Invincea公司研究團隊的領導者是創始人阿努普·戈什博士，一名備受尊敬的互聯網安全分析師。他們的目標是阻止惡意軟件利用網絡瀏覽器入侵到計算機中，這正是我們真正需要的。

瀏覽器保護工具就是他們的工作成果。它通過對網絡瀏覽器進行隔離來實現對主機的保護。如果我沒有理解錯的話，網絡瀏覽器采用的是不同的操作系統。根據來自Invincea公司開發團隊的說法，瀏覽器保護工具包含了下面列出的創新功能：

◆有效保護模式：當瀏覽器保護工具檢測到來自惡意軟件的威脅后，用戶將獲得提醒，虛擬環境將被關閉。一個新虛擬環境將在幾秒鐘內啟動，以消除威脅和最大程度上減少中斷給用戶帶來的影響。

◆免簽名檢測模式：對惡意軟件進行確認標定不是必須的。也不需要用戶的輸入。瀏覽器保護工具會自動利用虛擬環境中的異常行為來對惡意軟件進行鑒定和確認。

◆不會對用戶正常使用造成影響：虛擬網絡瀏覽器在外觀上和普通瀏覽器沒有任何區別。

◆法醫數據庫：在惡意軟件攻擊時搜集到的數據會被發送到Invincea的數據服務器上，在那里，數據會被分析，相關結果會被用來增強瀏覽器保護工具客戶端的群體智慧。
　　
我往往傾向于采用創新思維的方式來分析問題，并且，從表面上來看，瀏覽器保護工具的功能確實很有效。這也是為什么我會有很多問題的原因。在這里，瀏覽器是位于智能沙箱環境中的?它們是怎樣發現沒有標注的惡意軟件的？

幸運的是，來自Invincea公司的專家回答了我幾乎所有的問題。這里是他們答復的內容：

看起來，Invincea和美國國防部高級研究計劃局（DARPA）及喬治·梅森大學信息系統安全中心這兩家著名機構存在著聯系。你能向大家簡單介紹一下Invincea的創建歷史么？

Invincea：Invincea公司（前身為著名的安全司令部公司）是2006年建立的，當時阿努普·戈什博士剛剛結束了在DARPA為期4年的項目經理工作。與此同時，戈什博士還獲得了喬治·梅森大學信息系統安全中心的教師資格。他的研究課題之一，就是利用虛擬化技術，防止非受信用戶連接到用戶的桌面系統上。

出于對戈什博士的信任，DARPA資助了這一概念的早期原始模型。在獲得了潛在客戶的興趣和支持后，Invincea獲得了在原型上開發商業產品的創業資金。在2010年4月，Invincea推出了企業級產品，瀏覽器保護工具。

在觀看Invincea提供的在線演示時，我發現這樣一句話，“對于現今的網絡犯罪分子來說，瀏覽器是最容易的獲利途徑。”你能解釋一下，為什么這么說么？

Invincea：從市場營銷的角度來說，這句話說明了兩件事情：第一，對于現今的大部分惡意軟件來說，網絡瀏覽器都是最主要的傳播途徑。第二，大部分惡意軟件開發者和分發人傳播廣告軟件、垃圾郵件僵尸機器人、追蹤類惡意軟件和銀行類犯罪軟件僅僅是處于出于純粹的經濟目的。

使用者利用瀏覽器上網的時間，就會被這些代理感染。其中的一種模式就是，網站利用網絡瀏覽器的安全漏洞進行偷渡式下載。但更常見的模式是，在訪問網站的時間，軟件會自動下載，使用者會遭到欺騙，而選擇安裝和運行。

取決于設計的類型，安裝好的惡意軟件可以做很多事情：發送垃圾郵件、展示廣告、追蹤使用者的在線活動情況、截取網絡證書，甚至財務交易的日程安排也不例外。因此，如果你從事盜竊資金方面工作的話，與一個停車場里相比，在互聯網上尋找欺騙對象更方便，而且被抓到的可能性極低。換句話說，對于犯罪集團來說，這是最理想的情況。

虛擬瀏覽器是一個非常有趣的概念。你能詳細介紹一下么？

Invincea：網絡瀏覽器是一種非常復雜的軟件(源代碼超過100萬行)，并且隨著通過開放式接口添加的應用擴展(插件之類的第三方軟件組件)處于不斷擴大的趨勢中。此外，網絡瀏覽器運行在動態交互模式下，新內容會不斷出現。

從安全的角度來看，在不限制使用者連接和使用的情況下，很難鎖定網絡瀏覽器防止惡意網上內容的攻擊。虛擬化瀏覽器這一概念的實質就是在一個鎖定的虛擬環境中運行瀏覽器和所有插件。

