防病毒软件让Greg Shiley这么疯狂,他必须笑。“基于签名的防病毒公司和病毒作家之间的关系几乎是令人闻意的。一个释放某事,然后另一个反应,他们来回走。这是一个愚蠢的小武器比赛,没有结束。”
希普利是芝加哥安全咨询公司Neohapsis的首席技术官。他说,最糟糕的是,军备竞赛对他和他的客户都没有帮助。“我想尽快摆脱基于签名的反病毒。我认为这是一个糟糕的模式,我认为它是一个不可思议的CPU占用。”
问题是,他应该去哪里?作为一个行业的防病毒已经在人类免疫系统上建模,这在病毒等物品上拍摄了标签,因此当它看到相同的标签或签名时,它会知道攻击它们。基于签名的防病毒已经远远超出了这种简单类型的签名用途(虽然在开始时,它确实查找了特定的代码行)。在其当前,更复杂的形式中,它占据了安全软件的市场,尽管有一些明显的限制:例如,您不使用它来停止数据泄漏,例如,虽然很多种类的恶意软件都被设计为虹吸数据。安全软件公司跟踪的恶意软件签名的数量在2007年增加了一倍,而当您可能会对这样的公司表示,那里有更多的恶意软件,2007年总计在以前建立的签名数量加倍。20年。
即使在2007年之前,除了Shipley之外,还有很多人争论,杀毒是一个陷入困境的行业。事实上,2006年,Hurwitz&Associates的分析师2006年,聘请了一个标题为“抗病毒已经死亡”的报告。他认为,恶意软件仅存在,因为防病毒软件存在,并且说防病毒软件注定要被新的软件替代,他调用应用程序控制或软件认证工具。这样的工具白名单我们使用的软件,而不会在没有用户的显式许可的情况下运行其他任何东西。
反病毒公司认为他们的死亡被夸大了,非常感谢——即使是那些不太依赖签名的公司,比如BitDefender,它说基于签名的技术只占它捕获的恶意软件的20%。
“签名并没有死亡 - 你需要他们,”罗马尼亚公司首席技术官Bogdan Dumitru说,它使用行为目标技术来阻止其余的攻击。其主要研究重点是开发一个“撤消”功能,让用户通过恶意软件逆转其效果。Bitdefender希望在2008年发布此功能。
与此同时,布洛尔报告中提到的应用白名单公司Bit9使用杀毒软件来帮助建立自己的数据库——实际上有22种杀毒软件。2007年11月,该公司宣布与安全软件制造商卡巴斯基实验室(Kaspersky Labs)达成协议,允许后者访问该数据库。Bit9官员表示,该数据库将帮助卡巴斯基检查新的签名,以限制误报。
另外,尽管布洛尔宣称,杀毒软件制造商仍在销售价值数十亿美元的软件,这也是事实。不过,布卢尔说:“使用病毒签名保护个人电脑的技术现在正在衰落。”他列举了一份提供软件认证工具的白名单——不仅仅是Bit9,还有Lumension(前身为SecureWave)、Savant Protection、Computer Associates和AppSense等公司。他还提到了卡巴斯基的交易,以及苹果利用白名单保护iPhone的做法。
不仅白名单
防病毒软件有其用途。如果系统实际上被恶意软件感染,它“可能是删除它的最不痛苦的方式”,Avien,Alien的管理员,AntiVirus信息交换网络,加入,“白名单”目前倡导为Panacea du,David Harleyjour。我认为这种不懈的搜索答案,丢弃了一个部分成功的解决方案,因为它将消除这个问题,实际上是不专业的。“
哈雷之所以这么说,是因为他怀疑在安全问题上,任何一种技术方法都不能100%解决问题。他写道,因此白名单很可能是一种对抗恶意软件的补充技术,使其成为一种已被采用的新技术,包括启发式、沙盒和行为监测。
企业首席信息官当然不指望找到一个解决问题的办法。德国西德意志银行美洲地区信息安全主管Ken Pfeil说:“如果你依靠签名来保证安全,你几乎是死路一条。”Pfeil认为签名很有用,他的公司也在使用签名。但当新的恶意软件出现时,他通常会发现,与其等供应商给他更新,不如自己尝试破解它,以了解其潜在影响。他的公司还采用了使用启发式技术和异常测试的工具,以增加其杀毒方法的魅力。
这种分层的软件方法适合福尔特研究分析师Natalie Lambert的位置,认为市场正在进行中。她说,基于签名的防病毒是安全软件的“表赌注”,以及启发式信息处理系统或HIPS等技术,它们看起来由软件寻找可疑操作,如应用程序从临时文件夹打开自己。
兰伯特说,在大型杀毒软件制造商中,McAfee可能是在使用HIPS方面走得最远的,它比竞争对手有更多的时间通过企业收购增加新功能。
这些技术的缺点是,没有像旧签名的抗病毒一样简单,诱人,她称之为“设置它并忘记它”技术。她指出,HIPS技术很难管理,永远不会像旧模型一样简单,但她期望随着时间的推移它们会变得更容易。
Neohapsis的Shipley表示,这些技术都不是真正的新技术,比如McAfee收购Entercept已经四年多了。但是“它起了什么作用?它有多少百分比会停止?”我看不出来。”Shipley说,他计划引入Bit9,看看它是否能真正取代他目前的杀毒软件。
反病毒公司同意他们正在变得不同。
例如,Sophos为基于签名的反病毒添加了一些功能。Sophos检查程序行为——程序在运行时对系统配置和文件等内容所做的修改。该公司还内置了一个预执行算法,就像一个水晶球,模拟不熟悉的代码可能会做什么。美国Sophos实验室的经理Richard Wang说,虽然签名很容易创建,但像预执行代码这样的事情比较困难,因此需要更多的时间。但其好处是它可以对抗多种类型的恶意软件。他说,对于风暴蠕虫,Sophos只生成了一个签名,但已经能够识别所有的变体。王医生将这种技术描述为“几乎像广谱抗生素”。
孩子的戏剧?
有趣的是,OLPC XO(来自每个儿童基金会的一台笔记本电脑)是另一个看新的AV技术的地方。XO使用BitFrost规范,表达了这款简单的计算机。OLPC声称系统“既急剧上都是安全的,并且提供比目前市场上的任何主流系统更具可用的安全性。”
OLPC XO以默认模式船舶基本上锁定,但为用户打开而简单。BitFrost规范使用一系列内置保护,包括用于应用程序和系统级保护的沙箱或程序监控,以防止从可以做一些有害的代码的改变。
位于企业环境中是否有效,或者将在OLPC项目之外商业化尚不清楚。但是,Avien's Harley,一个人认为,杀毒软件不太可能消失有心理原因。
“一种能够阻止真正的威胁,同时又不会妨碍非恶意对象和进程的解决方案非常有吸引力。人们(至少,那些不是安全专家的人)喜欢特定威胁软件的想法,只要它能捕获所有传入的恶意软件,不会产生任何误报,因为这样他们就可以安装它,然后忘记它。不幸的是,这是一个无法实现的理想。”
注意Greg Shipley:不要让你的呼吸避开你的防病毒软件。
了解更多关于这个主题的信息
这个故事,“杀毒剂的未来”最初发表了CSO .