【IT168 资讯】第四届迈克菲年度安全峰会（FOCUS  11）于当地时间10月20日在美国拉斯维加斯落幕不久，11月8日，迈克菲公司企业战略与业务发展执行副总裁Gerhad Watzinger先生以及迈克菲全球产品管理高级副总裁Brian Foster便紧接着访问上海，在浦东香格里拉酒店举行了媒体见面会。在会上，Gerhad Watzinger先生对整个安全行业的发展情况做了介绍，对迈克菲与英特尔在解决该领域问题方面采用的新技术做了分享，并解答了到会的各媒体记者提出的一些问题。

▲迈克菲公司企业战略与业务发展执行副总裁Gerhad Watzinger先生

时间：2011年11月8日
地点：中国上海•香格里拉酒店
受访人：Gerhad Watzinger，迈克菲公司企业战略与业务发展执行副总裁

　　主持人：大家好，首先自我介绍一下我是迈克菲的渠道总监。 很高兴大家能来参加我们今天的媒体采访。今天从美国过来的迈克菲战略执行副总裁会专门针对目前市场情况，我们应该注重哪些产品，将迈克菲现在在市场上的情况，未来的市场战略发展做一个简单的介绍。我们先听Gerhard Watzinger先生做一个介绍，随后会给大家留出访问时间。请先让我们把时间给Gerhard Watzinger。

　　Gerhard Watzinger：各位下午好，我的名字叫Gerhard Watzinger，我主要负责迈克菲公司在公司战略方面的工作。今天我想借这个机会跟大家介绍，并且共同来讨论一下我们认为的未来3-4年整个安全行业的发展情况。此外，我们也会和大家分享迈克菲和英特尔一起共同开发来解决这些问题的一些新技术。

　　首先我想和大家分享一下 未来整个行业会有怎样的变化。我觉得了解未来最好的方法就是 先看一下过去的情况。  在我们这个行业，说到安全的技术或者是所接触的各种事物， 其实，每当市场上出现一种新的突破性技术，我们所会遭遇的安全危险和攻击也会发生很大的变化。在整个IT安全历史当中，我们只是经历过两次比较大的变动，而现在我们觉得在整个架构方面出现了一种全新的破坏性的技术。所以，这就是我们所说的安全3.6代，我们回顾以前1.0代，这是在PC刚被发明和使用之后，包括服务器以及通过服务器的阶段，2.0代是当互联网成为主流的时候，现在整个IT行业架构处于正在发生更大变化的第三个阶段，或者说我们正处于第三波浪潮之中。我想如果在两年之后大家再回过头来看2010年和2011年，会发现整个IT行业发生了很大的变化。所以我就想和大家一起分享一下我们所看到的一些行业变化，同时也会和大家介绍迈克菲目前在实验室进行开发的一些新的技术。

　　另外，我也会和大家分享一些数字。这些数字可以让大家了我们遭遇的安全威胁在整体上发生了什么样的变化，我不会给大家很多数字，但是会分享一些关键数字或者说是一些对我们这个行业 有相关性的数字。此外，还会介绍有哪些新设备的引入，容易使我们系统遭受的攻击，包括对网络都会带来非常大的威胁。 移动计算事实上使得整个安全领域所遭受的威胁又有了很多新的变化。说到这些威胁，这种攻击会对企业和个人带来什么样的危害，很好的方法是对这些网络罪犯使用的方法进行一下分析。为了能够更好的捕捉在整个IT环境当中的这些威胁，我们在各地设立了研发中心，在中国也有我们的研发中心，此外我们还有几千万的传感器帮助我们捕捉这些新兴的网络威胁。

　　我想跟大家分享两个非常有意思的数字，第一个数字是我们现在某一天新发现的病毒，包括恶意软件数量都会达到6万个。所以大家做一下简单的计算，今天新闻发布会结束的时候又有5千个新的病毒会被发现。但是我觉得更重要的是把每天所新发现的6万个病毒来把他放到具体环境中做一下比较，在一年之前每天新发现的病毒数量是2万个，两年之前每天新发现病毒的数量是5千个。在三年之内我们所遭受的威胁大幅度增加，从5千增加到2万并且增加到6万。所以，我们所遇到的一个挑战并不是说我们怎么来处理和对付这6万个新病毒，而且必须要展望未来，在未来三年五年当中，可能新发现恶意软件数量达到几百万个，一旦处于这种环境中，传统的攻击恶意软件的方法就不足以更好保护我们的系统了。 所以我们就必须能够找到新的方法保护我们的系统，在接下来幻灯片中会介绍我们一些新的技术。

