引言:“殺毒軟件已死”的說(shuō)法已有數(shù)年,但殺毒軟件卻依然波瀾不驚地保護(hù)著各種計(jì)算機(jī)網(wǎng)絡(luò)和操作系統(tǒng)的安全。賽門(mén)鐵克信息安全高級(jí)副總裁布萊恩·戴伊(Brian Dye)今年年初宣告,提供系統(tǒng)保護(hù)的殺毒軟件已經(jīng)死亡。鑒于他在殺毒界的地位,這個(gè)斷論的確引起業(yè)界各方面的重視。
不過(guò),盡管殺毒軟件的有效性近年來(lái)一直在不斷衰退,筆者認(rèn)為對(duì)殺毒軟件進(jìn)行死刑宣判還是不靠譜的。
當(dāng)然,隨著惡意軟件復(fù)雜性的不斷增長(zhǎng),僅使用基于特征的殺毒軟件作系統(tǒng)保護(hù),必定有些力不從心。目前幾乎有一半以上的威脅,殺毒軟件都阻止不了,而且領(lǐng)先的殺毒軟件企業(yè)也一直在引導(dǎo)人們,讓大家理解,僅僅安裝那些基于特征庫(kù)的殺毒軟件是不夠的。
今年六月,一份面向300名信息安全專業(yè)人士對(duì)殺毒軟件滿意度進(jìn)行的一項(xiàng)調(diào)查顯示,85%的人都不相信殺毒軟件可以阻止針對(duì)特定目標(biāo)的攻擊,比如高級(jí)持續(xù)性威脅(APT)和網(wǎng)絡(luò)釣魚(yú)。此外,殺毒軟件對(duì)于零日漏洞更是無(wú)可奈何。
但在當(dāng)今威脅四伏的環(huán)境中,基于特征的殺毒軟件對(duì)于系統(tǒng)安全仍然做著重大的貢獻(xiàn)。如果你去任何一家到處部署著殺毒軟件的企業(yè)說(shuō),“殺毒軟件已死,把它們都從系統(tǒng)中刪除吧”,可以想像,有多少人會(huì)像殺毒軟件對(duì)待病毒一樣的對(duì)待你。
在系統(tǒng)保護(hù)中,阻止威脅只是防病毒工作的一部分。除了對(duì)病毒進(jìn)行阻止,殺毒軟件還要對(duì)病毒進(jìn)行清理,將它們從系統(tǒng)中清除。如果說(shuō)當(dāng)前殺毒軟件的架構(gòu)和能力就是殺毒行業(yè)的未來(lái),那肯定不對(duì),但這與“殺毒軟件已死”是兩回事。
而且,將殺毒軟件限定為基于病毒庫(kù)的殺毒技術(shù)也是不全面的。實(shí)際上,現(xiàn)在的殺毒軟件應(yīng)該說(shuō)是具備了多種防護(hù)手段的,反惡意軟件的工具。而那些只基于特征庫(kù)來(lái)殺毒的防病毒軟件,在本世紀(jì)初就已經(jīng)開(kāi)始消亡了。
具有惡意軟件防御能力的殺毒軟件在企業(yè)中仍然并將繼續(xù)得到重用,其效用甚至和最新的在線防御平臺(tái),如漏洞防御系統(tǒng)一樣強(qiáng)大。殺毒軟件廠商現(xiàn)在應(yīng)該做的是提供一個(gè)完整的端到端解決方案,而本來(lái)只做漏洞防御系統(tǒng)的供應(yīng)商反倒需要在他們的系統(tǒng)中添加惡意軟件檢測(cè)和修復(fù)功能。
說(shuō)到這里,我們回過(guò)頭來(lái)再看看“殺毒軟件已死”的由來(lái)。早在2006年,某個(gè)調(diào)查機(jī)構(gòu)發(fā)布了一份題為《殺毒軟件已死》的報(bào)告。該報(bào)告聲稱,殺毒軟件將被“使用白名單清除惡意軟件的工具所取代。”的確,白名單確實(shí)在某些環(huán)境中得到了有效的應(yīng)用,但它也有著明顯的缺點(diǎn)。
對(duì)于某些可控的系統(tǒng)環(huán)境,如零售終端、工業(yè)制造和醫(yī)療系統(tǒng)等,白名單的確是一個(gè)不錯(cuò)的解決方案。但在終端用戶環(huán)境中的時(shí)候,因?yàn)榻K端用戶會(huì)不斷地向他們的設(shè)備中添加應(yīng)用程序,以至維護(hù)成本太高而最終無(wú)法持續(xù)。
簡(jiǎn)而言之,對(duì)于服務(wù)器、數(shù)據(jù)中心,或可控的系統(tǒng)環(huán)境,白名單是一個(gè)非常好的解決方案,但對(duì)于使用傳統(tǒng)臺(tái)式機(jī)、筆記本電腦等終端設(shè)備的用戶,則面臨沒(méi)完沒(méi)了的名單維護(hù)問(wèn)題,這是一個(gè)大麻煩。
針對(duì)殺毒軟件無(wú)法應(yīng)對(duì)復(fù)雜威脅的批評(píng)并不是最近才有的。一些殺毒軟件本身就包含漏洞,實(shí)際上讓安裝了這些殺毒軟件的系統(tǒng)更容易受到攻擊。這是因?yàn)闅⒍拒浖姆啦《疽嫱ǔ6家韵到y(tǒng)的最高權(quán)限運(yùn)行,這也意味著攻擊者可能使用的權(quán)限。而且為了處理所有的文件類型,殺毒軟件會(huì)調(diào)用文件格式解析器,而文件格式解析器又是一個(gè)可能的漏洞發(fā)源地。
但不管怎樣,殺毒軟件并不是批評(píng)者口中所說(shuō)的那樣不堪。
殺毒軟件在過(guò)去五年里已經(jīng)得到了進(jìn)化并可以提供更多的防護(hù)。例如,殺毒軟件不僅增加了更多的啟發(fā)式功能,使它可以更有效地應(yīng)對(duì)不明特征的威脅,而且也可以阻擋各種惡意軟件,如rootkit、遠(yuǎn)程訪問(wèn)木馬(RAT)、鍵盤(pán)記錄器、間諜軟件、廣告軟件、乃至“可能不必要的應(yīng)用程序”。殺毒軟件甚至還可以保護(hù)用戶免受包括電子郵件、社交媒體和通過(guò)網(wǎng)絡(luò)傳播的文件等各種惡意軟件載體的威脅。
D1Net評(píng)論:
從目前來(lái)看,網(wǎng)絡(luò)攻擊在數(shù)量上和復(fù)雜性上將持續(xù)增長(zhǎng),殺毒軟件也將一直會(huì)是用戶和組織大型安全解決方案中應(yīng)對(duì)網(wǎng)絡(luò)攻擊的的一個(gè)組成部分。殺毒軟件不會(huì)死,死的是止步不前的技術(shù),固步自封的思想。