文/林文彬 (記者) 2007-03-26
虛擬化的運用不再只是伺服器整合,調查局電腦犯罪偵辦科在特定電腦安裝虛擬作業系統,建立研究惡意程式的測試環境。
因為業務屬性,而時常會接觸不知明惡意程式的調查局電腦犯罪偵辦科,日前在個人電腦導入虛擬化技術,以虛擬出一個獨立的對外作業系統,以避免因誤開惡意程式,而導致攻擊擴散至內部系統。
臺灣防治電腦犯罪的重鎮──調查局電腦犯罪偵辦科,利用VMware虛擬化軟體,在個人電腦建構一個虛擬機器,只在這個虛擬機器中讀取不明檔案,以避免病毒攻擊。
法務部調查局電腦犯罪偵辦科調查員錢世傑表示,市售防毒軟體只能防範8~9成的已知電腦病毒,防範木馬的功能最多也只涵蓋5%,而且每天都有許多惡意程式出現,若防毒軟體無法即時掌握這些惡意程式,那麼就只能透過行為模式來防範,也因而會造成誤判。由於防毒軟體無法達到百分之百完全隔絕病毒,而調查局電腦犯罪偵辦科每天都會收到許多來路不明的檔案,因而便透過虛擬化來隔絕病毒的攻擊,補強防毒軟體空窗期的風險。
調查局將一臺桌上型電腦規畫2個虛擬機器,一個虛擬機器專門負責執行日常的工作,另一個系統便用在測試病毒,錢世傑表示,由於時常接觸到許多不明的檔案,在虛擬機器中完全隔絕的運作環境中,如果測試的檔案恰巧為惡意程式,便可在虛擬的環境中被發現,同時避免被攻擊。
虛擬機器遭到病毒感染後,也無需進行修復,只要直接刪除該虛擬機器,再重掛載新的虛擬機器檔案即可,錢世傑表示,在過去沒有採用虛擬機器時,如果電腦遭受病毒攻擊,則必須要找出有問題的檔案,並修復該檔案,但這個過程的處理相當不容易。以木馬程式為例,一旦電腦遭受木馬程式攻擊時,便會不斷衍生出許多木馬程式,除非重安裝新系統,否則很難根治,但透過虛擬化,則可以快速回復到最初始的狀態,也不會影響到正在工作中的電腦。
以虛擬機器來對付防毒機制的空窗期,錢世傑只建議一般民眾或微型企業使用,中大型以上的企業並不適用,他表示,以虛擬機器建構的測試環境,成本比起專屬的病毒測試環境來得低廉,較適合小型企業或個人用戶使用,但大型企業的電腦環境較為複雜,還是需要專屬的入侵防護系統,避免惡意程式的攻擊。
CA技術顧問林宏嘉表示,虛擬化軟體只適合中高階以上用戶使用,由於目前許多惡意程式並沒有明顯的攻擊行為產生,除非以專業的工具檢測,否則很難查覺。這方面的技術門檻,對一般用戶而言太高,因此他不建議一般人採用。
資料來源:http://www.ithome.com.tw/itadm/article.php?c=42623
沒有留言:
張貼留言