May 2017, IDC #CEMA42520517 白皮书 Hypervisor Introspection: 革命性的高级攻击检测技术 由Bitdefender开发 Alexei Proskura Mark Child 2017年5月 执行摘要 当今组织正在面临的不断变化的网络威胁,我们需要在网络防御技术方面进行质的改进,特别是端点安 全防护。企业的设备越来越复杂,应用的新技术越来越多, IT和安全部门面临巨大挑战。一个重要的挑 战是保守思维:防御通常部署在端点本身上,这意味着在系统上安全保护软件与恶意软件运行同一个权 限。 随着应对防御先进威胁挑战的新方法的出现,情况已经发生了改变。 IDC在专门的威胁分析和保护 (STAP)市场中总结了这些方法,该市场涵盖了广泛的非特征码技术,包括沙盒,行为分析,文件完 整性监控,遥测启发式,容器化/隔离,网络流量分析,和威胁情报。Hypervisor Instorpection 将在本IDC白皮书中进行详细阐述,它包含多种威胁分析和保护技术,包括高级系统行 为分析,白名单和异常检测监控。 图1 典型的高级威胁利用周期 利用的四个主要阶段:1。入侵系统 2.环境特定的有效载荷交付和执行 3.生根,逃避和横向移动 4.主要任务(例如,信息收 集)。 来源: IDC, 2017 情况概述
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
May 2017, IDC #CEMA42520517
白皮书
Hypervisor Introspection: 革命性的高级攻击检测技术
由Bitdefender开发
Alexei Proskura Mark Child
2017年5月
执行摘要
当今组织正在面临的不断变化的网络威胁,我们需要在网络防御技术方面进行质的改进,特别是端点安
全防护。企业的设备越来越复杂,应用的新技术越来越多, IT和安全部门面临巨大挑战。一个重要的挑
战是保守思维:防御通常部署在端点本身上,这意味着在系统上安全保护软件与恶意软件运行同一个权
限。
随着应对防御先进威胁挑战的新方法的出现,情况已经发生了改变。 IDC在专门的威胁分析和保护
(STAP)市场中总结了这些方法,该市场涵盖了广泛的非特征码技术,包括沙盒,行为分析,文件完
整性监控,遥测启发式,容器化/隔离,网络流量分析,和威胁情报。Hypervisor
Instorpection 将在本IDC白皮书中进行详细阐述,它包含多种威胁分析和保护技术,包括高级系统行
为分析,白名单和异常检测监控。
图1
典型的高级威胁利用周期
利用的四个主要阶段:1。入侵系统 2.环境特定的有效载荷交付和执行 3.生根,逃避和横向移动 4.主要任务(例如,信息收
集)。
来源: IDC, 2017
情况概述
© 2017 IDC #CEMA42520517 2
在技术更新周期期间可能会出现新技术和新兴技术的部署。还可以采用创新的解决方案来补充现有的解
决方案,如果将它们结合起来,总体效益大于各部分的总和。这种多方面的综合方法被广泛提倡用于改
善安全状况。
对高级恶意软件的防护越来越多地被视为端点防护的一个组成部分。原因很明显:今天的威胁包括广泛
的潜在复杂和破坏性攻击,仅靠反恶意软件技术还不足以保护端点。再次,它又回到了演变:许多传统
的端点安全解决方案被开发用于对抗现在被认为是相对简单的恶意软件,以最小的投资实现最大的损害。
然而,现代攻击可能会使用在很长一段时间内开发的复杂而微妙的方法,专注于非常具体的目标。
术语“端点”具有多个定义。在本文中,端点将指连接到网络的任何设备,它们提供服务或为用户提供访
问这些服务的能力。
服务器,用户工作站,笔记本电脑和移动设备都是端点。但是停在那里是不明智的。为了评估任何复杂
信息系统的安全性,了解系统的发展非常重要,特别是在通过颠覆性技术加速时。
.
虚拟化: 增加了攻击风险
根据IDC的数据,2016年虚拟化在全球范围内达到了50%的采用率,并且还在继续增长。虚拟化带来的
积极变化包括降低资本和运营成本(例如,通过提供更高的服务器密度同时需要更低的维护资源)。软
件定义网络(SDN)为VM为服务器硬件提供的网络设备提供类似的抽象级别。.