這樣的話，當網絡瀏覽器遇到偷渡式下載攻擊時，或者使用者受到欺騙選擇安裝惡意軟件的情況出現，唯一被破壞的就是一個一次性使用的虛擬設備。

Invincea的虛擬網絡瀏覽器與沙箱環境中的實際網絡瀏覽器，舉例來說，和火狐瀏覽器相比，有什么區別？

Invincea：Invincea的專有技術和普通沙箱技術相比，有兩處不同。首先，Invincea利用真正的硬件虛擬化技術來實現在虛擬環境下運行非原生的網絡瀏覽器。

在沙箱解決方案中，網絡瀏覽器是按照原生模式運行在操作系統中的。如果網絡瀏覽器發出有效的文件系統調用命令(舉例來說針對一個系統文件或注冊表項)，監控工具就需要確定。這樣的話，沙箱要么容許文件系統寫入命令執行，重新更改文件系統調用命令到一個“虛擬”注冊表中，要么要求使用者選擇采取的措施。在實際案例中，選擇的結果往往是后者。因此，盡管有沙箱比沒有沙箱好。但它不能防范多種類型的攻擊，并且需要使用者作出安全決定。

Invincea技術的第二處關鍵不同是，它可以在沒有惡意軟件已知信息的情況下，自動監測出惡意軟件的動作和行為。隨著惡意軟件的數量呈現出幾何級數增長的趨勢，問題的關鍵就是找出存在的惡意軟件，并采取有效措施，將計算機恢復到原始狀態，在此期間，還要保護使用者應用程序、文件和數據的安全。

在閱讀Invincea瀏覽器保護工具的應用程序白皮書時，我看到了“可以在無需簽名的情況下檢測出惡意軟件”這樣的說法。為了做到這一點，軟件中是否采用了啟發式或行為模式識別等技術呢?如果能解釋一下檢測模式的工作原理就更好了。

Invincea：確實，Invincea在檢測針對網絡瀏覽器的惡意軟件時利用了專門設計的傳感器。我們模式的獨特之處在于，開始運行的時間，虛擬瀏覽器備始終處于原始狀態。這樣，在此之后，我們就可以了解到原始狀態是否發生變化了。

在環境被破壞時，操作系統中實時運行的事件和行為分析工具可以告訴我們相關的分析結論。這樣，我們就可以對攻擊進行監測，甚至沒有簽名的零日類惡意軟件也不例外。一旦虛擬環境的破壞被確認，我們就還原到原始狀態，為最終用戶訪問互聯網提供最高等級的保護。

將惡意軟件分析結果上傳到公司服務器中的做法，看起來非常類似熊貓公司的云防病毒。上傳的信息是否會返回給用戶?看起來，似乎用戶越多。數據庫的信息就會更準確更新就會更及時。這樣的說法是否正確？

Invincea：為了保護用戶，基于云模式的防病毒解決方案需要利用互聯網級別的“已知破壞類”文件、站點的共享列表，或者采用啟發模式。對新惡意軟件的鑒定工作來自供應商的研究或最終用戶的操作。所有這些工作都是隨機的，不確定的，并且需要團隊合作。

我們的模式是截然不同的。我們搜集了系統中所有非常規變化的法醫數據，并發送到為企業客戶準備的威脅分析數據庫中，這樣的話，他們就可以利用這些信息更好地了解對手，對網絡中的安全設備(舉例來說防火墻、網絡網關)進行強化。舉例來說，我們搜集的信息有：

◆惡意軟件的原始位置

◆它是如何對一名特定用戶進行攻擊的

◆惡意軟件進行了哪些活動

◆網絡命令和控制服務器的位置　　

在設計時，我們的檢測模式就沒有包含簽名功能，因此我們沒有必要將信息返回給用戶來保護他們。換句話說，Invincea是讓信息部門利用我們的惡意軟件數據，來有效保護企業的其他部門。

我了解到貴公司的產品目前只支持Internet　Explorer。對于其它主要瀏覽器來說，是否有發布支持版本的時間表？

Invincea：我們現在已經提供了對Internet　Explorer　V6、V7和V8版的支持。不久以后，將提供對火狐瀏覽器的支持，并且計劃根據客戶的需求情況進一步擴大支持名單的容量。

我也了解到瀏覽器保護工具目前并沒有向大眾公開。你覺得什么時間才會公開？

Invincea：對于Invincea來說，進入消費市場意味著獲得飛速發展的潛在巨大機會?，F在，我們正在對市場進入策略進行評估，在沒有確定之前，還無法給出時間表。

最后的思考

我認為瀏覽器保護工具有兩項非常出色的功能。使用者不會受到很大的影響，不必利用事后簽名文件來檢測惡意軟件。再加上，可以自動重建受到攻擊的網絡瀏覽器環境，讓它看起來就象是我們的最佳選擇。

在這里，我要感謝Invincea公司首席執行官和總裁吉姆·吉里以及創始人和首席科學家阿努普·戈什博士在回答提出的問題中給予的幫助。

【編輯推薦】

1. 應對新一代Web2.0安全威脅瀏覽器虛擬化成關鍵
2. 簡介存儲虛擬化與災難恢復