https://newera17031.activehosted.com/index.php?action=social&chash=17ed8abedc255908be746d245e50263a.2770&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=17ed8abedc255908be746d245e50263a.2770&nosocial=1

觀點

深入測試~防毒技術支援服務

2004 / 10 / 11
文/ED Skoudis 翻譯/路克
深入測試~防毒技術支援服務

在防毒產業中沒有什麼天大的營業祕密。閘道式及用戶端的防毒軟體,使用特徵比對法偵測已知病毒,並利用人工智慧法則發掘未知病毒。在廠商兢兢業業地經營下,也許還加上點幸運的成份,現在的防毒軟體幾乎可以擋下多數的蠕蟲與病毒。

決定產品忠誠度的關鍵在於客戶服務水準。當企業安全經理對經銷商感到十分滿意,微笑地說:「當我們遇到麻煩時,經銷商總是陪我們度過難關。」穩定且令人讚嘆的科技產品,是將廠商與客戶媒合的因素,而客戶服務與技術支援才是維繫長久、愉快合作關係的關鍵。

當惡意程式開始作怪,你就會開始期望防毒廠商的客服諮詢專線,可以為你帶來一線生機。這時候最不希望遇到的事情,就是被掛在0800免付費電話上,聽著總機播放的音樂以及永無止境的漫長等待,最後面對的,竟是客服人員制式的交談與一成不變的答覆內容。

這就是Information Security 雜誌針對防毒公司進行評比時,最常發生的現象之一。 還記得我們曾經在《資安人》第9期(2004年6月號)P.76報導了Information Security雜誌提供的「十大防毒軟體測試報告」,本期將繼續為您深入追蹤防毒軟體產業的客服與技術支援現況,參與的廠商包括McAfee、Sophos、組合國際、賽門鐵克與趨勢科技。我們採用一些設計過的問題,來考考這些廠商的客服支援能力,並根據整個諮詢的內容進行評分,其中主要的評分關鍵在於他們是否順利可以解決問題。

這經驗頗具啟發性。歷時三週打了幾十通客服專線之後,我們很興奮地推出這份報告,但其內容並非全然令人振奮,也有令人感到沮喪的一面。部分廠商表現出無懈可擊的專業能力與解決問題的熱忱;部分廠商則讓客戶在線上枯等,表現出專業能力不足,還有在少數幾個項目中,所提出的解決方案嚴重缺乏安全觀念。
客服支援嚴選
Information Security 雜誌採用四種常見的問題作為測試劇本,以電話方式向防毒廠商求助。用以測試各家廠商客服人員的識能與服務品質。測試劇本如下:

1. 安裝相關問題 我們想要藉此測驗廠商在面對異常問題的解答與應變能力,題目並不是很簡單。我們建立一個目錄,名稱與防毒軟體安裝時預設路徑相同,但是我們改掉該目錄的存取權限,即使該機器的管理帳號也無法寫資料進去,使防毒軟體安裝時出現錯誤訊息。

2.個人防火牆 我們採用其他廠商的個人防火牆軟體,阻擋防毒軟體更新病毒碼的協定與埠號,但是允許其他正常的流量(HTTP、FTP、PING、DNS)。我們不會主動透露已安裝個人防火牆這檔事,除非對方很明確的提到這個問題。這是一個很常見的問題,因此我們期望得到一個簡單、快速的解決方案。但是,結果著實令我們大吃一驚!

3.掃毒問題 我們採用一套作叫 AFX的Rootkit(隱藏後門及置換系統檔案的工具)進行測試。採用此工具有兩個理由:第一、這個工具有很多高深的技術,要移除它並不是那麼簡單的事情,許多防毒軟體都僅僅把這個程式移到隔離區,而無法完全清除。我們想知道客服人員會如何建議我們處置惡意程式,或者是繼續讓這個程式留在隔離區?其次,駭客也常使用這個工具來掩護、包裝其他的惡意程式,因此這是一個相當實用的問題。

4. 特製惡意程式 我們自行撰寫了一段僅五行的簡易程序,在開機之後關閉防毒軟體即時防護的功能。我們想要藉此瞭解,客服人員在處理會將防毒軟體關閉的惡意程式時,有沒有一套標準釐清問題、解決問題的作業模式,即使是這麼小一段程式,也會影響防毒軟體的運作。當然,我們也試著將問題簡單化,因此我們把這個程式命名為『stop.bat』放在C槽根目錄下,並且使用『HKLM\Software\Microsoft\Windows\CurrentVersion\Run』機碼(Registry)於開機時啟動。這種方法是目前多數惡意程式所使用的方式之一,會在開機、用戶登入時引發此程式。這個程序會更換防毒軟體位於系統工具列(SysTray)上的圖示,而且關閉即時防護的功能。

