“殺毒軟件已死”的說法已有數(shù)年，但殺毒軟件卻依然波瀾不驚地保護著各種計算機網(wǎng)絡(luò)和操作系統(tǒng)的安全。

賽門鐵克信息安全高級副總裁布萊恩·戴伊（Brian Dye）今年年初宣告，提供系統(tǒng)保護的殺毒軟件已經(jīng)死亡。鑒于他在殺毒界的地位，這個斷論的確引起業(yè)界各方面的重視。

不過，盡管殺毒軟件的有效性近年來一直在不斷衰退，筆者認為對殺毒軟件進行死刑宣判還是不靠譜的。

當然，隨著惡意軟件復雜性的不斷增長，僅使用基于特征的殺毒軟件作系統(tǒng)保護，必定有些力不從心。目前幾乎有一半以上的威脅，殺毒軟件都阻止不了，而且領(lǐng)先的殺毒軟件企業(yè)也一直在引導人們，讓大家理解，僅僅安裝那些基于特征庫的殺毒軟件是不夠的。

今年六月，一份面向300名信息安全專業(yè)人士對殺毒軟件滿意度進行的一項調(diào)查顯示，85%的人都不相信殺毒軟件可以阻止針對特定目標的攻擊，比如高級持續(xù)性威脅（APT）和網(wǎng)絡(luò)釣魚。此外，殺毒軟件對于零日漏洞更是無可奈何。

但在當今威脅四伏的環(huán)境中，基于特征的殺毒軟件對于系統(tǒng)安全仍然做著重大的貢獻。如果你去任何一家到處部署著殺毒軟件的企業(yè)說，“殺毒軟件已死，把它們都從系統(tǒng)中刪除吧”，可以想像，有多少人會像殺毒軟件對待病毒一樣的對待你。

在系統(tǒng)保護中，阻止威脅只是防病毒工作的一部分。除了對病毒進行阻止，殺毒軟件還要對病毒進行清理，將它們從系統(tǒng)中清除。如果說當前殺毒軟件的架構(gòu)和能力就是殺毒行業(yè)的未來，那肯定不對，但這與“殺毒軟件已死”是兩回事。

而且，將殺毒軟件限定為基于病毒庫的殺毒技術(shù)也是不全面的。實際上，現(xiàn)在的殺毒軟件應(yīng)該說是具備了多種防護手段的，反惡意軟件的工具。而那些只基于特征庫來殺毒的防病毒軟件，在本世紀初就已經(jīng)開始消亡了。

具有惡意軟件防御能力的殺毒軟件在企業(yè)中仍然并將繼續(xù)得到重用，其效用甚至和最新的在線防御平臺，如漏洞防御系統(tǒng)一樣強大。殺毒軟件廠商現(xiàn)在應(yīng)該做的是提供一個完整的端到端解決方案，而本來只做漏洞防御系統(tǒng)的供應(yīng)商反倒需要在他們的系統(tǒng)中添加惡意軟件檢測和修復功能。

說到這里，我們回過頭來再看看“殺毒軟件已死”的由來。早在2006年，某個調(diào)查機構(gòu)發(fā)布了一份題為《殺毒軟件已死》的報告。該報告聲稱，殺毒軟件將被“使用白名單清除惡意軟件的工具所取代。”的確，白名單確實在某些環(huán)境中得到了有效的應(yīng)用，但它也有著明顯的缺點。

對于某些可控的系統(tǒng)環(huán)境，如零售終端、工業(yè)制造和醫(yī)療系統(tǒng)等，白名單的確是一個不錯的解決方案。但在終端用戶環(huán)境中的時候，因為終端用戶會不斷地向他們的設(shè)備中添加應(yīng)用程序，以至維護成本太高而最終無法持續(xù)。

簡而言之，對于服務(wù)器、數(shù)據(jù)中心，或可控的系統(tǒng)環(huán)境，白名單是一個非常好的解決方案，但對于使用傳統(tǒng)臺式機、筆記本電腦等終端設(shè)備的用戶，則面臨沒完沒了的名單維護問題，這是一個大麻煩。

針對殺毒軟件無法應(yīng)對復雜威脅的批評并不是最近才有的。一些殺毒軟件本身就包含漏洞，實際上讓安裝了這些殺毒軟件的系統(tǒng)更容易受到攻擊。這是因為殺毒軟件的防病毒引擎通常都以系統(tǒng)的最高權(quán)限運行，這也意味著攻擊者可能使用的權(quán)限。而且為了處理所有的文件類型，殺毒軟件會調(diào)用文件格式解析器，而文件格式解析器又是一個可能的漏洞發(fā)源地。

但不管怎樣，殺毒軟件并不是批評者口中所說的那樣不堪。

殺毒軟件在過去五年里已經(jīng)得到了進化并可以提供更多的防護。例如，殺毒軟件不僅增加了更多的啟發(fā)式功能，使它可以更有效地應(yīng)對不明特征的威脅，而且也可以阻擋各種惡意軟件，如rootkit、遠程訪問木馬（RAT）、鍵盤記錄器、間諜軟件、廣告軟件、乃至“可能不必要的應(yīng)用程序”。殺毒軟件甚至還可以保護用戶免受包括電子郵件、社交媒體和通過網(wǎng)絡(luò)傳播的文件等各種惡意軟件載體的威脅。

網(wǎng)絡(luò)攻擊在數(shù)量上和復雜性上將持續(xù)增長，殺毒軟件也將一直會是用戶和組織大型安全解決方案中應(yīng)對網(wǎng)絡(luò)攻擊的的一個組成部分。

殺毒軟件不會死，死的是止步不前的技術(shù)，固步自封的思想。此為是。