暴发响应流程和onside service六项。七项内容合在一起,我们称为EOG的增强版。第三个服务是把EOG的增强版和趋势科技在国内卖的最好的一款产品,叫 Client/Server Suite ,是包含有趋势科技的中央控件及OfficeScan服务器和客户端的产品捆绑在一起, Total Solution -C的套件,第四款产品是把趋势科技在国内外的最全的产品套件集中了,包括网关,客户端,邮件,服务器,中央控管,几大类的不同产品。这款产品和EOG增强版相配合,我们称作为趋势科技的Total Solution-D套件。

在国内,EOG设计了有四种产品,应对于不同用户的需求,如用户的网络环境做的比较好,用户自己有比较强的技术力量,也许用户用标准版就可以解决问题了。通过一些远程的服务,专家的建议,快速的病毒解决,网络和电话支持,随时响应,就可以达到一个比较好的管理目标。但如果用户的本身管理能力有一些不足,可能还是需要厂商来不断的辅佐他,能够一步一个脚印,来引导企业把安全管理做好。

记者:我们看到很多厂商对于安全服务通常是提供一个整体安全解决方案,为什么趋势科技的EOG服务只针对了防病毒呢?

厂商提供的服务内容里关于防病毒的这部分总是语焉不详,或是把这部分外包给其他人来做,很多大的电信公司会建立自己的安全服务中心,叫SOC,安全服务中心会把防火墙,IDS,甚至一些网络安全服务器或主机的管理都集中在一个管理平台,由一组人员来监控。来做威胁等级的分发,做集中的快速响应,但是在我所见过所有的SOC中间,关于防病毒的部分总是调用厂商的集中控管平台来做的,要知道集中控管平台收集的都是产品日志,没有进行智能分析和自动检索,得到的数据往往都是庞杂和不精确的。在这种情况下,我们也可以把EOG把看成SOC中心的防病毒部分的一个补充,作为防病毒的一个安全中心,集中监控,评估。虽然我们不提供例如对像口令的加固,像防火墙规则设定,但我们可以作为任何一个用户在防病毒方面安全服务中心的的插件。和原来的系统相配合,。

记者:很多安全解决方案在布署时,往往要求或需要一个无毒的网络环境,在布署EOG时,对网络的要求无毒吗?

在布署之前,并不会要求用户作系统无毒的处理。当然对于单一的产品病毒安装是最有效的,但是对于EOG来说,本身就是帮助用户解决问题的,在布署之前,并不要求用户特别的把所有的系统清到一个无毒的状态,事实上,如果用户能做到这一点,安全管理制度和规范也应该能达到一个水准,EOG本身就是在用户网络环境,网络防病毒准备不足的情况下帮助用户慢慢提升。我们不怕一开始的监控数字非常难看,事实上,在监控中心,也确实有用户一经接进来,第一天就暴出几千个病毒的感染事例。

记者:EOG是基于趋势科技的杀毒软件的,不论是趋势科技还是其他杀毒软件,都会有误诊,你们怎样处理和看待这样的问题?有什么样的应急措施或机制?

任何杀毒软件一旦出现误杀,会给用户带来相当大的损失,如果用户的业务系统非常关键,一定要杜绝这种可能性,常规事件我们刚才已经描述过了,会做的非常好,在非常规时刻,面对可能出现的新型病毒,趋势科技EOG还会给用户提供两套系统,算是目前趋势科技在做的一个技术结晶产品,叫做Discovery,是一个布署在前端的软件,能够在用户的数据端中间,如果用户经常登录到未知的未名的病毒之间,我们会为用户在客户端上布署Discovery,它会自动在用户的客户端中间去搜索,哪些文件会自动复制,会攻击端口,窃听密码,去打开一些库,就会把它作为可疑文件,拷贝到某一个服务器上来,去做威胁等级的排序和甄别,然后会交由用户判定。如果用户不能判定,则交给趋势科技去判定,哪些是病毒,哪些需要做紧急化处理。当这套系统在用户的网络中间布署好以后,会把未知病毒送到趋势科技设在后端的一个内置的快速病毒破解系统,通过这样的系统来快速的判断这是不是病毒,那么如果是病毒,我们会给用户一个快速的清除工具来制止和遏制这种未知病毒的暴发。因为未知病毒比较少,我们不建议用户用Discovery,毕竟增加一个系统,会增加一些负担。所以这是一个可选项。
记者:在记者看来,EOG其实体现着一种安全的外包服务,是否可以这样理解?

