VirusTotal近期的政策變化正加劇傳統和新興反惡意軟件企業之間的敵對情緒。

5月4日，VirusTotal對反惡意軟件產業投下了一顆重磅炸彈，其余波至今未平。這顆炸彈就是VirusTotal政策中兩個句子的變化：“所有搜索企業現在必須將其偵查掃描器整合進VirusTotal的公有界面，以通過VirusTotal API服務獲取反惡意軟件判定結果”。另一項改動是要求新來的申請者必須經過惡意軟件測試標準組織 (Anti-Malware Testing Standards Organization, AMTSO) 的有效認證。

背景

要理解這兩項改動的效果，我們必須理解以下四個元素：傳統反惡意軟件產業、新興反惡意軟件產業、VirusTotal、AMTSO。

傳統反惡意軟件產業（以前被稱為反病毒）自網絡安全誕生之初就已經存在。它在檢測和消除惡意軟件方面有著巨大資金投入。它基于“黑名單”策略：檢測惡意軟件、進行分析、在黑名單中增加特定的簽名。這種方法并非完美無缺：在新惡意軟件出現、檢測到它和將它加入黑名單這三個步驟之間存在延遲。

產業在很久以前就接受了這種缺陷，并開發了“行為”分析，提升其效率。反惡意軟件產業可以簡單歸納為“基于特征簽名，外加……”。作為歷史上出現的第一個安全產業，它的客戶也最多。

新興反惡意軟件采取了不同的途徑。它聚焦于行為和聲譽，而不是簽名。它監控網絡和流量，關注可能代表惡意軟件或入侵者存在的異常行為。但它相對而言更加稚嫩，而且，在某種程度上也會弱化反惡意軟件產業對客戶的控制力。

VirusTotal下屬于谷歌，是一項能夠利用多種反惡意軟件產品，檢查可疑文件的在線服務。由于其檢查是靜態的，它嚴重依賴于訂閱該項服務的反病毒廠商的特征簽名引擎。用它自己的話來說，它是“一項合作化服務，用以提升信息交換的效率，加強互聯網安全”。如果提交的文件被認為是惡意的，其細節將被推送到所有訂閱該服務的企業處，因此，可以將其認為是一種早期化、有效的威脅分享機制。

然而這種檢查主要依賴于特征簽名引擎，而我們知道它們只是傳統反惡意軟件流程的一部分。單獨來看，測試的結果是誤導人的。當然，VirusTotal一直對此描述準確。盡管如此，在過去的幾年里，一些新興反惡意軟件企業毫不猶豫地借助VirusTotal的結果證明傳統產業已經辜負了客戶。

VirusTotal也提供了一個API，訂閱者可以將自家系統和VirusTotal數據庫進行整合。因此，發現了可疑文件的反惡意軟件廠商可以通過VirusTotal自動進行檢查，并將結論當成自己得出的，返回給客戶。

而AMTSO的出現正逢其時。反惡意軟件測試非常艱難。僅僅進行靜態比對很容易讓不同產品之間產生差距。AMTSO則竭盡全力讓測試方法對所有人來說都公平。但它存在一個巨大弱點：它幾乎完全由反惡意軟件廠商和反惡意軟件測試機構組成。有些人因此指責它是反惡意軟件廠商俱樂部，僅僅致力于維持現狀。

問題

以上就是分析這次VirusTotal政策變化的背景信息。毫無疑問，該平臺的服務以前被一些企業濫用過。來自ESET公司的大衛·赫利 (David Harley) 解釋稱：“企業很容易通過訂閱該服務獲得其他人的勞動成果，而不用分享自己獲取的信息。VirusTotal發出的信息很明確，他們十分清楚自己數據正在通過幾個途徑被濫用。”

獨立安全專家格雷漢姆·克魯雷 (Graham Cluley) 解釋了自己的擔心：“本質上看，一些新興廠商在吃免費蛋糕。他們的‘下一代’安全產品建立在其它安全廠商勤奮工作的基礎上，而沒有對安全社區貢獻任何東西。”只要將自己的產品接到VirusTotal的API上，就能有效地將VirusTotal用作自己的檢測引擎。“更在傷口上撒鹽的是，一些公司還會批評其它安全廠商的技術過于’傳統’，而他們實際上就在免費利用著這些檢測結果！”

盡管目標可能是防止濫用，事實則也有不足。VirusTotal的兩項新要求：在VirusTotal中整合偵查掃描器、獲取AMTSO認證均有效地將真正優秀的新興反惡意軟件企業拒之門外。

如果不是反惡意軟件企業Malwarebytes董事會成員、AMTSO亞歷克斯·艾克貝瑞 (Alex Ecklberry) 的一篇博文，這起事件還不會在幾個小時內爆炸。他說，“反病毒企業再也不會看到自己的勞動成果被一些看上去很酷炫、通過隨便許諾什么‘下一代’終端或者其它此類胡說八道融到數百萬美金，還批判著知識產權被他們偷走的廠商的那些初創企業竊取了。現在，我們有可能真的看到他們的產品到底是怎么做出來的。因為如果沒有VirusTotal這根拐杖，依賴它的那些公司的檢測率將受到打擊。”