　　我还想跟我们分享一个数字是每个月所新增恶意网站的数量，我们每个月都会对新增新设的网站进行跟踪，然后对这些网站进行分析，并且把数据放到我们全球威胁智能感知系统当中，通过我们的分析我们发现每个月新增恶意网站数量是高达200万。这些恶意网站有些只是存活几分钟，有些是几个小时、几天、几个月的寿命，大家想怎么会有这么多恶意网站，事实上怎么会有这么多的恶意网站每天都会影响和攻克你的系统，而且没有人对他们采取一些措施。所以，其实在这个领域我们是缺乏相应的法律法规以及执法的力度，换句话讲我们缺乏网络的“国际刑警组织”，因此对于这些网络犯罪来讲非常容易创建这些不同的恶意网站，因此必须要有用户消费者证以及公司保护自己的系统，从而确保自己的系统能够非常安全。但是更有意思的一点，我们还发现新的恶意软件，这种新的恶意软件不会被检测出来，而且经常和APT所结合在一起。其实这种新兴的恶意软件它的发展速度非常的迅速，而且我们现在已经发现大概有1200多种这种新兴恶意软件属于我们高持续性威胁这一类的，在我们全球威胁智能感知信息系统网络当中也已经发现有超过200万个这种类似的恶意软件。如果我们看一下整个传统的计算的话，我们可以看到大部分其实还是主要侧重于应用层面上，而且这些恶意软件攻击的东西都是在这个层面的，比如说浏览器、文件系统或者是数据库，基本上都是在这个工作系统之上的。

　　所以，以前那些关于恶意软件的杀毒系统，包括安全的系统它基本上可以说是属于操作系统过程当中的一部分，也就是说在这个操作系统之上而不是在操作系统之下，在这个图上大家可以看到现在很多攻击往下走，已经进入CPU所控制的区域。所以，大家可以看到如果你们使用的这些安全系统它是在操作系统之上的话，它能够保护操作系统上面的内容，但是不见得能够看到操作系统下面的内容，包括一些非常隐蔽的木马病毒之类的东西。所以这就是为什么我们安全解决方案还必须走到操作系统以下。这样做的原因其实也非常简单，就是说我们必须要确保这种不同的恶意软件，特别是在操作系统之下的恶意软件得到很好的保护，而且我们还必须要避免这些恶意软件它会规避操作系统，要防止这样的一种情况。

　　接下来跟大家介绍一下我们目前和我们新的母公司（英特尔）所开发的不同类型的技术，我主要跟大家分享三类不同的技术。首先我们会有一类技术，这一类技术它能够很好利用目前在硬件中已有的安全功能，这个我一会儿会解释。还有一类属于突破性技术，也就是我们所说的硬件辅助的安全解决方案，我一会儿还有一张幻灯片介绍这是一种全新的技术，之前没有出现过，这种技术对于我们来防止某种类型的恶意软件对系统的攻击是非常关键。第三类技术，我们会把安全嵌入到硬件当中，或者把安全嵌入到操作系统当中从而更好的提供保护。

　　我来给大家解释一下刚才我所说的第二种类型的技术，也就是我们所说的硬件顾问辅助的技术。那么，在张图上大家可以看到对于我们一般的架构，也就是说在操作系统加上虚拟机器，在这之上的这些不同的应用，一般来讲我们的安全系统不管是杀毒或者是我们所说的数据丢失，防护，或者利用白名单等等这种这些不同类型的系统都基本上位于图上大家所看到的层次。

　　下面是CPU，一般控制四个方面的东西，一个是输入输出过程，另外是内存，第三个是网络，第四个是显示。 一般操作系统，比如说像Windows的操作系统或者其他操作系统不会和CPU进行直接沟通和对话，像英特尔这样的应用厂商加了一层，就是我们看到的CPU  Hardware visor。所以说，通过加了一层之后，我们可以看到这个像Windows系统可以和Hardware visor这一层进行沟通，再通过这一层和CPU进行对话，从某种意义上讲Hardware visor这一层有点像CPU的操作系统。然后我们和英特尔的这些实验室一起在Hardware visor这一层又加了McAfee DeepSAFE这个技术，这个技术含有很多安全方面的功能。所以有了这样一个安全平台之后，我们就可以对输入输出，对于内存，网络以及显示也进行很好的保护，它既可以跟传统安全系统进行沟通也可以和云端进行沟通，这样的话就能够做到无缝的保护，也就是说从底层一直到最上面的应用层都可以得到保护。

