对细节超乎寻常的关注,暗示了这样一个安全公司对商业市场提供服务的能力,也就在这样的环境中,Sophos每个月发现1500-1600个新的恶意软件。Sophos的资深安全顾问Carole Thierault说,“在商业用户看来的好处在于,对拥有10,000名雇员的客户,我们只需要和负责IT的一个人交流而无须面对10,000名不同的雇员,这意味着我们的响应速度比我们的竞争对手要快。”
根据Sophos的说法,这也意味着可以根据其商业客户的指定要求转移更多的资源。“我们可以为单个用户定制AV软件。可以在OS2, Open VMS和其他更老的操作系统上使用我们的反病毒软件。客户仍然运行在这些系统上是因为他们最初的投资,”Sophos的资深技术顾问Graham Cluley说。
Sophos的主要团队似乎比其竞争者的规模要小,但是他们说员工人数少意味着灵活。首席病毒研究员Vanja Svajcer说,“这里有30名研究分析师,在世界各地还有20名”。
世界各地
英国反病毒和反垃圾邮件分析师进行倒班工作,并且可以向公司的其他部门和外部顾问外包分析。除了其自己的国际实验室和办公室之外,Sophos拥有一个包括分布在150个国家的合作网络,可以为其提供帮助。
Sophos诱捕病毒并且在Pentagon中的安全区域分析它们。不允许任何人携带任何可能感染主机或自身被感染的设备。无线可能很灵活,但是对Sophos来说不够安全,所以启用Wi-Fi的膝上电脑和蓝牙电话不得带入实验室。
Sophos使用一个“密罐”全球网络以诱惑可能对其客户产生威胁的最新病毒,特洛伊木马和蠕虫。本质上来说,密罐是连接到Internet而未受保护的PC,它们所有恶意程序最理想的主机。Svajcer说,“恶意软件可以进入密罐,但是由于有一个单独的硬件防火墙进行隔离,它无法再进一步传播”。
密罐
通常,密罐是没有运行XP sp2或任何反病毒软件的Windows主机。在12分钟内有50%被感染的可能性,在40分钟内有90%被感染的可能性。
为了能够解决大量的文件需要进行病毒检测(每天大概2000个)的问题,Sophos使用不同的自动技术从已知的干净文件和不被认为“易感染的”文件中(一些图像和数据格式以及被破坏的文件)过滤并隔离已知的被感染文件。
所有通过初始过滤阶段的文件被送到被称为Mentor的自动分析过滤系统。所有进入的文件也进入一个Sophos的手工系统,技术人员在这里使用不同的分析工具以查明恶意软件如何工作以及威胁程度。在该恶意软件被确认并且另一轮的测试和分析结束后,它才被发布,然后Sophos的产品进行更新以识别它。
直接报告
Sophos的许多产品,如PureMessage和MailMonitor,也从密罐系统中收集信息,并具有直接向公司返回报告的功能。如果客户打开这项功能,Sophos将以设定的间隔收到原始数据。然后这些数据通过一个阅读器并且组织成能够阅读和理解的形式。
Svajcer说,“因为我们在全世界拥有大量的客户和密罐,我们可以确定对不同用户的攻击是否是不同类型的威胁。这些信息对分析的过程非常有用,这也有助于我们向执法机构报告有用信息,特别是将分析信息和病毒代码内部发现的信息结合起来的时候”。