在艾克貝瑞的博文下，Cognition公司技術總監、聯合創始人卡爾·哥特布 (Carl Gottlieb) 寫道：“其后，他和另外幾位評論者點出了Cylance、Palo Alto Networks、CrowdStrike正是‘隨便許諾’的廠商中的成員，實際上正在竊取在VirusTotal上默默貢獻的廠商的知識產權。”哥特布的評論非常支持新興廠商，但為了保持透明性，我們需要指出的是他的公司正是新興廠商Cylance的大分銷商。

戰線

戰線現在很清晰了：傳統反惡意軟件產業站在一起，對抗新興反惡意軟件產業。傳統產業完全支持VirusTotal；新興產業面對針對他們技術手段的指控相當震驚。傳統產業方面，PandaLabs技術總監劉易斯·科隆斯 (Luis Corrons) 說，反惡意軟件廠商正日漸關心一個事實：后來者正竭盡全力利用VirusTotal，同時卻傳遞了‘清晰的市場信號’，他們說‘反病毒已死，我們比傳統反病毒好得多’，但他們正在沾自己稱之為活死人的產業的便宜。”

賽門鐵克“支持新政策，并相信它們會用互相幫助的手段提升VirusTotal生態系統的健康性和有效性。”

趨勢科技也支持新政策，表示“這次改動是對趨勢科技和其它貢獻者訴求的一次響應，我們看到越來越多的企業并沒有真的為VirusTotal貢獻什么，卻從真正的貢獻者提供的數據和分析中受益。 ”

F-Secure公司錫安·蘇利文 (Sean Sullivan) 對媒體表示，“這對反病毒產業而言是個好兆頭。至少，它能夠限制那些自稱為反病毒的虛假宣傳。”

傳統反惡意軟件產業的大多數成員都懷疑’下一代’安全產品一旦失去VirusTotal API免費調用的支持，檢測率將急劇下滑。

針鋒相對地，新興產業則十分擔心自己的好名聲會被敗壞。一些廠商甚至認為這次事件背后存在“陰謀”。屬于新興反惡意軟件廠商的SentinelOne公司CEO托莫·溫加滕 (Tomer Weingarten) 在本周三的一篇博文中稱：“這種激進的推廣手段自然會讓很多人認為這次改動是一起由傳統反病毒廠商精心策劃的陰謀，SentinelOne、Crowdstrike和Palo Alto Networks等公司的崛起讓他們感覺到了威脅。這究竟是不是一起精心策劃的事件，我們可能永遠也無法弄清楚。”

Palo Alto Networks在公司博客上發布了一篇聲明，表示一切都沒有改變：“Palo Alto Networks的客戶和客戶們使用的防御服務均沒有受到影響。VirusTotal將繼續為訂閱者提供訪問所有文件樣本的權限，包括Palo Alto Networks。這沒有改變我們和VirusTotal的合作方式。”

在發給媒體的電子郵件中，Palo Alto Networks進一步解釋稱：“我們的確需要VirusTotal API獲取樣本，但VirusTotal近期的政策變化不會影響Palo Alto Networks，因為我們不依賴VirusTotal返回的判定來確認文件惡意與否。因此，這次改動中將判定結果從API中移除不會影響我們從VirusTotal上獲取樣本、確定惡意性、創造特征簽名以保護客戶的能力。”

就Palo Alto Networks而言，VirusTotal和反病毒產業似乎毫無疑問地精心策劃了此次事件，它們感覺到無法坐視其研究結果被用于誹謗中傷自己。因此，它們將準入門檻調高了。VirusTotal和AMTSO都是處于傳統廠商教廷牢牢控制中的平臺。要求在VirusTotal上注冊偵查掃描引擎，外加獲取AMTSO認證將極有效地將新興企業排除在體系之外。

下一步

VirusTotal在給媒體的電子郵件回復中說：“這次升級可以讓安全社區因每個作出貢獻的人而更加健壯。我們歡迎任何形式的貢獻者和技術，只要能為社區增加價值。此次改動不代表VirusTotal提供的服務受到影響，我們相信，通過此次改動，社區將變得更加健康、健壯。”

與此同時，一位發言人解釋稱：“如果使用VirusTotal安全廠商擁有公開化的反病毒引擎或URL惡意軟件搜索引擎，都應當將其偵查器提交到VirusTotal的公有界面，以獲得API賬戶的訪問權限，并獲取帶有反病毒結果的分布流。”因此，簡而言之，如果你不參與到在線惡意軟件搜索中，就無法訪問API。

要想讓此生效，需要得到傳統和新興反惡意軟件產業的共同承認。將VirusTotal作為市場宣傳標尺的行為應當停止了，那些宣傳“反病毒已死”的廠商也應該停手。傳統反病毒廠商應當積極尋找將“下一代”產品整合進VirusTotal社區的方式。雙方都被用戶需要著，因為沒有任何一種技術能解決所有威脅。在分層防御中，雙方沒有理由不協同合作。

但這一情景是否能在未來實現，尚待討論。短期來看，VirusTotal的新政策只是加劇了傳統和新興反惡意軟件產業之間的對抗情緒。