　　我想给大家介绍的第二类技术其实它是应用了目前电脑当中所有的一些现有的功能，我会用一个例子跟大家做解释。  在大部分英特尔平台当中我们其实经常会看到笔记本电脑或者桌面电脑上有Intel Inside标志，其实在英特尔芯片当中有一类叫vPro芯片，这一类芯片对大部分比较新的电脑里面都会有，它可以是i5或者是i7的vPro  处理器。其实现在大部分电脑里面还有第二个芯片，第二个芯片里面内置很多安全功能，问题是这些硬件厂商不知道怎么样激活软件，而软件公司基本上也不会关注硬件，所以很多芯片里面内置安全功能实际上没有得到使用。所以我们能够给客户所提供的就是通过这些芯片组更好进行管理的界面，这样的话就可以来使用现在硬件当中已经嵌入的这些安全功能。

　　 我来给大家举一个例子，其实在我们芯片里面有一个功能叫WEAK ONLINE，我给大家解释一下这个功能是什么意思，假设在美国出现了一种恶意病毒的爆发，在中国公司因为有时差的关系可能在晚上，那大家都不上班，电脑也处于关闭状态，也就是说没有任何电脑管理员会进入访问这个电脑。有了这个功能之后，我们的安全管理员如果他意识到在中国以外的另外一个时区出现了某种恶意病毒的爆发，他就可以把电脑唤醒，然后进行修补，使用我们最新的安全补丁来进行修补，然后让电脑继续恢复到沉睡的状态。到了早上员工们开始上班的时候，这些电脑就已经得到很好的保护，也就是说在另外一个地区，在不同时区已经发生的恶意病毒的爆发就没有对这些电脑产生任何的影响。所以其实在这些芯片组当中有高达50个各种安全方面的功能，我们现在能够把这些硬件当中的安全功能让我们的用户也可以来使用。

　　另外，我们还在开发的一类技术可以帮助我们防御某种类型的攻击，这种是能够对那些有IP地址的设备进行保护，也就是说这些有IP地址的终端客户除电脑和服务器以外的终端设备。如果我们看一下电脑，比如说服务器，包括笔记本电脑在全球范围之内安装的数量高达10亿个，但是发展速度更快的不是PC，也不是服务器，但是有IP地址其他的终端设备。这里大家可以看到我们有各种不同的，刚才我描述的这种类型的终端设备，比如说电视、汽车，到2015年汽车行业估计有40%的车都将会拥有一个IP地址，还有就是拥有IP地址的打印机，以及包括医疗设备和制造设备可能都会和互联网进行连接，有了这个连接之后就有可能出现安全的漏洞。如果把这种类型的终端设备和电脑比较，之前我们说过终端已经安装部署的电脑数量是10亿台，但是其他这种IP地址的设备数量现在已经达到了60亿台，根据这些不同分析公司所做的预测到2015年这个数字将达到500亿。所以，我们遇到非常具有挑战性的环境，就是在整个大环境当中可能有不同类型的IP地址的设备，我们在这张图上只是列出一部分，这些有IP地址的设备CPU比较小，内存比较小，功能也相对比较有限。比如我们拿打印机作为例子，每家公司打印机都是可以跟网络连接，里面也有硬盘，也有嵌入式操作系统等等，对于网络罪犯来讲偷数据不见得去电脑上进行偷窃，完全可以通过IP地址到打印机上也可以进行偷取，一般打印机也不被大家在安全上重视。

　　几个星期之前我们还做了一个演示，我们当时做的这个演示拿胰岛素棒这种医疗设备，这种胰岛素棒也可以通过远程方式进行入侵，也可以被黑客入侵，如果出现这种情况的确会影响人的身体。因此，在未来我们对这些不同的终端设备的保护就和对电脑的保护一样的重要，为什么英特尔也会对这样的终端设备非常感兴趣呢，事实上英特尔也会生产能够用于这些终端设备的嵌入式操作系统，而且英特尔也是在这一块领域上的领导者之一。未来的话对于公司而言，必须要能够做好准备，不仅仅只是关注原来的黑名单上面的终端设备，除此之外必须要考虑另外两个名单，比如说灰名单和白名单。

　　我们来看一下对于黑名单这种类型的终端设备，我们可以用传统的保护方法，也就是说来保护我们已知的不同的威胁，白名单正好相反，白名单的思路和做法是只让那些得到过授权的应用可以在这些终端设备上运行，因此对白名单来讲，通过这种授权应用的方法可以让他跑在IP设备上面。我们最近也是宣布了能够运用在这些嵌入式设备当中的安全解决方案。

