看到一个比较有趣的在线杀毒平台Ployswarm,连着老大哥VirusTotal一起分析一下。
01 在线杀毒平台
在线杀毒老大哥VirusTotal(后简称VT)估计从业者都用过,12年被Google收购。
在这里,用户上传疑似病毒文件,平台会分发给几十个厂商,这些厂商提供查杀结果,帮助用户快速判断,而且还会对恶意文件进行分类,如:勒索软件、后门程序、挖矿程序....
好用到不止网民在用,安全技术从业者经常懒得分析(绝大部分也不会分析),直接丢进来看结果。
恶意文件查杀 这里技术壁垒是非常深的。做个网站集成别人的能力,自己不做核心技术,如何赚钱?这里涉及到两个增强回路。
02 样本——杀毒厂商的利益诉求
用户上传文件之后,这个文件会分发给数十个厂商进行查杀验证。
这些杀毒厂商对自己客户卖的都是收费产品,但是允许甚至主动向一个网站提供免费的查杀能力?这对厂商有什么好处?
网络病毒和咱们生物领域的病毒类似,想做检测手段(核酸)和防御手段(疫苗),首先都得拿到病毒样本,分析,然后才能有效的与之对抗。
对于杀毒软件厂商来讲,样本的积累量,就是核心竞争力。
商业化产品追求投入产出比,厂商在构建病毒的查杀能力时,需要以尽可能小的研发成本,覆盖尽可能多的病毒。做产品,我们当然不能“人工分析每一个病毒,并针对性的研制疫苗”,而是我先来个几亿历史病毒样本,尽可能找到覆盖面大的共性特征,先快速做几个通用检测手段覆盖50%问题,然后再提升到80%,再到90%,97%,99%,99.1%......,越往后投入产出比越小,再做就亏钱了。
在整个查杀能力建设过程中,知识都是从样本中分析而来,因此样本的重要性极高,和机器学习模型效果依赖数据集是一个道理。
而与机器学习领域不同的是,安全场景获取标注数据的成本极高。
判断一个车是不是车,在图片里的什么位置,普通人即可完成。但是判断一个文件是不是病毒,这玩意的技术难度非常高。一些含金量高的病毒样本(军火),只做定点打击,不会大规模流传。
此外,攻击方会不断打造绕过已有检测手段的新样本。在对重要目标进行渗透之前,为了确保「一击必中」,很多攻击者会选择把免杀样本上传到VT先检验一下,发现确实没有厂商能检测出来,再实施攻击。
为了积累样本,杀毒厂商可以允许自己的能力被免费集成。
03 在线杀毒:第一个增强回路
因此,以在线杀毒业务构建的第一个增强回路如图:
用户越多,提交的样本越多,样本越多越能吸引杀毒厂商入驻,厂商越多查杀能力越强,越吸引用户,这样一个增强回路。
变现方法:
卖能力:把各种厂商能力打包API化售卖,然后按调用次数/账号权限 搞PLG的阶梯套餐。
卖数据:因为平台收集了海量用户提交的样本,可以卖给厂商进行能力建设。
04 威胁情报:第二个增强回路
基础杀毒业务起步之后,平台的运营模式不仅可以解决用户的病毒查杀问题,还可以复用到针对URL、IP等其他资源的鉴别。如通过IP的历史行为,对IP打上恶意标签,这样企业在防御角度就可以阻断该IP的通信请求。
另一方面,平台在积累了大量的数据之后,由数据自身加工即可产生有价值的“知识”,如通过建立样本之间的关联性来研判病毒的传播趋势,跟踪僵尸网络家族,或者通过样本特征对攻击者进行溯源等
利用VT Graph对某勒索软件家族分析:
基于已有运营模式的复用,以及数据加工产出的新知识,构建出的新回路如下:
变现:
1. API化能力售卖:不仅是文件查杀,还包括URL、IP、域名、邮箱等等情报研判。
2. 在线情报调查产品:VT Graph,VT Intelligence等。
3. Enterprise版:打包能力进行本地化售卖,直接去抢AV(杀毒)、EDR(终端安全)、APT(高级威胁检测)、风控等等市场。
以上几种产品形态,背后的核心壁垒是一致的:数据。基于情报能力的产品天然适合SaaS的售卖模式。
到此,我们看到了一个以运营能力为核心的,以数据为壁垒的,SaaS牵引本地化销售的VT。
05 DAO社区激励模式的设计
接下来终于讲到了Polyswarm,2017成立,主要业务也是集成式杀毒平台,自称「VT replacement」、「第一个去中心化的网络威胁情报市场」。同样也成功吸引到一批的主流厂商加入,包括国内的360,阿里,深信服等。
从功能来看,与VT大同小异,但是他在社区「运营」这个核心能力方面引入了DAO(基于区块链技术构建的分布式自治组织)。
Polyswarm认为VT构建的 「厂商-用户」 系统中,用户的查杀效果依赖于厂商的产品,问题有二:
1. 通用型产品出于投入产出比考虑,只能解决90分的普遍问题(这一点上文已经论述),无法解决差异性的高端问题。
2.各种厂商进来,到底谁检测的准,怎么评价,客户要相信谁?
怎么办,Polyswarm说我们要引入「安全专家个体」这个角色,构建 厂商-安全专家-用户 三方共赢的机制。
两种交易:
BOUNTY:发布悬赏,谁都可以接。
OFFER:定向对能力提供者出价。
角色说明:
最终用户(End Users): 需要查杀病毒的企业和家庭用户。最终用户通过”悬赏”和 ”出价”参与PolySwarm市场,提取及时且准确的恶意企图分类。
安全专家(Security Expert): 位在世界各地的恶意软件专家和逆向工程师。”专家”开 发并维护连接至 PolySwarm 市场的检测引擎(“工作引擎”),分析最新的可疑文件,判断恶意企图。”专家”提出“断言”(Assertions),即对于恶意文件分析结果的公开声明,提出正确断言的专家可以得到花蜜令牌(NCT)作为奖赏。
代表(Ambassador): 使最终用户从 PolySwarm 市场受益的公司。”代表”从他们的客户(最终用户)收取法币(即订阅费)和可疑文件,帮客户将悬赏和出价导入给市场,”代表”有责把各种”专家”的断言 (Assertion) 提取成一个简单恶意或非恶意的判 决 (Verdict),交付给他们的客户。
仲裁者(Arbiters): 负责确定真正事实的高阶”代表”。一定比例的“代表”(就产生的费用而言)将被视为“仲裁者”。
简单来说,厂商或用户「出价」,安全专家「投标」,技术代表「赌」结果的正确性。以出价激励参与度,以赌约激励结果正确性。所有交易上链并以虚拟货币结算。
06 你怎么看
从性质上讲:提出了一种新的方式,以期优化企业增长链路中「运营」这一核心环节。
从成本-收益角度来讲:这个模型真正落地的技术难度还是很大的,包括链上的交易速度问题、安全问题、订单保密性问题、产品迭代路径的容错率问题等等,都涉及到研发成本。然而,这些研发成本换来多少的用户增长及现金收益?目前笔者尚未观察到有力的数据支撑。
有趣的是,Polyswarm似乎非常关注国内市场,出了中文版白皮书,并在知乎、微博等平台进行了内容投放,有内味了。
原文链接附上Polyswarm白皮书,欢迎交流指正。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...