是否为桌面防病毒技术敲响了警钟?一些行业分析人士宣布,传统的反病毒方法是通过将病毒与一个“死亡”的签名进行匹配,从而检测和根除病毒、木马、间谍软件和其他有害代码。
敲钟是为了什么桌面防病毒技术?
一些行业分析人士认为这是一种传统杀毒检测和根除病毒、木马、间谍软件和其他有害代码的方法,通过匹配它的签名为“死亡”。
他们说,基于签名的检查跟不上犯罪团伙制造的大量病毒变种的速度,而这些病毒变种正在打败反病毒供应商在他们自己的游戏中。他们认为现在是公司采纳的时候了新方法,例如白名单或行为阻止,以保护桌面和服务器。
07年4月25日更新:McAfee、赛门铁克、趋势科技公布了他们的计划
波士顿赫维茨咨询公司(Hurwitz & Associates)合伙人罗宾•布卢尔(Robin Bloor)表示:“这是反病毒终结的开始。”他补充说,他在一年前就开始了“反病毒已死”的宣传活动,如今对此的看法更加强烈。“我要继续敲这个鼓。防病毒厂商采取的方法是完全错误的。那些试图向电脑用户释放这些病毒的犯罪分子正在测试反病毒软件。他们知道什么行得通,以及如何创造变体。”
最根本的问题“不是病毒,而是计算机上应该运行的东西,”布鲁尔说。
他说,用户应该投资于防止病毒运行的白名单软件,而不是杀毒软件,因为它只允许授权的应用程序运行。
白名单产品可从SecureWave, Bit9, Savant, AppSense和钙、在Bloor看来,这是第一家看到曙光的传统杀毒软件供应商。
其他人也加入了布卢尔的思维方式。去年12月,扬基集团(Yankee Group)的安全分析师安德鲁·贾奎斯(Andrew Jaquith)发表了一篇题为《反病毒已死:反恶意软件万岁》(Anti-Virus is Dead: Long Live Anti-Malware)的研究论文。Yankee Group的研究表明,恶意软件变种的累积量出现了“爆炸式”增长,预计在2007年将有22万个独特的变种,比2002年的水平增加了10倍。
贾奎斯说,防病毒厂商根本跟不上,一些防病毒实验室经理私下抱怨,这种病毒变种泛滥,迫使签名每10分钟就改变一次,加起来相当于对他们发起了拒绝服务攻击。
“大多数防病毒实验室的工作方式都是一样的;他们每天得到的样本比他们能处理的要多,”贾奎斯说。“他们根据严重程度进行分类。反病毒的人就像拿着渔网试图捕捉大鱼的人,所以如果你是一个坏人,你就会想成为一条小鱼,通过漂网。”
贾奎斯说,反病毒签名最好的一点是,“它们是准确的,假阳性非常低。”但写这篇“杀毒软件已死”的论文的目的是“打破所有人的幻想,即杀毒软件可以保护人们的安全,并解决恶意软件问题。”
贾奎斯表示,他对将行为阻断技术纳入Sana Security的Primary Response或Prevx的Prevx1非常感兴趣。
行为阻止反恶意软件通过观察行为来工作应用程序在记忆中运行,并阻止那些被认为是有害的。Sana Security的首席执行官唐·Listwin表示,Primary Response会查看226个被认为是不良行为的软件特征,并阻止试图执行的代码。
Listwin说:“我们起诉他们,把他们干掉。”但他承认可能存在误报,并补充说,反病毒扫描是Sana安全公司在行为阻断方面提供的“补充”。
并不是所有的分析人士都准备加入杀毒软件已死的行列。
Gartner分析师John Pescatore说:“桌面抗病毒软件当然仍然是必须的,尽管主要是作为移除工具。”他说,他的公司建议客户购买集成了主机入侵防御系统(IPS)的防病毒软件迈克菲,赛门铁克还有一些人已经开始添加IPS来阻止签名不存在的恶意软件。
葬礼什么时候举行?
