【51CTO.com 独家翻译】在许多IT安全部门中,管理员都喜欢使用开源工具与恶意软件做斗争,在安全界人们最喜欢的组织莫过于Sourcefire,它是大名鼎鼎的入侵检测系统Snort和杀软ClamAV的老东家。
Sourcefire VRT(漏洞研究团队)的高级主管Matt Watchinski带我们走进了Sourcefire的幕后,一探其漏洞研究团队的神秘面纱,并介绍了他们最近的研究动向。下面就是我们的记者与Watchinski的对话摘录。
记者:我们从漏洞研究团队都在做些什么谈起吧。
Watchinski:Sourcefire VRT是一个网络安全专家小组,专门负责发现、评估和响应最新的黑客行为、入侵尝试、恶意软件和漏洞的,其中大部分人都是业内著名的安全专家,包括ClamAV团队和多本知名安全参考图书的作者。
这个团队由庞大的Snort和ClamAV开源社区提供资源支持,使它成为专注于高级网络安全的最大团队,VRT开发和维护Snort.org的官方规则集,每一条规则都经过VRT用Sourcefire客户相同的标准进行了严密的测试,VRT也为许多平台维护二进制格式的共享规则。
记者:最近几个月研究团队揭露了许多恶意软件和漏洞,透露一下最新的研究有什么不同吗?
Watchinski:作为一家开源厂商,我们每天要收到4GB恶意的二进制内容,从ClamAV日志我们看到,每天大约有30000恶意软件,95%都是过时的,剩下的是可以利用的,通过Zeus和Rustock僵死网络,我们可以看到数量更大的恶意软件家族。
不怀好意的人每天都会对恶意代码进行改进,我们每天要处理50-60个这样的样本,我们的挑战是我们的更新节奏要跟上这些变化。
记者:ClamAV是几年前Sourcefire收购的,它与Sourcefire的其它工具的集成性如何?
Watchinski:我们最近刚宣布了一项合作计划,使用Immunet基于云的集体免疫技术,交付一个ClamAV Windows版本,将用户及其朋友的网络连接到一起,实时处理威胁,提供多个产品的即时保护,这个解决方案的好处是云可以帮助大家更快速地处理数据,用户不用更新,也不用担心上传签名,更新是实时的。
记者:你曾说过你有一天发现了30-40个漏洞,都是些什么漏洞呢?
Watchinski:上周的一个Opera漏洞,看起来有被远程利用的危险,我们正在验证这个漏洞,与此同时,我们还研究了一些可被利用的pdf文件。
记者:Adobe已经修补了大量的漏洞,你们在关注它什么呢?
Watchinski:我们一直在寻找Adobe软件的漏洞,我们关注的重点是逃避能力,恶意软件都具有逃避检测的能力,分析起来很困难,我们正在研究更复杂的shell代码,这是Adobe的一个大目标,要检测出shell代码做了什么,窃取了什么数据是相当艰难的。
记者:你的团队有多大,它是如何成立的?
Watchinski:VRT分为三个小团队,包括ClamAV团队,Snort团队和一个管理来自开源社区所有数据的信息团队,社区中的人通常用Twitter和我们交流,他们也使用Snort.org论坛,邮件列表和开发者列表,我们会抽出时间响应他们的问题和我们的研究结果,通常都是一对一的交流,他们提交可疑文件,我们负责拆开,查看它是一个奇怪的网络异常还是一个真正的威胁,VRT总共有20名雇员。
原文名:Inside Sourcefire's Vulnerability Research Team 作者:Bill Brenner
【编辑推荐】
