深入了解上市安全公司Sourcefire的漏洞研究團隊
原創【51CTO.com 獨家翻譯】在許多IT安全部門中,管理員都喜歡使用開源工具與惡意軟件做斗爭,在安全界人們最喜歡的組織莫過于Sourcefire,它是大名鼎鼎的入侵檢測系統Snort和殺軟ClamAV的老東家。
Sourcefire VRT(漏洞研究團隊)的高級主管Matt Watchinski帶我們走進了Sourcefire的幕后,一探其漏洞研究團隊的神秘面紗,并介紹了他們最近的研究動向。下面就是我們的記者與Watchinski的對話摘錄。
記者:我們從漏洞研究團隊都在做些什么談起吧。
Watchinski:Sourcefire VRT是一個網絡安全專家小組,專門負責發現、評估和響應最新的黑客行為、入侵嘗試、惡意軟件和漏洞的,其中大部分人都是業內著名的安全專家,包括ClamAV團隊和多本知名安全參考圖書的作者。
這個團隊由龐大的Snort和ClamAV開源社區提供資源支持,使它成為專注于高級網絡安全的最大團隊,VRT開發和維護Snort.org的官方規則集,每一條規則都經過VRT用Sourcefire客戶相同的標準進行了嚴密的測試,VRT也為許多平臺維護二進制格式的共享規則。
記者:最近幾個月研究團隊揭露了許多惡意軟件和漏洞,透露一下最新的研究有什么不同嗎?
Watchinski:作為一家開源廠商,我們每天要收到4GB惡意的二進制內容,從ClamAV日志我們看到,每天大約有30000惡意軟件,95%都是過時的,剩下的是可以利用的,通過Zeus和Rustock僵死網絡,我們可以看到數量更大的惡意軟件家族。
不懷好意的人每天都會對惡意代碼進行改進,我們每天要處理50-60個這樣的樣本,我們的挑戰是我們的更新節奏要跟上這些變化。
記者:ClamAV是幾年前Sourcefire收購的,它與Sourcefire的其它工具的集成性如何?
Watchinski:我們最近剛宣布了一項合作計劃,使用Immunet基于云的集體免疫技術,交付一個ClamAV Windows版本,將用戶及其朋友的網絡連接到一起,實時處理威脅,提供多個產品的即時保護,這個解決方案的好處是云可以幫助大家更快速地處理數據,用戶不用更新,也不用擔心上傳簽名,更新是實時的。
記者:你曾說過你有一天發現了30-40個漏洞,都是些什么漏洞呢?
Watchinski:上周的一個Opera漏洞,看起來有被遠程利用的危險,我們正在驗證這個漏洞,與此同時,我們還研究了一些可被利用的pdf文件。
記者:Adobe已經修補了大量的漏洞,你們在關注它什么呢?
Watchinski:我們一直在尋找Adobe軟件的漏洞,我們關注的重點是逃避能力,惡意軟件都具有逃避檢測的能力,分析起來很困難,我們正在研究更復雜的shell代碼,這是Adobe的一個大目標,要檢測出shell代碼做了什么,竊取了什么數據是相當艱難的。
記者:你的團隊有多大,它是如何成立的?
Watchinski:VRT分為三個小團隊,包括ClamAV團隊,Snort團隊和一個管理來自開源社區所有數據的信息團隊,社區中的人通常用Twitter和我們交流,他們也使用Snort.org論壇,郵件列表和開發者列表,我們會抽出時間響應他們的問題和我們的研究結果,通常都是一對一的交流,他們提交可疑文件,我們負責拆開,查看它是一個奇怪的網絡異常還是一個真正的威脅,VRT總共有20名雇員。
原文名:Inside Sourcefire's Vulnerability Research Team 作者:Bill Brenner
【編輯推薦】
