|
|
|
 |
|
病毒靠“防”不靠“殺”
|
|
來源:軟件世界 2008-01-03 10:00:17
|
|
作者:盧敏 2007年的桌面安全領域稱得上風起云涌,天昏地暗。從春節前后的熊貓燒香,到電腦被放灰鴿子;從ANI漏洞到MSN的相片也會傳毒;從天才兒童小浩到U盤全面封殺;從rootkit到ARP病毒,讓大家知道了除了IP地址外還有個MAC地址…… 一時間各大安全廠商紛紛使出看家本領,針對各種病毒拿出了自己不同的解決方案,很多用戶發現惡意程序的快速傳播致使反病毒數據庫的更新升級總是落后一拍,而重大病毒、惡意軟件和流氓軟件、木馬等的侵入令防火墻和殺毒軟件也顯得無力且蒼白。 而我作為一個普通用戶,在又一次format了我的C盤后,我發誓再也不去上自己不熟悉的網站。但是在逛了某個安全社區后,我發現了一種新玩意,它在一小撮人群中流傳著,而且這一小撮人很少安裝其他安全軟件,更奇特的是他們居然很少重裝系統。這大大激發了我的好奇心,后來才知道原來這就是“主動防御”軟件。 那么,究竟什么才是主動防御,這是最新最完備的安全理念和趨勢、反病毒未來走向?還是安全廠商忽悠用戶的一個新“魚餌”?通過安全廠商的主動防御技術,我們真的能用今天的子彈打中明天的敵人? 什么才是真正的主動防御 主動防御不僅僅是一種技術、一種功能,它需要達到一系列的標準,才能被稱為“主動防御”。也正因為主動防御技術的這個特點,但是現在涉足主動防御領域的各家廠商對“主動防御”產品都有自己不同的看法。 趨勢科技 趨勢科技的安全專家建議企業從監控和強制兩個方面入手來尋求解決之道,跳出傳統的思維方式,站在網絡威脅的角度來重新審視企業級安全體系架構。 這里所說的監控,是指通過智能安全防護,實時準確地檢測已知和未知威脅并識別網絡威脅的來源,讓所有的網絡威脅清晰地完全暴露出來,以便于企業有的放矢地解決問題。通過這個解除網絡安全威脅的前提和基礎性環節,企業便能盡可能地防患于未然,并在第一時間找到問題的癥結所在。 賽門鐵克 主動防御技術是減少使用者判斷機會,同時具有局部封鎖威脅等功能。 主動防御在封鎖可疑威脅之余,會更重視使用者體驗,例如在遇到可疑威脅時能自行判斷、不去詢問使用者,且只封鎖有危害的程序代碼,而非整個網頁,讓威脅被阻擋之余,使用者仍能獲得所需信息。 Websense 所謂的主動防御,就是在用戶還沒有意識到之前,給予用戶更多的提示與建議,雖然需要有傳統的網絡防護方法的補充,但它“先察覺,先管理”的產品理念已經超越了單純的殺毒,能夠從各個角度全面的保護用戶的網絡安全才是安全廠商未來的發展方向。 通過采用ThreatSeeker技術每天對上億個網站進行內容的掃描與分析,及時將各類網站進行分類,并將可能含有惡意代碼的網址交由安全專家們進行分析,并通過實時安全升級方式使全球客戶立即可享有該分析結果。通過阻止客戶端訪問這些可能含有惡意代碼的網站,從而達到避免企業或個人的計算機受到病毒的侵害。 啟明星辰 從網絡信息安全的角度來說,主動防御是需要建立一個可信的通信機制或模型。真正的主動防御思路默認把所有信息看作不安全的,只有證明是安全的信息后才接收,主動防御和被動防御的出發點有著本質不同。 病毒廠家所指的“主動防御”,確切的說是對一類新技術的形容詞,利用虛擬機等技術發現更多未知病毒,比僅依賴特征查歷史病毒更加積極和主動。主動防御在安全設備中體現的層次不一樣,比如只有可信的網絡區域之間才能通信是通過防火墻實現,只有可信的操作才能被接受是通過網絡安全審計來監管,主要表現在產品如何確定可信的對象。而可信對象不會產生欺騙。 東方微點 主動防御軟件具有五大技術特點:包括創立動態仿真反病毒專家系統、自動準確判定新病毒、程序行為監控并舉、自動提取特征值實現多重防護、可視化顯示監控信息。 其核心思想是走出傳統特征值掃描技術的束縛,從病毒定義入手,模擬反病毒專家人工識別病毒的方法,根據程序的行為直接判斷其是否是病毒。