Trustlook二代技术实时揪出未知病毒和恶意应用

妄想山海


  Android 的企业市场起不来,安全是最重要的原因之一。“在北美的企业级用户中,现在 70% 在用 iOS,用 Android 的只有 30%。如果能有人在安全问题上解决掉顾虑,Android 在企业应用的市场中会得到极大的提升。”说这句话的是Trustlook的 CEO Allan 张亮,这家硅谷公司在今天正式推出了一个能改变 Android 企业应用环境的解决方案——通过首款移动应用 APT(进阶持续威胁)解决方案,他们能对应用做静态数据和行为数据的深层分析,实时检测并识别未知病毒和恶意应用。

  在这之前,虽然 Android 相关的每个杀毒应用都能查很多病毒,但这种技术纯粹只能检测已知的病毒,很多新写出来的病毒是可以绕开杀毒的。这样的原因是杀毒软件必须有已知的样本才可能进行查杀。而从出现病毒到拿到样本进行分析,花费的时间周期较长——杀毒软件公司拿到样本后,还需要拿到实验室给安全工程师做分析,过程较难自动化。

  而 Trustlook 用的二代技术,就是用了自有的云端沙盒技术做深度的 Android 应用分析平台。这个平台能将病毒查看、病毒检测自动化起来,并且通过静态数据和行为数据的分析,对之前完全不了解的应用做快速、全面的检测,而整个过程能缩短到 24 小时内(甚至是几分钟),并能清楚了解应用有多安全、有什么可疑的行为。张亮向 36 氪解释,他们的核心技术在云端沙盒,通过平台他们能够知道应用中非常细微的行为。“比如说有些应用会盗取用户的电话号码,应用可能会将你的电话部分(区号)拿出来,做 16 进制的转制、加密,并且分几次去抽取,这么做几乎能绕过杀毒软件。而对 Trustlook 来说,不管你是做转制、加密,我们都能够知道应用偷窃的行为。”

  正因为这样的新技术,Trustlook 能保证企业用户的安全:在企业在选择使用企业应用、或分发应用给大量设备之前,Trustlook 可以帮企业客户在安装应用前检测并过滤高风险应用,以防止其侵入企业系统,盗取或泄露企业机密数据。除了面向企业用户,Trustlook 也可以为一些推出移动应用的公司做第三方的应用安全检测,确保不会有严重漏洞造成品牌伤害(现在已有硅谷较大的、社交相关公司使用 Trustlook 做应用上线前的深度扫描)。此外,刚上线的 Trustlook 正与硅谷的两家传统杀毒软件公司合作,帮他们做快速的样本分析。而 Trustlook 还将选择和一些提供企业应用功能测试评估的平台合作,通过对接提供深度的应用安全报告,已有一些国内的做手机测试、病毒监测、系统优化的公司联系到 Trustlook。

  张亮说,目前 Trustlook 会将目标市场定在北美这边,毕竟他们团队 7 人都在美国做安全多年,了解北美的企业安全市场。未来不排除向中国、欧洲扩张,但中国市场暂时还以旁观者的角度来看。就市场竞争而言,张亮表示 Trustlook 研发的时间不算特别长,但他认为做云端沙盒技术需要在过去的 5-10 年间有深度积累,并且要对 Android 的源代码特别熟悉。在他看来,公司目前是唯一一家能提供全方位深度应用评估的公司,预估会引领市场至少半年的时间。

  在离职创业前,张亮已经有 12 年的网络安全经验,是专注企业防火墙的 Palo Alto Networks(去年已上市)的资深工程师。而 Palo Alto Networks 的 CEO Lane Bess 及联合创始人 Fengmin Gong(他曾任基于行为监测 PC 病毒的 Fireeye 的 Chief Security Content Officer)目前已担任 Trustlook 的顾问。