随着技术堆栈变得更加面向软件和驱动,现代IT基础架构更多地依赖于配置和协调,而不是设备之间的
物理连接,无论是端点还是网络设备。对软件越来越依赖,为恶意行为者利用漏洞和错误配置创造了
更多机会。在端点上运行的安全解决方案的含义是检测复杂攻击的有限能力。.
新技术:重新评估防御战略
当从物理环境移动到虚拟环境时,应用程序本身几乎不会发生任何变化。但是,转换将显着影响应用程
序的安全状态。为了解释这种变化,有必要引入一个保护域或“Ring”的层次结构,因为它们经常被引用。
传统上,OS和应用程序进程在各自的保护域中执行。各种操作系统以不同的方式使用保护域,但是当
部署在物理硬件,系统或内核级别时,进程在称为Ring 0的域中执行。应用程序在Ring 3中运行。而
Ring 1和Ring 2使用较少,在某些操作系统中使用一些软件供应商可能会使用。
© 2017 IDC #CEMA42520517 3
图 2
运行权限:物理与虚拟化
来源: IDC, 2017
如果应用程序部署在虚拟环境中,则客户机操作系统将在Hypervisor层上方执行。因此,从客户OS
的角度来看,保护域存在于高于Ring 0的特权级别。这是在虚拟环境中部署应用程序时发生的应用程
序安全状态的根本变化。
这种架构在高级攻击的情况下存在风险。从攻击者的角度来看,在最初的攻击和接管其中一个虚拟机
之后,有几种选择可以进一步攻击。这些可能包括“横向移动”,旨在危及更多虚拟机;旨在获得SDN组
件并提高网络可视性的“向外移动”;或“向上移动”,旨在通过从VM的内核级别跨越到Hypervisor级别
来升级特权,这种操作通常称为VM escape1。
虚拟化和SDN等新技术需要重新评估防御战略。专门的威胁防护可以分为三个主要战略 - 其中没有一
个是不兼容的,但每个战略都有不同的功能,在部署之前应该仔细考虑。
战略1: 在每个端点上部署防病毒软件
▪ 优点:除初始移动/部署外,无需辅助成本(受虚拟环境许可); 与当前部署相同(高)维
护级别; 没有必要的人员再培训(工作人员已经熟悉解决方案).
▪ 缺点:保护域级别为Ring 0,即与高级恶意软件运行在相同的权限级别,无法保护更高权限的
保护域,如hypervisor / Ring -1(参见图2); 会争夺VM的资源; 可扩展性差; 不适合虚拟环境,
因而容易与其他软件发生冲突; 需要更新每个VM; 涉及安装和卸载的大量工作.
战略 2: Agent + 虚拟设备 轻代理防护
▪ 优点:可以利用虚拟化环境的优势; 更有效地使用资源,因为大部分工作都导向安全设
备上扫描。
▪ 缺点:轻代理仍然在Guest VM上的Ring 0上运行,而无法保护更高权限的保护域; 会消耗主机
上的资源(虽然比战略1有更好的可扩展性和性能)
1 http://www.computerworld.com/article/3182877/security/pwn2own-ends-with-two-virtual-machine- escapes.html.
