來到Sophos位於英國牛津近郊Abingdon總部的Sophos Lab,介紹整個研究中心的是負責開發病毒威脅緊急防禦機制的Sophos病毒研究主管Vanja Svajcer,他來自克羅埃西亞(Croatia),可以說是近年來東歐人移往英國求發展的縮影,也是Sophos多種族融合式用人哲學的代表。他笑著說:「當初到英國尋找機會,沒想到一試就是六年,現在已經在牛津定居下來。」
一般人對於病毒研究人員的想像,腦海裡多半會出現穿著防菌衣面對著很多臺電腦,在封閉的研究室中進行吧!實際探訪發現,並沒有那麼戲劇化,這裡跟一般公司的研究部門是差不多的。
Vanja Svajcer為我們解釋這個部門的工作內容,他說:「這個中心是專門研究電腦病毒防治,垃圾郵件防治研究則由澳洲雪梨那邊負責,設有專門針對垃圾郵件與網路釣魚的誘捕裝置(Honey Pot)。所謂的防毒不外乎就是偵測、殺毒、搜集病毒資訊的過程。第一步就是取得病毒樣本。」分析比對多透過自動化系統Mentor
該公司取得病毒樣本的管道很多,除了客戶本身、業界的病毒研究中心之外,還有AVED和AVIEWS(The Anti-Virus Information & Early Warning System)等產業組織,一些獨立的研究人員以及透過誘捕程式取得病毒資訊,所以不管是Sophos Lab還是研究人員本身,都必須與這些產業組織維持良好的互動關係。取得病毒樣本之後,再拿這個病毒與既有的病毒定義與資料進行分析、評估偵查的成果、蒐集資訊、過濾、分類和比對。Honey Pot成為蒐集病毒資訊重要來源
Vanja Svajcer還指出,這個研究中心設有病毒攻擊誘捕系統,用以吸引攻擊者發動攻擊,蒐集攻擊來源及手法,用在蒐集病毒、木馬或間諜程式的特徵和攻擊手法,藉此觀察攻擊的來源、手段、管道及模式,由於會將所有攻擊動作與過程記錄下來,已經成為蒐集駭客資訊的重要方式之一。
藉由誘補程式可以了解到網路攻擊的頻繁程度,任何一臺電腦在沒有安裝任何的防護裝置或是系統更新程式的情況下,暴露在網路上15分鐘之內就會受到攻擊。Sophos資深研究員Jason Bruce就提醒每一個企業裡的IT管理人員:「所以,IT人員安裝新電腦或是電腦重灌以後,最好養成將最新版的系統修補程式以及病毒更新程式定及燒成光碟的習慣,除了安裝好防毒軟體之外,也將最新的更新程式安裝好以後,才允許電腦連上網路。」
與趨勢科技位於菲律賓的Trend Lab高達數百人的規模相比,Sophos Lab只有區區數十人,Vanja Svajcer解釋,Sophos Lab的分析比對主要靠自動化系統Mentor,歷經取樣、預先研究、分析研究、調度程式,再進行控制、複製與掌控,經過多次的轉移與分析後取得多種的解藥,接著進行「後研究」,經過證實與認可後產生更新程式,再經測試之後才會發布出去。Mentor已經可以完成60%以上的比對與分析工作,剩下的部分才會透過人力完成。釋出解藥時間視病毒種類與複雜程度
至於人力的分析工作,主要在於分析方法的開發與測試、審核分析方法、提出IDE的防護、發布最初的病毒特徵、更新病毒特徵以及出版病毒解藥等,持續監看解藥解決病毒的整體情況後,在進行最後的調度程式之後,才發布最終版的病毒genotype(基因說明)。
究竟需要多少時間,才能將第一版的解藥釋出?Vanja Svajcer解釋說:「從病毒出現到完成病毒碼後發布,很難說究竟要多少時間,有時候只要幾小時,有時候遇到很棘手的病毒甚至要耗費幾個星期。以簡單的macro/VB病毒為例,差不多要30分鐘,而W32病蠕蟲就需要2小時,變種的W32病蠕蟲可能就要花上好幾天,如果是一個前所未見的新型態病毒,則可能要花上幾個星期的時間,平均提供一個緊急應變更新程式所需的時間大約是2小時。」高素質研究員強調以人性化管理
至於成為一個傑出的研究員的條件,Vanja Svajcer表示:「除了必需畢業於頂尖大學,具備電腦運算、電機、數學、物理等背景,擁有各種電腦工程、系統開發、程式語言、作業系統和網路工程的專長之外,做為一個研究員我會說要有天生的好奇心、對細節有耐心、良好的溝通能力以及良好的寫作技巧,也就是表達能力很重要,不管是透過說明或書寫,必須將病毒資訊與防禦方式正確的傳達出來。」
Sophos有高素質的研究員,但工作環境中還是有許多巧妙設計,防範人為疏失,舉例來說,在重要的設備上,該公司採用不同顏色的電線,讓所有員工可以一目了然,粉紅色的電線是危險的警示,裡面有電腦病毒流竄,所以大家在拔除或接上電線或各種電腦裝置時都要更加小心注意,以減少因疏忽而造成的病毒感染。
熱門新聞
2026-01-16
2026-01-16
2026-01-18
2026-01-16
2026-01-19