疑難排除的技巧
*最高原則: 廠商是否能快速解決問題,減輕我們的痛苦。 我們以往認為技術支援就是去閱讀線上的疑難排除手冊。當然,McAfee、組合國際、賽門鐵克與趨勢科技的技術支援人員也表示,在大多數狀況下,他們的確也做相同的事情,翻閱手冊、瞭解自家產品的相關知識,以及懂得一小部份關於微軟作業系統跟產品的互動性與影響。

關於各家廠商解決疑難問題的效率,都詳細反應在本報告中,記錄著他們花多少時間弄清楚我們提出的問題並解決它。Sophos跟組合國際是最快速的客服團隊,趨勢科技花了最久的時間,而McAfee與賽門鐵克在不同項目表現有好有壞。

整體來說,Sophos將客戶服務視為其營運的基石,當仁不讓勇奪第一。我們對該公司客服人員在疑難排除上所展現的專業技術,有相當深刻的印象,對於自家產品與Windows作業系統瞭若指掌。但Sophos並非完美無缺,這一點在後面的項目中會提到。

組合國際的客服人員,在處理問題上表現出相當有耐心、語氣和善,在四個測試項目中的三個,都在一個小時內就完成解答。舉例來說,他們很快地解決了「特製惡意程式」這個考驗,並建議我們使用Windows XP內建的還原機制(restore),將系統設定回復到未安裝惡意程式之前。然而,組合國際的工程師並沒有真正指出問題所在,如果是換成其他的作業系統可就沒有那麼幸運了。趨勢科技方面,在處理「特製惡意程式」時,工程師將工具列上變為紅色的程式圖樣,歸因於用戶端無法與防毒主機通聯所致,很明顯地誤判!我們提出不同的意見,認為是即時掃描功能被關閉,但是客服工程師不以為然,並花了一小時在電話上繼續解決他所謂的「問題」,加上另一個小時的結果分析之後,依舊未承認他的誤判。因此,我們決定寄出電子郵件通知他。

這種解決方案充滿戲劇性,同時也誤導了用戶。 舉例而言,賽門鐵克的客服工程師,花了兩個小時的時間解決用戶安裝上的疑難,即使是這個簡單的目錄權限問題,我們最後得到的答案竟然是必須重新安裝作業系統。在我們仔細審視賽門鐵克疑難排除工具的錯誤訊息之後,『具管理權限的用戶無法存取防毒軟體所在目錄』,客服人員終於才搞懂這是怎麼一回事。

類似的情況也發生在McAfee的客服工程師身上,他建議我們重新安裝防毒軟體,以解決我們「特製惡意程式」的問題。我們依照他的說法,進行軟體移除卸載,但是自動化的移除程序失效,這意外的結果並不在我們預定的計畫中。最後,客服工程師千里迢迢地趕到現場,並且以人工方式移除許多機碼和檔案,很不幸地還是徒勞無功。這是因為目錄權限所導致的問題,他又花了一個小時在移除防毒軟體,而我們自家的工程師則建議使用疑難偵測(diagnostic)軟體。過了整整四天,終於發現問題所在,McAfee告訴我們有一個奇怪的檔案叫做stop.bat,不過還是沒說出這個程式的功能是什麼。

首要之務~不要再製造問題
與我們接觸的人員都是安全廠商的客服工程師,但部分人員反而讓我們覺得…不安全。 在解決這類狡詐問題時,工程師常常會暫時把一些安全設定調到很低。不過這還在可接受範圍,前提是他們有把正確的安全設定還原。在部分案例中,防毒廠商客服工程師並未告知我們,在解決問題之後要記得還原先前的安全設定值,這讓我們的電腦非常不安全。

即使Sophos很迅速地解決了其他的問題,但是Sophos 在處理「特製惡意程式」時,最後還是沒把即時掃描功能打開,因此我們的機器就變成一台毫無武裝的受害者。客服工程師告訴我們,這是一個已知的程式問題(known bug),會導致圖示看起來像是即時掃描功能被關閉。但是他沒有採取任何基本的檢查程序,例如從防毒軟體主控台檢查即時掃描功能,而主控台中其實就已經告訴用戶即時掃描功能已被關閉。如果系統管理者真的採納該工程師的建議,不知道會有多少災難發生。

McAfee在第二個測驗中,客服工程師要我們把所有跟McAfee防毒軟體相關的機碼之存取權限,以及相關的檔案目錄完全開放出來,並試圖移除防毒軟體然後再重新安裝一次,這可能會發生其他的問題,因為把所有相關權限打開,表示也允許一般用戶進入系統更改設定或者置換掉一些系統檔案,反而更危險。