　　第三类设备，它需要一种不同的安全战略，也就是基于信誉的安全解决方案，对于这一类属于灰名单的设备来讲，它也是相对来说内存比较小或者说计算能力比较小，比如说一些手持设备或者是移动设备，我们可以采取这种基于信誉的安全解决方案，我们最近也是推出了一些产品。还有一类破坏性的技术，从根本上改变个人、政府和企业来运作的方式，这个就是我们所说的移动计算设备。如果我们看一下这些移动设备的话，可能它最初产生的基本应用就是为了发邮件，这也就是为什么会出现黑霉这样的终端设备，它的优势就是可以确保非常安全的邮件传递，但是现在已经发生了很大的改变，也就是说在现在这个平台中邮件只是众多应用中的一个。所以我们如果看一下这些新兴的移动设备的话，不管是IPhone，还是基于安卓系统的一些手持设备，包括平板电脑等等，现在这些都有点像迷你电脑，但是你可以把他看成迷你电脑的话是一个非常威胁的假设，因为现在人们做这种事情更多是基于交易的计算，就是说会有很多数据的转换，其实在这方面会非常容易出现安全上的漏洞。那么我们现在 移动设备领域里看到的它的发展情况和80年代早期在整个电脑行业的情况相似，在80年代我们开始出现了电脑的病毒，但是其实也是等了一段时间之后，也就是说等到黑客发现能够通过这些袭击、攻击、威胁获得利益的时候，才出现了这种病毒包括恶意软件的大爆发，所以我们现在移动设备领域看到的整个模式也是一样的，只不过发展速度更快。其实我们现在看到对于黑客而言它要攻击这些新兴的终端设备，它所使用的模式跟以前去攻击电脑是完全一样的，第一步黑客要想我能够通过这个设备做一些什么事情，这可能对你产生一些影响。第二步开始破坏系统，包括删除你整个通讯录等等，第三步利用你的设备获取金钱上的目的。我们现在看到在移动设备领域按照同样的模式发展，一会儿我的同事会做更多关于移动安全解决方式上的介绍。

　　我接下来还有两张幻灯片讲的是全球威胁智能感知系统信息网络，我们认为基于云的信息系统对于政府、企业和个人的安全战略来讲非常重要。在过去三四年时间当中，我们把各种不同的技术能够结合在一起，不管是网络的防火墙，网络网关包括终端解决方案，还有针对恶意软件的不同技术，所有这些技术都是连接到GTI的技术当中，这些不同技术能够相汇进行信息沟通，并且能够在我们云端集中的系统上进行更好的对话。如果给大家来看一下我们整个的量，比如说防火墙包括IPS这一块的话，每个月我们能够向云端系统进行沟通的这些IPS包括工具的数量高达3亿个，如果看一下我们的主机杀毒HostAV的话，同样是能够达到25亿这样的数量，我们现在基本上数量能够达到40亿左右。另外，比如说防火墙的技术它通过我们的沟通，就是和我们整个终端的云系统进行更好的信息沟通的话，我们到底怎么样确保同样的信息被其他的系统知道，我们通过双向的方法，也就是说不管通过什么样的技术传输到云当中或者是GTI的信息都可以被任何其他系统知道，通过这种方法可以确保我们最终安全系统解决方案是非常坚实。

　　 最后我来总结一下，为了能够更好的应对我们这个行业所出现的各种系统风险我们采取了不同方法和不同技术解决方案，首先要确保我们的终端电脑能够利用目前在芯片当中现有的一些功能，我们就会通过我们的管理控制台能够让客户使用到目前在芯片当中已经嵌入的安全功能。第二点，我们要确保这个安全能够走到操作系统以下，之前跟大家介绍了我们的技术，包括新加的Hardware visor这一层，以及我们的McAfee这一层，这都是能够帮助我们找到操作系统以下的风险。第三点针对那些其他的有IP地址的终端设备，我们通过把我们的安全嵌入到这些终端设备里面的操作系统当中来提供更好的安全保护。第四点，我们也意识到在移动安全方面未来将会非常的重要，所以我们也已经宣布有一些针对移动安全解决方案的不同技术，未来我们也会和英特尔关注在移动领域的解决方案和技术。最后一点如果你们希望打造一个强有力的安全系统的话，一定要确保我们的GTI，就是在云当中的GTI能够成为你们整个安全战略当中不可或缺的一部分。