© 2017 IDC #CEMA42520517 10
1); 需要更新每个VM和设备; 比传统的反恶意软件更容易卸载,但仍然需要付出很大的努力才能
替换。
战略 3: Hypervisor底层的威胁防护
▪ 优点:新的解决方案,充分利用虚拟化环境,在Hypervisor级别运行,可以保护Ring -1到
Ring 0, Ring 1,2,3等上面所有的保护域; 对Guest VM资源没有性能影响; 低维护(仅在具
有保护功能的安全服务器上更新); 可以轻松替换或与其它威胁或高级反恶意软件解决方案
一起使用。
▪ 缺点:一项新技术的成熟和发展,需要安全和虚拟化供应商之间的持续合作。
现代威胁的演变
基于签名的检测有明显的好处 - 速度。但是,该技术的性质假定威胁是已知的并且具有可以可靠地允许
其检测的特征。大多数现代攻击使用规避技术来逃避基于签名的方法的检测。高级威胁的另一个特征是
持久性:现代恶意软件使用各种技术保留在系统上。从业务防御的角度来看,高级威胁防护最重要的方
面是能够检测以前未知的威胁并有效地修复持久性恶意软件或防止其渗透系统。
在较早的时代,进行了网络攻击以造成伤害并给攻击者带来恶名。今天的威胁极为不同。已经从大声宣
告,到后来以另一种方式追求隐蔽,渗透后,获取数据然后偷偷销售。甚至可以设计高级威胁来等待有
价值的数据出现。这些类型的威胁旨在尽可能地保护自己免受暴露。
攻击者使用一系列技术来逃避检测并保留在系统上。图3显示了攻击者如何使用高级恶意软件来控制系统
并发展攻击。Hypervisor Instropection可以检测和阻止所有此类攻击。
图3
Hypervisor Introspection 技术可以检测和预防多个阶段的攻击 (参考. 图1)
攻击者使用的高级工具利用操作系统限制,允许他们升级权限并在安全解决方案中运行在Ring 0中。 来源: IDC, 2017
© 2017 IDC #CEMA42520517 10
以下部分重点介绍了防御现代威胁需要的安全技术:
▪ 内核级恶意软件:此恶意软件在Ring 0中运行,因此无法从较低的保护域(环1-3)进行检测。
内核级恶意软件不仅可以隐藏基于签名的检测技术,而且在同一保护域中执行时也很难通过基
于行为的技术进行检测。这种恶意软件的一个突出例子是Turla,它具有完全内核访问权限,因
此能够在Windows上规避内核补丁保护。这使得Turla恶意软件几乎不可见。.
▪ 无文件攻击:此类恶意软件不会在系统上创建任何文件,从而完全回避基于文件的反恶意软件
防御。通过将自身直接注入活动进程的内存或执行恶意负载(例如,在Windows上使用
PowerShell),此类恶意软件攻击不会在磁盘上留下任何痕迹。日志条目将包含合法进程执行
的记录。 PowerSniff系列恶意软件使用附加到电子邮件和PowerShell的文档中的宏来执行有效
负载,仅运行在内存中。
▪ 环境感知/多阶段恶意软件:大多数现代高级恶意软件使用最少的代码进行自我分发。 主要目标
是渗透系统。 这个“第一阶段”代码的下一个目标是了解系统上正在运行的环境。 这将允许代码
引入“第二阶段”代码,该代码是根据环境的细节选择的。 据报道,在Carbanak事件中,黑客从
银行偷走了10亿美元,这是一场持续不断的袭击,持续时间在每个受到攻击的银行持续两到四
个月。 最初的感染通常是通过带有恶意控制面板文件附件的鱼叉式网络钓鱼电子邮件部署后门。
接下来是网络和银行流程的横向移动,绘图和情报收集。 在最后阶段,通过一系列方法窃取了
资金。
随着服务器技术和威胁的不断进步,我们很自然地会问:攻击是否已经足够先进以逃脱Guest VM并感染
主机? 不幸的是,尽管进行此类攻击并不容易,但答案是肯定的。
包括硬件制造商在内的安全社区正在尽最大努力改变这种状况。 必须记住,虽然主机内存很难直接从
guest虚拟机访问,但由于软件角色的增加导致技术堆栈中的错误,这是可能的。 当然还有其他方法可
以到达主机。 黑客和恶意软件经常使用网络攻击。
架构:超越端点防护的解决方案
如权限级别一节所示(参见图2),在与高级攻击与端点安全解决方案运行在同一个级别,这个问题是由
架构造成的,这是安全困境的一部分。
▪ 端点级安全工具(包括反恶意软件解决方案,应用程序沙盒,应用程序白名单或设备控制)可
以有效地了解攻击的上下文。但它们仍然容易受到复杂的攻击,这些攻击部署了能够规避或绕
过这些措施的技术。
▪ 基于网络的入侵防御/检测和更高层防火墙(即应用程序)大大降低了对端点的威胁(如果有
的话)。如果威胁渗透到端点,则整个内网可能被传播。这些工具缺乏上下文 - 也就是说,他
们缺乏对端点状态的了解,尤其是内存。除了基于网络的组件之外,涉及基于端点的代理的任
何解决方案都受到与端点安全工具相同的限制。
