關(guān)于“殺毒軟件已死”的預(yù)言說了多少年,殺毒軟件卻依然持續(xù)保護(hù)著系統(tǒng)安全和網(wǎng)絡(luò)安全。
賽門鐵克(Symantec)信息安全高級副總裁布萊恩·戴伊(Brian Dye)今年年初宣告,提供系統(tǒng)保護(hù)的殺毒軟件已經(jīng)死亡,此言一出,立刻了引起了軒然大波。然而,盡管殺毒軟件的有效性近年來一直在不斷衰退,還是有安全專家認(rèn)為,由這位幾乎可以與殺毒軟件齊名的公司高管對殺毒軟件進(jìn)行死刑宣判還為時尚早。
當(dāng)然,隨著惡意軟件復(fù)雜性的不斷增長,僅使用基于特征的殺毒軟件作為系統(tǒng)保護(hù),必定是力不從心的。“一半以上的威脅,我們的殺毒軟件都阻止不了,”賽門鐵克產(chǎn)品營銷副總裁錢德拉·蘭根(Chandra Rangan)說。“我們一直試圖在引導(dǎo)人們,告訴他們說,如果只有基于特征的殺毒軟件是不夠的。”
在當(dāng)今威脅四伏的環(huán)境中,基于特征的殺毒軟件本身雖然并不能提供足夠的保護(hù),但它對于系統(tǒng)安全仍然做著重大的貢獻(xiàn)。“如果你去任何一家財富1000強企業(yè),說‘殺毒軟件已死,把它們都從系統(tǒng)中刪除吧’,你一定會被很多的安全專員嘲笑的,”英特爾安全公司(原邁克菲McAfee)首席技術(shù)策略師布萊恩·凱尼恩(Brian Kenyon)表示。“事實上,即使是現(xiàn)在的這種形式,殺毒軟件也是可以阻止很多病毒的。”
“事實上,即使是現(xiàn)在的這種形式,殺毒軟件也是可以阻止很多病毒的。”
——英特爾安全公司首席技術(shù)策略師布萊恩·凱尼恩
凱尼恩接著說,在系統(tǒng)保護(hù)中,阻止威脅只是防病毒工作的一部分。“除了對病毒進(jìn)行阻止,殺毒軟件還要對病毒進(jìn)行清理,將它們從系統(tǒng)中清除。但是,如果你問‘當(dāng)前殺毒軟件的架構(gòu)和能力就是我們行業(yè)的未來嗎’,我肯定會說,當(dāng)然不是,但我并不認(rèn)為殺毒軟件已死。”
將殺毒軟件的定義限定為基于特征的防病毒軟件對于殺毒技術(shù)而言可能是不公正的。“殺毒軟件不是依據(jù)是否基于特征定義的,而是依據(jù)可以防止的惡意軟件定義的,”獨立測試服務(wù)機構(gòu)NSS實驗室研究主管蘭迪·艾布拉姆斯(Randy Abrams)說。“只基于特征,并且只有殺毒能力的殺毒軟件,從上個世紀(jì)九十年代確實就已經(jīng)死了。”
具有惡意軟件防御能力的殺毒軟件在企業(yè)中依然持續(xù)有效,甚至和最新的在線防御平臺,如漏洞防御系統(tǒng)(BDS)一樣強大。“漏洞防御系統(tǒng)是用來快速檢測和控制每個企業(yè)已經(jīng)遭遇或即將遭遇到的安全漏洞的,”艾布拉姆斯解釋說。最初的漏洞防御系統(tǒng)產(chǎn)品就是這樣設(shè)計的,它還需要IT工作人員對發(fā)現(xiàn)的問題進(jìn)行清理。“于是殺毒軟件供應(yīng)商開始抓住機會,提供一個完整的端到端解決方案,結(jié)果就是,本來只做漏洞防御系統(tǒng)的供應(yīng)商不得不在他們的系統(tǒng)中添加惡意軟件檢測和修復(fù)功能。”
宣告殺毒軟件已死早就不是什么新鮮事了。比如早在2006年,Hurwitz & Associates機構(gòu)就發(fā)布了一份題為《殺毒軟件已死》的報告。分析師羅賓·布盧爾(Robin Bloor)在報告中堅稱,殺毒軟件將被利用白名單從運算場景清除惡意軟件的工具所取代。如今,白名單確實在某些環(huán)境中得到了有效的利用,但它也有它的缺點。
“對于控制環(huán)境,如零售POS系統(tǒng)、制造系統(tǒng)和衛(wèi)生系統(tǒng)等,白清單確實是一個偉大的解決方案,”凱尼恩說。“你可以說什么應(yīng)用程序運行良好,并且白名單之外的任何東西都無法運行,所以惡意軟件根本無法存活。”但將白名單引入到消費者或企業(yè)終端用戶環(huán)境中時,它的維護(hù)成本是難以承擔(dān)的,因為終端用戶會不斷地向他們的設(shè)備中添加應(yīng)用程序。“這就是為什么我們還沒有在用戶環(huán)境中看到大量的白名單。對于服務(wù)器,對于數(shù)據(jù)中心,對于控制零售環(huán)境,這是一套偉大的方案,但對于傳統(tǒng)的臺式機和筆記本電腦,這會是一個挑戰(zhàn),”凱尼恩補充道。
