传统的基于签名的检测病毒和其他恶意软件的方法越来越被视为一种防御不足鉴于攻击者大量生产病毒和间谍软件变种的速度之快。所有这一切都提出了一个问题:下一步是什么?
目前主导反病毒市场的三家安全厂商,迈克菲,赛门铁克和趋势科技他们表示无意放弃基于签名的防御,这种防御要求识别特定的恶意软件样本,创建匹配的签名,以检测和根除它。然而,这三大供应商承认,有必要加强这种已有几十年历史的方法,他们正在设计的一些新技术将在今年推出产品。
赛门铁克(Symantec)产品管理高级主管布莱恩•福斯特(Brian Foster)表示:“每个人都认为,基于签名的防御是不够的。”福斯特指出,这家安全公司每个月都会收到20万份潜在恶意软件的提交。“变种的数量正在增加。”
福斯特说,为了在计划于今年夏天发布的下一个企业防病毒版本中增强基于签名的检测,赛门铁克将包括基于策略的应用程序控制到软件组件级别的白名单技术。这个未来看恶意软件防护福斯特说,赛门铁克公司还将利用行为阻止技术,该技术承诺至少能够阻止某些恶意软件执行,使其“在该机器上处于冻结状态”。“我们战略的核心是,我们将改变游戏。”
安全创业公司需关注
与此同时,一些傲慢的初创企业表示,他们意识到多年前的恶意软件防御游戏已经发生了变化,现在他们正通过不同的方式挤进这个领域。
一个是SignaCert该软件可用于创建只允许特定应用程序和文件工作的白名单。
SignaCert主席兼首席执行官怀亚特•斯塔恩斯表示:“我们已经达到了传统签名收益递减的临界点。”
通过其企业信任服务器产品,SignaCert创建了直接从供应商获得的二进制软件版本的基于加密的签名,包括太阳,微软,IBM和英特尔.“因为你知道什么是好的代码,所以你不会让坏的代码运行,”Starnes说。
另一个渴望撼动旧秩序的新来者是机器人的天才这部电影将于4月30日正式上映。
“我们正在努力解决的问题是恶意软件,”斯蒂芬·许(Stephen Hsu)说,他是这家总部位于加州奥克兰的公司的联合创始人,该公司拥有10名员工和200万美元的风险投资。“传统的方法依赖于被动保护方法,只有在发现新的威胁后才对用户进行保护。”
相比之下,Hsu说:“我们正在开发一种新的安全客户端,它具有识别恶意软件的行为能力。我们有一个网络爬虫程序,可以查看网页,找到可执行的恶意软件,当你要做一些被认为不安全的事情时,我们会警告你,或阻止你。”
这款名为Spyberus的客户端软件使用一种基于驱动程序的过滤技术,像审计跟踪一样监控和跟踪系统中安装的所有文件。
Spyberus检测恶意软件,并使用采取控制功能来阻止恶意软件劫持的进程逆转恶意软件感染。
Robot Genius计划在5月初将Spyberus作为Windows XP和32位Vista的免费客户端推出。“Spyberus不能在64位Vista上运行,因为微软对内核进行了保护,”Hsu说。
Robot Genius计划在五月晚些时候发布一个免费的浏览器插件。Hsu补充说,他正在与一个“主要的搜索引擎”合作,他拒绝透露这个搜索引擎的名字,这个搜索引擎分享了它收集的网络抓取数据的子集,这样机器人天才就可以通过一个据说是很大程度上自动化的方法来识别有害的可执行文件。
Hsu表示,McAfee、赛门铁克和趋势科技,以及其他安全厂商,都在研究类似的恶意软件检测方法,他打算证明Robot Genius在这方面会做得更好。
“我们有他们的扫描引擎,最好的防病毒产品只能捕捉到我们检测到的恶意软件的60%,”许吹嘘道。
Robot Genius的战略要求将其技术授权给杀毒软件公司、网络防火墙供应商和搜索引擎,这些公司希望阻止网络恶意软件,这些恶意软件经常出现在网络游戏、屏幕保护程序、工具栏和网络上的小应用程序中。
一些搜索引擎已经开始采取积极措施防止恶意软件攻击用户。例如,谷歌是StopBadware.org联盟的支持者,去年,当搜索查询出现联盟引用的网站链接时,谷歌就开始警告用户有恶意软件“badware”的来源被认为对用户有害。
徐是俄勒冈大学(University of Oregon)的理论物理学教授,他早些时候成功地将自己创立的SafeWeb公司出售给了赛门铁克(Symantec)。要让大型安全厂商罢手可能并不容易。
“他们提出了一些有趣的技术,”Gartner研究总监彼得·弗斯特布鲁克说。“我们认为这是在‘安全网络网关’领域。”
Firstbrook说,大约有24个供应商,包括Websense,SurfControl和安全计算他们都设计了一些方法来检测或阻止通过url下载的恶意软件。他说:“防病毒厂商也在做一些事情,比如趋势科技(Trend Micro)的声誉服务。”
Firstbrook表示,Robot Genius拥有一些“现实的市场机遇”,但作为一家小型初创企业,它可能会“非常分散精力”。
趋势科技,McAfee制定计划
趋势科技互联网内容安全总监保罗·莫里亚蒂(Paul Moriarity)表示,该公司正在超越基于签名的防御,他说这种防御“有效用,但有一定的局限性”。
他说,趋势科技正在投资技术,根据桌面或服务器的流量模式来确定恶意软件。此外,趋势科技的研究人员越来越相信,只要让互联网用户远离域名存在不到5天的网站,就可以避免他们陷入基于网络的恶意软件。
Moriarity说:“一般来说,你应该对诞生不到5天的域名持怀疑态度。”含有恶意软件的网站通常是通过他所谓的“域名搜索”建立的,即免费注册一个域名五天,然后取消,然后重新注册为另一个实体。
莫里亚里说,他称赞机器人天才“采取了不同的方法来解决这个问题”,并指出“扫描互联网上的恶意软件是一个非常好的方法。”但他对Spyberus客户基于行为的检测是否可行表示怀疑。
Moriarity表示,在游戏行业,“有很多人都在谈论恶意软件的行为,但我认为这是一种虚假的傲慢。”
在McAfee,重点仍然是基于签名的检测,增强基于主机的入侵防御,这是添加到第八版McAfee杀毒产品。
“我理解为什么有些人会认为签名正在消亡,”McAfee的安全研究经理大卫·马库斯(David Marcus)说,并补充道,“但这又回到了没有真正理解签名是什么的人身上。”没有它们,一些清洁和维修工作就无法完成。”
McAfee每天能识别125到130种独特的新形式的恶意软件,并在短短两到四个小时内就能找出病毒特征。马库斯说:“这绝对是可以控制的。”