虽然这些层中的每一层都可以有效用于特定目的,但它们可能无法抵御高级攻击。放置在Hypervisor层
中的解决方案可以防止对网络和端点的攻击,而且对端点上下文具有高可见性,这将大大有助于解决安
© 2017 IDC #CEMA42520517 10
全架构限制。Hypervisor Intropection提供了一种机制,可以将安全解决方案升级到的新防护级别。
Hypervisor: 上下文困境的解决方案
由于架构的原因,使得难以应对高级攻击。 曾经有人认为,必须在安全与性能之前做出选择。 现在,
你再也不用担心这个问题,Hypervisor Introspection可以提供丰富的上下文,同时与它们托管的虚拟
机及其中的工作负载保持隔离。
表1描述了与其他安全解决方案相比,Hypervisor Introspection提供的保护差异。
表1
Hypervisor与端点与基于网络的安全解决方案的比较
上下文 防护方案
传统的端点安全
Network Security
Hypervisor Introspection
通常是丰富的上下文,但透视可能受到
使用逃避技术隐藏恶意行为的攻击的限
制; 除了机器的起源或终止之外,没有
看到任何其它流量
有限; 仅查看网络流量和网络流量属
性,但无法查看端点系统和内存
最丰富的上下文; 直接从Hypervisor
层中获取的未经修改的信息
可能容易受到涉及高级恶意软件的复
杂攻击(例如内核攻击,零日攻击)
如果直接受到攻击,可能容易受到涉
及高级恶意软件的复杂攻击,就像传
统的端点安全一样
直接从Hypervisor层获取硬件强制保
护
来源: IDC, 2017
基于Hypervisor introspection有两个关键特征::
Hypervisor 级别的原始内存—无法修改,可靠的信息源
▪ Hypervisor introspection只关注原始内存,这是一个非常可靠的信息来源。
▪ 内核introspection技术分析客户操作系统,服务和用户模式应用程序的原始内存映像
▪ Hypervisor introspection解决方案可审核内核和用户内存,以识别高级威胁,例如已知的
Rootkit Hooking技术以及运行在与操作系统安全解决方案相同或更高权限级别的零日或无
法访问的恶意软件。.
专注于一些攻击技术而不是变化的威胁
▪ 尽管恶意软件类型多种多样,但它们只使用有限数量的内存违规技术,所有这些技术在
Hypervisor级别都是可见且可检测的。
▪ 内存introspection可以检测并帮助解决零日攻击,就像它可以对抗已知的恶意软件一样容易。
© 2017 IDC #CEMA42520517 10
必须克服几个技术挑战才能实现 hypervisor introspection:
▪ 使用英特尔Intel® Sandy Bridge或更新的CPU。 这实现了虚拟机之间的虚拟机管理程序控
制和硬件强制隔离。
▪ Hypervisor实施需要虚拟化厂商将introspection功能暴露给安全解决方案,从而提供对每个虚
拟机内存流的访问。 这是通过Citrix与BitDefender联合开发的Direct Inspect API实现的
▪ 安全设备需要能够从原始内存行中提取语义含义。 解决虚拟机管理程序的客户操作系统硬件级
视图之间的语义差距是一个巨大的挑战。 Bitdefender通过内核introspection解决方案解决了
这一问题。
在IDC看来,基于Hypervisor introspection的防护具有巨大潜力,是革命性的解决方案,可以解决虚拟
化环境中的高级威胁和传统恶意软件。 这项技术已经非常有用,它具有成熟的潜力,无论是单独使用还
是与其他端点保护结合使用,都能提供显著的安全性和操作优势。 但是,Hypervisor introspection技术
应与现有安全层结合使用,因为其防御文件级威胁的能力有限。 基于Hypervisor的威胁防护是IDC 威胁
防护市场的一部分。
安全性:不影响业务
理想情况下,安全解决方案应满足业务和IT利益相关者的需求。 困难在于选择解决方案时IT和业务优先
级的潜在冲突。
任何IT解决方案中最重要的业务因素是什么,包括安全性? 一个人可能会得到与提出问题的次数一样多
的答案。 但最终,所选择的解决方案必须(a)造成最小的中断,以及(b)降低运营成本。 降低运营
成本通常结合成本避免(例如,在发生损害之前的早期检测或更好地防止安全事件)和降低的维护成本
(即,管理,更新和配置冲突解决的组合成本)。
技术因素更复杂,因公司而异,但主要分为三个方面::
▪ 技术能力:解决方案在检测威胁和停止执行方面有多好?解决方案的效率如何 - 也就是说,它对
系统资源(主要是CPU和内存)的影响是否最小?部署的解决方案是否可以与在同一硬件上运
行的其他进程共存而不会导致冲突?