如果杀毒软件死了,问题是什么时候举行葬礼。
贾奎斯的论文指出,“防病毒产品在企业预算中享有特权地位”,而“没有其他优势”安全产品的渗透率接近100%。”
据研究公司IDC估计,如今的杀毒软件市场在消费者方面占21亿美元,在企业方面占31亿美元。预计到2010年,这两个数字将分别增长到30亿美元和45亿美元。
虽然传统的杀毒软件供应商愿意承认有改进的余地,但当他们听到行业分析师宣称杀毒软件已死时,他们多少有些吃惊。
趋势科技(Trend Micro)网络安全服务集团总经理约翰•麦迪森(John Maddison)表示:“这有点激进。”该公司目前还没有采用白名单或行为屏蔽的计划。趋势科技正在进行一项创新,它称之为信誉服务,可以检查IP地址和电子邮件,以确定传入的代码是否来自信誉良好的来源。
麦迪森说:“如果你要求人们放弃杀毒软件,你会发现很少有人会这么做。”
许多公司的安全经理对此表示赞同。
道富银行负责企业信息安全的高级技术官员道格·斯威特曼(Doug Sweetman)表示:“我不会放弃我们基于签名的控制。”他补充道富银行拥有五家防病毒厂商的许可证,因为在谈判期间,竞争是有利的。但他补充称:“这是一种大宗商品。”
斯威特曼还表示,道富银行已经启动了“桌面封锁”,不允许未经授权的应用程序在员工电脑上运行。
保德信金融公司的信息安全主管凯西·拉金说,她不认为桌面杀毒软件已死的说法有说服力。“我认为反病毒是值得的,而且会存在很长一段时间。”
然而,当被问及改变病毒签名需要多快时,一些杀毒软件供应商承认这很棘手。
赛门铁克(Symantec)产品管理高级总监布莱恩•福斯特(Brian Foster)表示:“要扭转一个严重评级的签名需要两到四个小时。”他补充说,他不能说可能需要多长时间来做其他事情。福斯特说,赛门铁克跟踪的大多数反病毒恶意代码都是“有人对其进行了调整,改变了有效载荷”的变体。
虽然赛门铁克的杀毒软件可以通过启发式方法捕获和阻止变异,但需要一个签名来从机器中根除特定的变异代码。
福斯特说,赛门铁克正在通过将IPS等新技术融入其产品进行调整,并指出未来的防病毒产品将通过远不止基于签名的根除来发挥作用。
贾奎斯准备给予他认为应该给予的信任,他的论文引用了McAfee和赛门铁克作为传统的杀毒厂商,他们正在用包括行为阻止在内的附加技术来增强签名。
经历了
虽然大多数网络管理人员可能不愿意抛弃传统的杀毒软件,转而使用白名单或行为阻止等替代品,但有证据表明,一些人正在冒险尝试。
德克萨斯州山谷米尔斯市博斯克县第一国民银行的高级副总裁Brent Rickels说:“有一种想法,你仍然需要抗病毒,这是你应该有的东西。”“它已经存在很长时间了,但在这个快速变化的世界里已经不够用了。”
这家拥有约6000个客户账户的银行仍在使用基于网关的反病毒过滤,并限制员工上网,以降低下载恶意软件的风险。
但大约一年前,该银行放弃了赛门铁克(Symantec)桌面防病毒软件,转而选择SecureWave的Sanctuary桌面防病毒产品,瑞克斯说,该产品更便宜。
“它构建了一个允许运行的[动态链接库]文件的白名单,如果它没有授权该文件,它就不会运行,”Rickels说。在使用了一年多的时间后,他发现唯一的缺点是,调整Sanctuary软件以识别合适的银行应用程序或软件补丁更新需要花费管理时间微软。
但瑞克斯表示,这种权衡是值得的。“我们进行了这些训练,但我可以控制它与未知的病毒。基于签名的反病毒就像使用一个有洞的盾牌。”
了解更多关于这个主题的信息
新的恶意软件检测方法开始出现04/25/07
第三方软件产品的表现优于微软的OneCare03/09/07
供应商对易受攻击的应用程序发出警告06/21/06
威斯汀豪斯用行为阻断加强了安全10/03/05