【51CTO.com 獨(dú)家翻譯】在許多IT安全部門中，管理員都喜歡使用開(kāi)源工具與惡意軟件做斗爭(zhēng)，在安全界人們最喜歡的組織莫過(guò)于Sourcefire，它是大名鼎鼎的入侵檢測(cè)系統(tǒng)Snort和殺軟ClamAV的老東家。

Sourcefire VRT（漏洞研究團(tuán)隊(duì)）的高級(jí)主管Matt Watchinski帶我們走進(jìn)了Sourcefire的幕后，一探其漏洞研究團(tuán)隊(duì)的神秘面紗，并介紹了他們最近的研究動(dòng)向。下面就是我們的記者與Watchinski的對(duì)話摘錄。

記者：我們從漏洞研究團(tuán)隊(duì)都在做些什么談起吧。

Watchinski：Sourcefire VRT是一個(gè)網(wǎng)絡(luò)安全專家小組，專門負(fù)責(zé)發(fā)現(xiàn)、評(píng)估和響應(yīng)最新的黑客行為、入侵嘗試、惡意軟件和漏洞的，其中大部分人都是業(yè)內(nèi)著名的安全專家，包括ClamAV團(tuán)隊(duì)和多本知名安全參考圖書(shū)的作者。

這個(gè)團(tuán)隊(duì)由龐大的Snort和ClamAV開(kāi)源社區(qū)提供資源支持，使它成為專注于高級(jí)網(wǎng)絡(luò)安全的最大團(tuán)隊(duì)，VRT開(kāi)發(fā)和維護(hù)Snort.org的官方規(guī)則集，每一條規(guī)則都經(jīng)過(guò)VRT用Sourcefire客戶相同的標(biāo)準(zhǔn)進(jìn)行了嚴(yán)密的測(cè)試，VRT也為許多平臺(tái)維護(hù)二進(jìn)制格式的共享規(guī)則。

記者：最近幾個(gè)月研究團(tuán)隊(duì)揭露了許多惡意軟件和漏洞，透露一下最新的研究有什么不同嗎？

Watchinski：作為一家開(kāi)源廠商，我們每天要收到4GB惡意的二進(jìn)制內(nèi)容，從ClamAV日志我們看到，每天大約有30000惡意軟件，95%都是過(guò)時(shí)的，剩下的是可以利用的，通過(guò)Zeus和Rustock僵死網(wǎng)絡(luò)，我們可以看到數(shù)量更大的惡意軟件家族。

不懷好意的人每天都會(huì)對(duì)惡意代碼進(jìn)行改進(jìn)，我們每天要處理50-60個(gè)這樣的樣本，我們的挑戰(zhàn)是我們的更新節(jié)奏要跟上這些變化。

記者：ClamAV是幾年前Sourcefire收購(gòu)的，它與Sourcefire的其它工具的集成性如何？

Watchinski：我們最近剛宣布了一項(xiàng)合作計(jì)劃，使用Immunet基于云的集體免疫技術(shù)，交付一個(gè)ClamAV Windows版本，將用戶及其朋友的網(wǎng)絡(luò)連接到一起，實(shí)時(shí)處理威脅，提供多個(gè)產(chǎn)品的即時(shí)保護(hù)，這個(gè)解決方案的好處是云可以幫助大家更快速地處理數(shù)據(jù)，用戶不用更新，也不用擔(dān)心上傳簽名，更新是實(shí)時(shí)的。

記者：你曾說(shuō)過(guò)你有一天發(fā)現(xiàn)了30-40個(gè)漏洞，都是些什么漏洞呢？

Watchinski：上周的一個(gè)Opera漏洞，看起來(lái)有被遠(yuǎn)程利用的危險(xiǎn)，我們正在驗(yàn)證這個(gè)漏洞，與此同時(shí)，我們還研究了一些可被利用的pdf文件。

記者：Adobe已經(jīng)修補(bǔ)了大量的漏洞，你們?cè)陉P(guān)注它什么呢？

Watchinski：我們一直在尋找Adobe軟件的漏洞，我們關(guān)注的重點(diǎn)是逃避能力，惡意軟件都具有逃避檢測(cè)的能力，分析起來(lái)很困難，我們正在研究更復(fù)雜的shell代碼，這是Adobe的一個(gè)大目標(biāo)，要檢測(cè)出shell代碼做了什么，竊取了什么數(shù)據(jù)是相當(dāng)艱難的。

記者：你的團(tuán)隊(duì)有多大，它是如何成立的？

Watchinski：VRT分為三個(gè)小團(tuán)隊(duì)，包括ClamAV團(tuán)隊(duì)，Snort團(tuán)隊(duì)和一個(gè)管理來(lái)自開(kāi)源社區(qū)所有數(shù)據(jù)的信息團(tuán)隊(duì)，社區(qū)中的人通常用Twitter和我們交流，他們也使用Snort.org論壇，郵件列表和開(kāi)發(fā)者列表，我們會(huì)抽出時(shí)間響應(yīng)他們的問(wèn)題和我們的研究結(jié)果，通常都是一對(duì)一的交流，他們提交可疑文件，我們負(fù)責(zé)拆開(kāi)，查看它是一個(gè)奇怪的網(wǎng)絡(luò)異常還是一個(gè)真正的威脅，VRT總共有20名雇員。

原文名：Inside Sourcefire's Vulnerability Research Team  作者：Bill Brenner

【編輯推薦】

1. “拯救網(wǎng)站運(yùn)維經(jīng)理趙明”有獎(jiǎng)?wù)骷顒?dòng)
2. 高端網(wǎng)絡(luò)防護(hù)不能“照葫蘆畫(huà)瓢”
3. 安全知識(shí)之加強(qiáng)網(wǎng)絡(luò)防護(hù)的四個(gè)步驟
4. 數(shù)據(jù)安全與防護(hù)：如何防止內(nèi)部數(shù)據(jù)泄漏(視頻)