▪ 操作功能:该解决方案是否易于部署和维护(例如,在生产环境中推出更新之前的更新和测试
频率)?它是否可以轻松地与其他安全解决方案集成,最重要的是提供更多态势感知的解决方
案,例如安全信息和事件管理(SIEM)?该解决方案是否提供可操作的信息?
▪ 架构效益:小公司经常忽视这些优势,大企业忽视或误解这些优势。成功的安全架构应该实现
两个目标:a)提供防御能力的质量改进,增强现有安全解决方案的总价值; b)提供灵活性,这
意味着解决方案应该能够适应安全性和架构要求的变化。理想情况下,所选择的安全解决方案
还应具有有用的使用寿命,以便有足够的时间让优质替代品进入市场。
© 2017 IDC #CEMA42520517 10
BITDEFENDER 解决方案
Bitdefender开发的Hypervisor Introspection(HVI)解决方案是一种商用技术,可以提供虚拟环境安全
性的巨大改进。Hypervisor Introspection运行在Hypervisor层级,即在Ring -1层 - 参见图2。最高的权
限级别带来了巨大的好处,基于代理或基于端点的产品无法实现与Guest VM环境的分离,而HVI则可以
实现完全分离。这项革命性的技术进步来自Bitdefender和Citrix之间的密切合作。
Bitdefender HVI弥合了端点安全解决方案与网络安全解决方案之间的安全能力差距。高级威胁参与者使
用的攻击技术越来越多地被设计为不仅在初始攻击阶段逃避端点防御,而且还破坏在相同特权级别部署
的任何安全解决方案的保护能力。这通常会使部署的安全解决方案有效地隐藏恶意进程。
在强大的硬件强制隔离中运行时,HVI具有上下文感知功能; 从管理程序收集与上下文相关的信息。 同
时,该解决方案可以解决端点部署软件的致命弱点,Guest VM由HVI完全监控。
HVI解决方案为安全工具包添加的最重要功能之一是能够检测和阻止未知攻击。 HVI检测Guest VM中的
异常软件行为,并可以阻止本文中描述的所有高级攻击,包括零日攻击。 HVI可以检测攻击者执行的合
法进程内存访问尝试,以及用于隐藏恶意进程的操作系统级技术。
图4 HVI:
API
来源: Bitdefender, 2017
除了创新的技术能力之外,Bitdefender的解决方案从运营的角度来看也很有吸引力。 由于解决方案的无
代理性质,并且因为没有端点端软件需要维护或更新,因此它需要的维护要少得多。 另一个特性是与客
户操作系统的独立性,因为异常的检测是在Hypervisor级别执行的。 一旦在Hypervisor级别检测到异
常,HVI将实时修复威胁。 HVI提供与SIEM或类似解决方案的集成功能,以提供必要的数据(如攻击源,
目标区域和攻击技术的详细信息),以进一步关联和分析,帮助提高整体态势感知能力。 HVI还能够自
动将临时工具注入受影响的VM以修复威胁。
当发现攻击时,HVI会向管理员发送详细报告,提醒注意。当HVI拦截攻击时,没有相关的响应成本,因
© 2017 IDC #CEMA42520517 10
为事件被有效地阻止而不是仅仅被检测到。 这极大地缩短了对高级威胁响应的时间,网络管理员可以依
据HVI提供的情报,向易受攻击的系统、软件部署安全补丁。
许多安全供应商专注于提升检测率,目的是最大限度地防止威胁入侵,减少事故后的清理成本。而
Bitdefender提供了革命性的技术创新,可以作为现有安全解决方案的补充或替代使用。
HVI是否作为补充或替代解决方案部署取决于特定业务实体的风险偏好。
HVI: 极具潜力,但挑战仍然存在
这个有前途的解决方案的采用者应该注意几个挑战:
a) 经过Bitdefender和Citrix的全面测试,该技术是创新的技术,可能会经历最初的采用到成熟阶段。
但是,毫无疑问,这项技术具有极大的潜力,对虚拟环境防御有重大的影响。
b) 在撰写本文时,Bitdefender HVI仅适用于Citrix(Xen)平台。 BitDefender也有其它不同的产品支
持其它的虚拟化平台。 除了与虚拟化供应商密切合作之外,Bitdefender还与Linux合作,以确保其工作
的高可见性,并改善长期成功的前景。 来自更广泛的技术社区的积极反应也表明了HVI的光明前景。