就像啟示錄的預(yù)言那樣,殺毒軟件的反對者還會繼續(xù)預(yù)言殺毒技術(shù)的末日。終端安全提供商Bromium聯(lián)合創(chuàng)始人兼首席執(zhí)行官高拉夫·班加(Gaurav Banga)說:“布萊恩·戴伊是對的,殺毒軟件確實已經(jīng)死了。”班加引用了其公司在六月份面向300名信息安全專業(yè)人士對殺毒軟件滿意度進(jìn)行的一項調(diào)查,數(shù)據(jù)顯示,占85%的大多數(shù)專業(yè)人士都不相信,殺毒軟件可以阻止針對特定目標(biāo)的攻擊,比如高級持續(xù)性威脅(APT)和網(wǎng)絡(luò)釣魚,而這些攻擊在當(dāng)前威脅環(huán)境中占絕大部分。
此外,殺毒軟件對于多態(tài)攻擊和零日漏洞攻擊也是無效的,這些同樣是攻擊者慣用的手段。這些都是在基于特征的殺毒軟件動作之前就對系統(tǒng)進(jìn)行劫持的立竿見影的攻擊方法。“安全研究人員要檢測到新的威脅并寫入新的特征往往需要幾天的時間,這就給了多態(tài)攻擊完全足夠的時間來變更它的代碼,”班加說。“當(dāng)高級攻擊分分鐘就可以完事的同時,基于特征的殺毒軟件要檢測到這些攻擊卻還需要幾天的時間。”
針對殺毒軟件無法應(yīng)對復(fù)雜威脅的批評并不是最近才有的。七月,新加坡COSEINC安全咨詢機構(gòu)的一名研究員稱,許多殺毒軟件本身就包含漏洞,實際上讓安裝了這些殺毒軟件的系統(tǒng)更容易受到攻擊。研究員Joxean Koret解釋說,殺毒軟件的防病毒引擎通常都以系統(tǒng)的最高權(quán)限運行。在防病毒引擎中利用漏洞將為攻擊者提供root權(quán)限或系統(tǒng)訪問權(quán)限。這種攻擊的攻擊面會非常大,因為這種攻擊必須支持文件格式的長列表。而要處理所有的文件類型,殺毒軟件就會使用文件格式解析器,而文件格式解析器通常都會有漏洞。
不過,班加指出,“殺毒軟件或許會繼續(xù)為那些通常沒有多少健壯保護(hù)需求的消費者或善于管理更多功能產(chǎn)品的消費者提供服務(wù)。但是,”他補充道,“有安全意識的組織已經(jīng)開始從殺毒軟件解決方案中過渡出來了。”
當(dāng)然,還是有人堅信,殺毒軟件并不像批評者說的那樣無能。思科系統(tǒng)安全業(yè)務(wù)集團(tuán)的一名威脅研究員詹森·舒爾茨(Jaeson Schultz)稱,殺毒軟件在過去五年里已經(jīng)得到了演變并可以提供更多的防護(hù)。殺毒軟件不僅增加了更多的啟發(fā)式功能,使它可以更有效地應(yīng)對不明特征的威脅,而且也可以阻擋各種惡意軟件,如rootkit、遠(yuǎn)程訪問木馬(RAT)、鍵盤記錄器、間諜軟件、廣告軟件、乃至“可能不必要的應(yīng)用程序”。殺毒軟件甚至還可以保護(hù)用戶免受包括電子郵件、社交媒體和通過網(wǎng)絡(luò)傳播的文件等各種惡意軟件載體的威脅。
“沒有殺毒軟件作為未來安全的一部分,我們就會漸漸放棄保護(hù)端點和移動設(shè)備的想法,造成成千上萬的人在網(wǎng)絡(luò)罪犯面前任憑擺布。”
——北美卡巴斯基實驗室董事總經(jīng)理克里斯·道根(Chris Doggett)
“這是一場裝備競賽,”舒爾茨說。“隨著漏洞利用程序新途徑的不斷升級,新的反擊功能也會構(gòu)建到殺毒軟件里面。宣稱殺毒軟件已死,當(dāng)然是太過夸張了,許多人仍然依靠殺毒軟件作為多層防御必不可少的一個組成部分。”
雖然那些聳人聽聞的關(guān)于殺毒軟件已死的言論言過其實,那些關(guān)于殺毒軟件無所不能論調(diào)同樣也是夸大其詞。正如北美卡巴斯基實驗室董事總經(jīng)理克里斯·道根認(rèn)為的那樣,“網(wǎng)絡(luò)攻擊在數(shù)量上和復(fù)雜性上將持續(xù)增長,殺毒軟件也將一直會是用戶和組織大型安全解決方案中應(yīng)對網(wǎng)絡(luò)攻擊的的一個組成部分。”
“沒有殺毒軟件作為未來安全的一部分,我們就會漸漸放棄保護(hù)端點和移動設(shè)備的想法,造成成千上萬的人在網(wǎng)絡(luò)罪犯面前任憑擺布。”
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:“殺毒軟件已死”言過其實