“主動防御”并不是一個抽象的概念,它是以自動識別病毒、明確報出病毒、自動清除病毒為三個最基本目標。這也是任何一種反病毒技術所必須達到的目標,所不同的是傳統的特征值掃描技術只能識別已知病毒,而主動防御技術能夠識別未知病毒。 綠盟 傳統的類似于防火墻或者反XX類軟件(如反病毒、反垃圾郵件、反間諜軟件等),都是屬于被動型或者說是反應型安全措施。在攻擊到來時,這類軟件都會產生相應的對抗動作,即使這些產品宣傳具備主動防御能力,其實都是利用一些預先設定的規則來檢查或是抵御攻擊。 一個具有主動性的網絡安全模型是以一個良好的安全策略為起點的。之后你需要確保這個安全策略可以被徹底貫徹執行。最后,由于移動辦公用戶的存在,你的企業和網絡經常處在變化中,你需要時刻比那些黑客、蠕蟲、惡意員工以及各種互聯網罪犯提前行動。要做到先行一步,你應該時刻具有主動性的眼光并在第一時刻更新的你安全策略,同時你要確保系統已經安裝了足夠的防護產品,來阻止黑客的各種進攻嘗試。雖然安全性永遠都不是百分之百的,但這樣做足可以使你處于優勢地位。 在實現客戶安全過程中,以安全咨詢和設計為主導,形成統一的安全策略之后,再考慮部署安全策略所需的安全產品,同時通過技術和管理手段保證安全策略能夠得到堅決的貫徹,這才是真正的主動防御。 江民 “主動防御”產品應該是一種系統級的病毒行為監控,它不僅僅是對注冊表的監控,更包括對各種病毒行為的準確判斷,如病毒的自動運行、寫入程序、系統鉤子、向外發送數據等等。 更廣泛意義的主動防御還指是否能夠提前主動為用戶實施安全防范措施,如系統漏洞自動修復、BOOTSCAN(系統啟動前殺毒)、網頁防木馬墻、隱私信息保護等等,都是主動防御的體現。 金山毒霸 主動防御要實現整體預防未知威脅,需要多組功能協調完成。比如,我們提出的主動升級和主動漏洞修補,也應該是主動防御體系的一部分。現在,被炒得很熱的主動防御概念,只是行為識別這一個方面。 比如,有的廠商,已經把漏洞掃描、注冊表關鍵鍵值的保護,已經視為主動防御。對系統進程的保護,未知應用程序的行為攔截,這些技術的應用,某種程度上可以起到攔截新病毒的作用。但是,也有一些負面的作用。這攔截過程中,會發現較多的人機交互界面,既然是交互,就可能出現誤操作。很可能把風險程序放行,而把正常程序加以攔截。現有的具備行為攔截功能的產品,還沒有很好的解決對程序的智能判斷功能。頻繁的報警信息,肯定會降低用戶使用計算機的體驗。有關的攔截提示信息,令普通計算機用戶難以理解,從而增加操作失誤的幾率。 用戶理想中的主動防御,是能夠實現自動判斷,而不是頻繁的跳出一個選擇框。 用戶為何需要主動防御 用戶需要主動防御,通常是無法接受任何的不安全事件,安全比應用的優先級更高。是用戶對安全需求進一步提升的體現。 現在計算機病毒頻繁變種,傳統病毒庫升級技術存在必然的缺陷。相對于新病毒,傳統病毒特征碼技術必然需要先截獲病毒再升級病毒庫,雖然現在反病毒廠商的反應機制足夠快,但從截獲到用戶升級到最新病毒庫必然存在一個時間差,這還不包括許多因為互聯互通的問題導致無法及時升級的因素。 病毒數量在正在呈爆炸式的增長,病毒更是變種層出不窮,再加上網上越來越多的所謂“免殺”病毒的出現,僅僅依靠快速升級病毒庫的方法并不能徹底根治。電腦用戶更需要一種能防范于未然的方法,一種能夠在未升級病毒庫的情況下也可以有效防范和處理病毒的技術和產品。 面對市場上的形形色色“主動防御”產品,記者認為可自動識別、明確報出未知病毒并自動清除才是真正的“主動防御”產品。似是而非、含糊不清的監控報警系統,肯定不是用戶需要的“主動防御”產品。用戶購買反病毒產品的目的就是需要它自動分析文件或程序究竟是不是病毒,如果是病毒應自動清除。如果反病毒產品不能解決這個問題,反而要用戶自己判斷、自己回答,那用戶購買這樣的“主動防御”產品有什么用? 主動防御未來趨勢 未來幾年主動防御市場會出現更多比以往防御更積極的技術,但隨著不安全的事件比例增加,和各種應用的成熟與規范化,真正實現主動防御不在于識別不安全的信息如何發展,而在于如何準確的識別安全的信息,除了安全的信息之外的其他信息都是不可信的、不安全的。