STAP —超越端点安全
正如安全态势不仅仅是端点保护所定义的那样,因此STAP市场比仅关注端点强化的解决方案要广泛得
多。 IDC的市场结构将STAP划分为三个部分:边界STAP,端点STAP和内部网络分析,如图5所示。
图 5
2016年全球专业威胁分析和保护市场份额
© 2017 IDC #CEMA42520517 11
2016年全球市场增长约27%,预计未来四年每年将以两位数的速度增长。 请注意,STAP市场由可区分
的产品组成,而不是某些其他产品中的嵌入式功能。 防止高级威胁需要专门的活动,这种方法揭示了企
业有意识的程度
采取行动应对这些威胁。 在技术方面,IDC的分类标准描述了提供基于非签名的恶意软件检测或阻止的
区域:
▪ 沙盒:这涉及获取文件并“引爆”它以查看其行为。分析文件的操作以确定是否发生任何意
外活动,例如修改注册表键,进程的运行或可疑通信,这些活动将表示可能的恶意活动。
▪ 容器化/隔离:此框架中的解决方案主要用于防止恶意文件访问Internet连接或受感染计算机
的系统资源。特定的应用程序或任务可以从机器的其他部分虚拟分割,确保恶意软件无法传
播或“打电话回家”,使其变得良性。
▪ 静态文件分析:此技术检查文件(例如,嵌入的URL或文件调用)。
▪ 高级系统扫描:此技术检查系统行为是否存在恶意活动迹象。通常,它将包括拍摄系统的快照
以获取稍后用于识别何时发生细微变化的基线。这可以通过监视操作系统以进行注册表修改,
可疑进程或其他标志,或通过分析实际物理内存以查找恶意活动来完成。
▪ 白名单:这样只允许执行已批准的进程
▪ 遥测分析:这会检查许多不同的操作来监控异常操作。遥测分析使用行为分析和启发式。它可
以通过查看来自文件系统,注册表更改,网络连接,二进制可执行文件和执行调用的数据在所
有子情景中使用。大多数机器人命令和控制检测都基于遥测分析。
Hypervisor introspection 包含多种STAP技术,包括高级系统行为分析,白名单和异常检测监控。.
了解更多
相关的研究
▪ 2016 - 2020年全球专业威胁分析和保护预测:企业现代化安全基础设施(IDC
#US42068916, December 2016)
▪ 2016 - 2021年西欧专业威胁分析和保护预测:企业反恐 (IDC #EMEA42348817, March
2017)
总结
Bitdefender开发的Hypervisor Introspection(HVI)解决方案提供了一种商业化的技术,可以提供虚拟
环境安全性的巨大改进。 在Hypervisor级别使用Hypervisor权限执行内存检查,同时保持强大的,硬
件强制的,与Guest VM环境的隔离,能够阻止高级攻击。 技术进步来自Bitdefender和Citrix之间的密
切合作
关于IDC
国际数据公司(IDC)是全球首屈一指的信息技术,电信和消费技术市场的市场情报,咨询服务和活
动提供商。 IDC帮助IT专业人员,业务主管和投资社区就技术采购和业务战略做出基于事实的决策。
超过1,100名IDC分析师在全球110多个国家/地区提供有关技术和行业机会及趋势的全球,区域和本地
专业知识。 50年来,IDC提供了战略见解,帮助客户实现其关键业务目标。 IDC是IDG的子公司,
IDG是全球领先的技术媒体,研究和活动公司。
关于BitDefender
BitDefender中文译名比特梵德,是来自罗马尼亚的一款老牌杀毒软件,创立于2001年,于2008年
进入中国市场。其总部位于罗马尼亚首都布加勒斯特,同时在德国、西班牙、英国、美国、迪拜等地
设有相应的分公司。如今,BitDefender产品遍及 150 多个国家和地区,拥有超过5亿用户。成为目
前国际上发展最快最值得信赖的信息安全产品之一,得到国际权威授权组织和认证部门的高度认可,
连续多年在国际权威测评机构AV-Test、AV-Comparatives的测试中排名第一。
BitDefender客户主要有:IBM, Cisco,BlueCoat,腾讯,百度,奇虎360等等。
每天,BitDefender为全世界千千万万的家庭和企业用户提供全面的安全保护,让他们放心自如地畅
数字生活。
Related Documents