還有更誇張的,趨勢科技的工程師建議我們在防毒主機上,建立一個開放所有權限的共享資料夾,用來存放用戶端的安裝程式與惡意程式掃描工具。駭客或有心人就可以利用這個開放權限的管道,將惡意程式放在這邊散播。他們還告訴我們要清除之前中毒記錄與失敗的安裝訊息,而這個動作會消除所有之前疑難排除的動作跟防毒記錄,在解決其中三個問題時,都提到這個步驟。此外,竟然建議我們要讓所有使用筆記型電腦的用戶擁有本機的管理者權限,這個建議讓人感到不可思議,因為大多的用戶並不知道使用這個權限,會造成許多安全上的問題。

在我們的測試之下,部分廠商的客服工程師在清除rootkit時,給我們非常有用的建議。尤其是賽門鐵克的工程師,他說我們的主機有很嚴重的問題,已經發現rootkit存在,並隱藏了其他的惡意程式,他懇切地建議我們使用原版光碟重新安裝作業系統,這是個很務實的建議,畢竟將硬碟格式化之後再重裝作業系統,才是解決rootkit的根本之道。

Sophos工程師告訴我們關於系統發現rootkit的解決方法,他建議我們安裝防堵間諜軟體(antispyware)與個人防火牆,而不是叫我們重新安裝作業系統。

自求多福?
整體而言,雖然五家防毒廠商都號稱他們有一流的電話客戶服務,經我們實際體驗之後,結果並不是很滿意。

在各家廠商的網站上,都有龐大的知識庫及文章可供搜尋,包括病毒百科全書與最新病毒碼。我們同時也試著在網站上尋求以上四個測驗的相關解答,除了賽門鐵克的網站之外,其餘網站均乏善可陳。搜尋的結果不是資料太少就是不夠深入問題核心,賽門鐵克的網站提供貼心的小技巧,可以解決關於個人防火牆、rootkit及我們特製的惡意程式這些問題。

各家的病毒百科大同小異,其中以Sophos的內容最詳盡,記錄下他們所蒐集的每一隻病毒檢驗樣本的相關資料。

請稍後…馬上為您服務
除了優美的電話等待音樂之外,經過漫長等待…客服工程師接起電話、回覆問題,會令人覺得沮喪與無力感。

我們針對每次不同的問題,計算每一次在線上等待的時間。如果必須撥上好幾通的電話,我們就把個別的等待時間取平均值。目前並沒有一套標準的規範,制訂一般可接受的等待時間,因此我們就先訂為10分鐘,如果超過10分鐘就視為影響正常的工作流程。計算方式中,沒有把分派技術人員之後的等待時間算在裡面,我們假設這名工程師一分派到任務時,就已經開始接手瞭解我們所提出的問題。

不論聽到的是廣播節目的廣告,還是搖滾音樂,這都不是重點。組合國際平均在4分鐘內,就會接起客服電話,解除我們掛在線上的窘境,是當中最快的。他們也是唯一會先進行案例分類詢問,分為一般性詢問(general issue)、普通問題(minor problem)、重要問題(major problem)與嚴重系統問題(critical system outage)。在分派客服人員之前會先詢問問題種類,我們的測試問題分屬普通問題(安裝錯誤、個人防火牆)與重要問題(掃毒與特製惡意程式)。

相反地,賽門鐵克客服電話的等待時間,漫長到令人無法接受,平均41分鐘。其他三家則在10分鐘左右。為了讓用戶可以清楚瞭解到還要等多久,賽門鐵克的客服總機會告訴你,在客服專線上有多少人正在等待,以及還有多久才會輪到你。雖然其他廠商並沒有做到這一點,但是相對於漫長的等待…這實在起不了什麼作用。

不好意思..我會用e-mail
通知你 客服人員遇到無法立即在一、二個小時內解決的問題,部分廠商會改用電子郵件作為溝通管道,他們通常會請你下載疑難排解用的檢測程式,並傳回檢測資料給更高階的工程師進行分析。 有時候,我們得等上24小時以上才會收到回信。McAfee在我們特製惡意程式這個項目,要求我們執行檢測程式並用郵件回傳結果,結果足足等了4天才收到回信,期間我們的電腦不就一直處在高度的風險中嗎? 這歸咎於工程人員的經驗與專業能力。Sophos的客服工程師在電話中就很迅速地解決問題,組合國際也正如他們所保證的,在一個小時內就回信。賽門鐵克雖然承諾在一小時之內回覆,但事實上卻花了2個多小時。而趨勢科技一如其他廠商承諾在一小時內回覆,實際上我們是在一個多小時之後才收到回覆。