只有這樣才是真正意義上的主動防御。但相當長的事件主動防御的思路和被動防御的思路是相互補充、長期共存的。 安全隱患的加重和人們風險意識的提升使得主動防御的需求飛速增長,基于快速反應技術的反病毒保護要求也越來越高。 作為反病毒廠商,從主動防御方向上面的努力,是值得歡迎的,畢竟能夠為用戶帶來更安全的產品。但對于作為用戶的您來講,對于正在快速成長并充滿各種嘗試想象的安全廠商,一定保持好您的信任尺度,如果您不相信它們,不行,畢竟它們在保護您的安全;如果您過于信任它們,也不行,任何安全技術都不是包治百病的,如何選擇他們,還是看功效。 12日 在瑞星、江民和金山幾個正版付費殺毒軟件中比對后,我個人喜歡江民。 江民價格便宜量又足;瑞星最貴但給我的感覺是花冤枉錢;金山在系統中毒提醒方面做的很出色。 前天看到微點這個東西,下載試用中。 13日 在一臺健康的電腦上有意下載游戲外掛、免費商業軟件等疑帶病毒的程序,在解壓或安裝過程中,微點即提示發現木馬或病毒,提醒刪除該文件。刪除后不留尾巴,系統無任何不良反應。 今天正巧遇上一臺裝有瑞星正版殺毒軟件的機子,開機提示兩個DLL文件找不到,根據經驗感覺應是瑞星殺毒后殘留有尾巴。也就是說某進程試圖調用這兩個文件,卻找不到這兩個文件。聽說瑞星與微點會有沖突,卸載瑞星后安裝微點90天試用版。 開機仍然提示這兩個文件找不到,微點報出兩個Torjar Downloader類型木馬,提示刪除該文件。執行刪除操作重啟仍有相同提示。 目前感覺微點在主動防御方面還是有一定優勢,但對一個染毒平臺的殺滅能力還是不夠強大。 14日 進一步用360安全衛士來驗證微點主動防御軟件,在360安全衛士中有一項功能叫“查殺流行木馬”。盡管我的這臺家用電腦在使用中并無異狀,以前用江民的時候全盤查殺也沒有發現病毒,我還是選擇了“全盤掃描”,發現每個盤的根目錄下都有一個名為setup.exe的隱藏文件,安全衛士判定為W32.Mumawow.F這一類。我這才想起,它們應該是伴隨autrun.inf進來的?以前autorun.inf被江民殺掉了,卻把setup.exe這個尸體留在了我的電腦里? 出于對微點主動防御功能的好奇,我并沒有直接用安全衛士查殺,而是雙擊setup.exe。這時微點動作了,提示我是否刪除。當然要刪啦! 但是微點沒有對文件的掃描功能,希望把這種主動防御性的軟件,與傳統的殺軟結合起來。 蜜罐技術發展歷程 從蜜罐被提出到現在,欺騙技術經歷了從簡單到復雜、從單用途到多用途的三個發展過程: (1)Sacrificial Lambs 發展初期的蜜罐。主要具有數據捕獲功能,是一臺用于被未授權訪問、被攻擊的目標主機,提供整個操作系統與攻擊者交互,安裝監控軟件用于全方位地記錄入侵行為。該蜜罐相對容易配置,能搜集整個主機上的入侵信息。但由于缺乏有效的數據控制,系統很容易被攻擊者作為跳板去危害其他系統,具有較大的危險性。 (2)Facades 針對Sacrificial Lambs的高交互、高危險,Facades只提供應用層上的網絡服務,并模擬一些漏洞作為誘餌,降低系統與攻擊者的交互程度,從而降低了危險性。目前已有該類蜜罐被作為產品與傳統安全產品進行捆綁銷售,此時的蜜罐具有數據捕獲和網絡服務模擬功能。但其缺點在于低交互性所帶來低信息捕獲量,而且網絡服務模擬的逼真程度一直是設計難點,一旦服務模擬失敗而被攻擊者發現,將會帶來意想不到的后果。 (3)Instrumented Systems 作為該時期蜜罐的典型——蜜網(Honeynet) ,有機集成了多個蜜罐系統。根據目的和功能不同,這些蜜罐可以是Sacrificial Lambs,也可以是Facades,同時具有網絡服務模擬、數據捕獲、數據控制多個功能,因此它同時具備了高交互性和安全性。但由于有多個蜜罐和其他輔助設備,導致了蜜網難以部署、管理和維護。 |
