同樣是基於防毒技術發展端點安全防護的Webroot,與其他業者不同之處是產品技術主要仰賴雲端來執行,藉此快速跟上惡意程式產生的速度。
Webroot客戶經理劉琪指出,根據Webroot統計,平均每天有超過十?五萬段的全新惡意程式碼出現,其中90%為變種惡意程式,用以規避資安機制偵測。Webroot SecureAnywhere搭配擁有近160TB資料量的智慧網路(Webroot Intelligence Network)雲端平台,從全球端點蒐集資訊、自動分析處理,從發現新興惡意程式到產生特徵碼,平均只需要兩個小時即可完成,且不須派送更新,即刻讓端點具備防禦最新威脅能力。
 |
| ▲Webroot客戶經理劉琪認為,現今的IT網路環境較十年前完全不同,每天有超過十五萬種的新型惡意程式碼在世界各地產生,欲跟上駭客變化的腳步,端點保護機制也必須轉換思維。 |
在第一次安裝Webroot時,會先進行全硬碟掃描。由於採用的是檔案Hash技術,會自動將MD5傳遞至智慧網路平台進行比對,若發現為已知的惡意程式自然會被阻斷;但若發現是尚未被定義的MD5,則會回報終端為未知檔案,同時啟用本機沙箱(Sandbox)執行分析。劉琪強調,若只是把特徵碼比對從終端遷移到雲端平台,僅是跟其他同類型產品相似而已,最重要的是運作於系統核心層的沙箱內啟發式行為分析技術。
現代的惡意程式設計精良,在沙箱環境中未發作不代表為正常檔案,有時是惡意程式被設計為啟動攻擊行為前先行偵測執行環境,若為沙箱則終止程序。此時Webroot亦可將運行過程所蒐集的記錄傳遞至智慧網路平台,比對行為模式資料庫來得知是否為惡意程式。經過模擬分析與行為模式資料庫比對皆無法判別為惡意時,自然會讓該未知檔案正常被執行,但Webroot會在背景跟蹤所有行為,記錄執行過程中所做的修改動作,假設該檔案在潛伏半年後開始發作,即刻會被追蹤機制發現並攔阻,同時自動啟動Roll Back技術,也就是回復到該惡意程式開始出現在端點前的狀態,運行期間所有被調整過的檔案也將自動恢復,即可免於需不斷地重新安裝作業系統的麻煩。「Roll Back機制可說是目前客戶滿意度相當高的原因之一。」劉琪強調。
至於搭配雲端平台衍生的網路流量,劉琪則表示,其實終端連線至智慧網路平台,只有在執行全硬碟掃描工作時才會產生較多流量,但由於比對方式是採以MD5為主,所需的網路傳輸量並不大,平均每台電腦約佔用250KB至500KB。但規模較大的企業,終端可能超過千台以上,若同時執行掃描所需的流量總數仍相當可觀,如此情況下,亦可在雲端中控台配置時間差,例如依據部門別分配掃描時段,以避免佔用過多網路頻寬。