针对不同类型的用户,比如说代理商要去代理一个防病毒软件,往往首先要衡量一下是不是足以支撑用户在今后使用防病毒软件中间出现每一次病毒事故都能做到及时的处理,否则会被铺天盖地的病毒事件淹没。因此很多SI(系统集成商)希望厂商能够有完全外包的服务。我指的本地用户去谈商务问题,防病毒中间的一些知识,技术,能力是来自于厂商,所以来由厂商做这样的服务是比较合适的。

对这样的一类SI(系统集成商)和用户来讲,对于用户来讲,EOG是一个始终在一旁看着他的网络的,有什么问题你帮他去改进,我们是以督导者和带领用户的管理者的一个角度出现。在这个问题上,EOG更多的是出现在顾问的角色里,这个顾问的依据是趋势科技给更多的用户所做的服务经验,并且为用户整理出一套自学体系,能够督导用户向这个方向转变。如果用户自己来做或是依赖SI(系统集成商)的服务力量,未必能够达到理想的效果。因此和用户一对一的交流和沟通,把用户接入到系统来作单独的分析并给用户反馈一个结果是很重要的。

记者:那么趋势科技是否在安全服务方面有着整体的思考和策略?

趋势科技要对购买了趋势科技产品的用户负责任。对用户有良好的服务,给用户一个技术支持体系是必要的。现在我们相当重视MOC安全服务中心的服务,因为趋势科技在中国的用户数量已经超过了一万名,针对这么大的一个用户群,只依赖趋势科技一家的力量是无法完成的,因此我们在北京,天津,上海,在当地与各种类型的合作伙伴来和趋势科技一起建立安全服务中心,对于这样的合作伙伴来说,趋势科技和他们共同运营安全服务中心,所得利润分成,长远来看,如果到了一定的程度,这样的安全服务中心会遍及整个中国,每个省,为当地的用户服务。

记者:趋势科技认为安全外包的市场前景如何?

EOG 在国内的推广是相当顺利的,比如说我们在第一季度决定开始设立MOC安全服务中心,第二季度之内要找几十位客户来作全新的测试和推广,来观察在国外已经非常成型的服务在国内是不是被用户所接受和欣赏。第二季度我们也得到了一些经验和教训,同时得到了用户的认同,所以在第三季度的EOG也增加了现场响应的部分。面对用户要求,能够有到现场服务的体系。现在从趋势科技服务体系框架来看,除了EOG以外,就是趋势科技的高端服务PSP。PSP主要针对大型企业,对服务的要求比较严格,按照我们现在得到的用户反馈,大量的用户现在对管理上的都有迫切的提高要求。从现在的情况和市场反馈来看,前景是十分光明的。我们非常有信心把EOG做成趋势科技和国内的一个新兴的朝阳产业,能够在明年,形成趋势科技的蓝海战略中重要的一块蓝海。

记者:EOG的安全服务形式对企业安全管理人员的有什么积极意义?

以前防病毒软件一直缺少一套很好的体系来评估来规范绩效怎么样,EOG可以帮助他们来实现全面评估防病毒软件运行的好不好,是不是还有提高的地方,在哪里提高,怎么样提高。另外一点,对于以前的安全管理人员,防病毒是一个很麻烦的工作,如果管理不好,那么就会陷入一天到晚杀毒的重复劳动的圈子里去,如果采用 EOG以后,将提高我们的安全管理水平,将他们从低效的繁重的工作中解脱出来,去做高效的工作。刚才提到我们会给用户定期提供安全的报告,CIO可以通过这个报告对企业的安全管理人员作辅助的考核,安全管理人员拿到安全咨询报告,很多时候会被拿来作向CIO呈报的一个业绩报表。CIO可以知道你在过去的时间工作的优与劣,弱点和优势,这个报告可能会高达五十页以上,你可以想像其中的详尽程度。

EOG也会把防病毒这件事,用趋势科技的系统,体现出给用户的价值,让用户对自己所做的事情和未来的发展有一个清晰明确的了解,这个还是第一次在业界,让安全管理人员在防病毒上能有一个真正的评估和放眼未来的一个工具。