喂.. 喂..你聽得到嗎?
McAfee、 Sophos與賽門鐵克的客服中心均在美國本土,而組合國際與趨勢科技則設立在境外。老實說,我們不是很關心客服中心究竟設立在哪裡,只要他們有正常的電話品質以及清楚地瞭解問題所在就夠了。 Sophos與賽門鐵克在這方面是完全沒有問題的,我們很清楚地聽到客服人員的聲音及他們所表達的意涵。McAfee客服專線的音量,就有點微弱到不容易聽清楚。而組合國際設立於印度的客服中心,一如預料的客服人員腔調與電話音量都有待加強。我們很難一次就聽懂他所表達的意思。 而趨勢科技在這方面就有幾個問題,設立於菲律賓的客服中心,說話的腔調不太容易聽懂,而且電話音量也是有點小。我們常常要請對方再重複一次,才可以聽懂一點。有一次明明很清楚地說出我們的電子郵件位址,但是對方還是拼錯了。

專業能力
與大部分的技術人員交談,即使過程有些小瑕疵,但態度上還是很和善。只有一個例外,賽門鐵克的工程師,儘管不是真的很粗魯,在其中三項測驗中,我們還是因為他有點惱怒的態度,感到不太舒服。

在面對安裝錯誤的問題時,剛開始接手的客服人員就很無禮,不僅說話速度很快、不耐煩,而且還明白地說,他因為要接下一通電話,無法等我們執行完檢測程式並且重新開機。

解決防火牆問題時,客服人員有點惱怒地說,是我們自己沒有發現防火牆是造成問題的主因。

在處理特製惡意程式的關卡時,當客服人員告訴我們要重新安裝防毒軟體之後,發生了一點小插曲。我們嘗試詢問他是不是從光碟片中安裝,他以不太耐煩的口氣說「不然你覺得要從哪裡安裝?」我們便請教他,是否可以讓我們直接下載檔案來安裝。其他廠商在面對這個問題時,因為懷疑我們的原始光碟片可能有問題或毀損,都會考慮直接讓我們下載檔案這個方法。

在“Information…please!”部分中我們面對賽門鐵克人員,諮詢產品資訊與報價時,也發生過相似的情況。

誰來救我?
整體而言,我們對於廠商在處理這一系列時的窘況感到十分訝異,這些問題對我們而言是家常便飯,而這些廠商竟無法提出一個好的解決方案。 總之,Sophos與組合國際在測試中表現最好。我們對Sophos印象深刻,以快速專業的態度解決問題,儘管在處理惡意程式時有些小瑕疵,還是沒破壞我們對他的印象。組合國際準確、合理地回應我們多數的測試項目,美中不足的是他們設於海外的客服中心在溝通上的小小障礙。 賽門鐵克與McAfee在疑難排除上表現平平,但是賽門鐵克讓我們在線上等太久了。趨勢科技在這方面顯得不夠完善,不論是疑難排除、語言溝通、電話音量的問題,都大大限制了其客服中心的服務能量。 我們期望看到更強的疑難排解專業技術。包括基本的系統管理觀念、技術與安全領域知識。雖然我們在測試電話中,沒有特別詢問這些項目,但是客服人員除了幫助用戶可以正確安裝與執行公司產品之外,有時候也應該對自家產品的功能與相關設定要有所涉獵。 防毒軟體產品的客戶服務,距離我們所期望的水準,還有一段長路要走。要明確指出方向並不難,從以上的案例就可以窺知一二。Sophos的客服工程師專業能力不在話下,而疑難排除的支援服務也符合我們的預期目標。對於身為防毒大廠的賽門鐵克及McAfee,其客服支援服務著實是個燙手山芋,如果能強化客服人員的專業技巧與水準,將帶來更強的競爭優勢。組合國際在這方面展現出快速、有效率的成績,不致讓客戶抱怨連連。賽門鐵克擁有良好的客服線路與頭腦清楚的客服工程師。所以,工程師素質好壞與其來歷無關,溝通技巧不好也不該歸咎於線路品質不良上。各家廠商都還需要加強他們網頁的線上服務內容,如果客戶能藉此解決問題,客戶會更滿意而客服人員也落得輕鬆許多。 「服務深耕才有豐碩的盈收」是千古不變的商場格言。對防毒廠商而言似乎還有待努力耕耘。


測試結果


本文作者 ED SKOUDIS, CISSP (ed@intelguardians.com)是Intelguardians安全顧問公司創始人,Information Security雜誌測試聯盟成員,著作:Malware: Fighting Malicious Code (Prentice Hall, 2003)