|
|
|
 |
|
計算機世界:殺毒軟件還有戲嗎?
|
|
來源:計世網 2008-06-10 13:49:47
|
|
反病毒軟件讓Greg Shipley覺得很可笑。“基于病毒特征的反病毒公司與病毒編寫者之間的那種關系簡直讓人發笑。一方發布了某個病毒,另一方趕緊應對,雙方來回較量。這種可笑的競賽沒完沒了。”
反病毒行業遭遇困境? 可問題是,他又該何去何從呢?反病毒行業仿照了人體的免疫系統,對于病毒之類的內容貼上標簽,那樣一旦再次看到這同一個標簽(即病毒特征),就知道要加以處理。基于病毒特征的反病毒軟件已有了長足發展,并不僅限于那種簡單的特征使用。最新的反病毒軟件比較復雜,主導了安全軟件市場,盡管存在一些明顯的局限性: 比如無法用來阻止數據泄漏,而許多種類的惡意軟件目的在于從公司竊取數據。安全軟件公司F-Secure在2007年跟蹤到的惡意軟件特征的數量翻了一番,并且其在2007年發現的特征數量兩倍于之前20年發現的特征總數。
早在2007年之前,除了Shipley外就有許多人認為: 反病毒行業遇到了困境。其實早在2006年,Hurwitz & Associates公司的分析師Robin Bloor就撰寫了一份題為《反病毒軟件已死亡》的報告。他認為,惡意軟件之所以會存在,完全是因為市面上存在反病毒軟件; 反病毒軟件注定要被幾種新軟件所取代,他稱這些新軟件為應用程序控制,即軟件驗證工具。這類工具可把我們使用的軟件加入白名單,在未經用戶明確允許的情況下,不會運行其他任何軟件。 反病毒公司認為聲稱他們死亡的說法夸大其辭,連那些不是過于依賴病毒特征的公司如BitDefender也表示,自己發現的惡意軟件當中只有20%是借助基于病毒特征的技術發現的。 這家羅馬尼亞公司的首席技術官Bogdan Dumitru說: “病毒特征沒有死亡,你需要它們。”該公司利用行為定向技術來阻止其他攻擊。它的主要研究重點放在開發“撤消”特性上,這項功能有望讓受到惡意軟件攻擊的用戶可以撤消惡意軟件所造成的影響。BitDefender希望能在2008年下半年發布這項特性。 與此同時,Bit9(Bloor的報告中著重提到的應用程序白名單技術公司)使用反病毒軟件來幫助構建,目前包括22種反病毒軟件。2007年11月,該公司宣布了一筆交易,允許安全軟件生產商卡巴斯基使用該數據庫。Bit9的工作人員表示,該數據庫將幫助卡巴斯基查看新的特征,從而限制誤報數量。 盡管Bloor聲稱反病毒軟件已死亡,但反病毒軟件生產商仍在銷售價值數十億美元的軟件,這也是事實。不過Bloor表示“使用病毒特征來保護個人電腦的技術如今日漸式微”,并且報出了提供軟件驗證工具的一系列白名單技術公司: 不但包括Bit9,還包括Lumension(前身為SecureWave)、Savant Protection、冠群和AppSense等公司。他還強調了Bit9與卡巴斯基的交易以及公司利用白名單技術來保護iPhone蘋果。 白名單技術不是惟一
反病毒軟件自有其用途。如果系統果真遭到了惡意軟件的感覺。“用反病毒軟件來清除惡意軟件也許最方便。”反病毒信息交換網絡Avien的管理員David Harley說。他補充說: “目前,白名單技術確實似乎被追捧為是近期流行的靈丹妙藥。我認為,拼命尋求解決方案的那種做法,放棄一部分成功的解決方案,改而尋求其他某種解決方案,希望從而消除問題,這其實是外行人的看法。” Harley之所以發表這番高見,是因為他懷疑這樣的論調: 某種技術方案是萬無一失的解決方案,能解決100%的安全問題。他寫道,白名單技術可能是對付惡意軟件的一項補充技術,但只是已得到采用的一系列較新技術中的一員,這些較新技術包括啟發式分析、沙盒機制和行為監控等。 公司的首席信息安全官們肯定沒指望會有這樣一種方案來解決自己的問題。德國西德意志銀行美洲區的信息安全主管Ken Pfeil說: “如果你單單依靠病毒特征來確保安全,可以說你必死無疑。”Pfeil認為,病毒特征很有用,其公司就在使用。不過出現新的惡意軟件時,他常常發現自個試著剖析惡意軟件、了解潛在影響要比等廠商提供軟件更新更迅速。該公司還采用了利用啟發式分析和異常測試等技術的工具,為反病毒方法增強功能。 這種軟件分層方案順應了弗雷斯特研究公司的分析師Natalie Lambert所認為的市場發展方向。她表示,基于特征的反病毒軟件是安全軟件以及像啟發式信息處理系統(HIPS)這些技術的“基本要素”。HIPS能查找軟件的可疑行為,比如臨時文件夾中的某個應用程序自行打開等舉動。 Lambert 說,邁克菲公司在使用HIPS方面是幾大反病毒軟件生產商當中走得最遠的。它花在通過收購公司來添加新功能上的時間比競爭對手更多。 這些技術的缺點在于,沒有哪項技術與基于病毒特征的傳統反病毒軟件一樣簡單、誘人。她稱反病毒軟件為“設置好后不用管”的技術。她強調,HIPS技術很難管理,也根本不如傳統模式簡單,不過它預計這些新技術會越來越容易使用。 Neohapsis公司的Shipley認為,這些技術其實毫無新意。 他舉例說,邁克菲在四年多前就收購了Entercept。但“它能起到什么樣的作用、能阻止多少比例的惡意軟件,對此我毫無頭緒。”Shipley表示,他計劃買來Bit9的技術,看看能否真正取代他目前使用的反病毒軟件。 反病毒公司一致認為,反病毒軟件在變得不同。比方說,Sophos公司為基于病毒特征的反病毒軟件添加了幾個附件。Sophos可分析程序行為—程序在運行時對系統配置和文件等部分進行的改動。該公司還內置了預先執行算法,這種預測機制可以模擬不熟悉的代碼可能進行的操作。美國Sophos Labs的經理Richard Wang說,雖然病毒特征易于創建,但預先執行代碼這類東西比較難創建,因而要花更多的時間。不過得到的回報是,它能對付惡意軟件的多種變種。他說,Sophos只為Storm創建了一種特征,但能夠識別這種蠕蟲的所有變種。Wang把這項技術稱為“簡直就像是廣譜抗生素。蠕蟲事情遠沒有這么簡單。
值得關注的是,每個兒童一臺筆記本電腦基金會(OLPC)是考慮使用新反病毒技術的另一個組織。它推出的XO使用了專為這款簡易電腦開發的Bitfrost規范。OLPC聲稱,系統“比目前市場上的任何主流系統都要安全得多,并且提供了實用得多的安全功能”。 OLPC XO采用了鎖定的默認模式(不過用戶很容易開啟鎖定設置)。Bitfrost規范使用了一系列內置保護機制,比如針對應用程序的沙盒或者程序分區; 另外采用了系統級保護機制,可防止代碼進行改動,以避免帶來破壞。 Bitfrost會不會適用于公司環境,或者會不會在OLPC項目之外得到商用,這還不清楚。不過至少Avien的Harley認為: 反病毒軟件不可能消失,這有心理上的原因。 他說: “一種解決方案能夠切實阻止威脅,又不妨礙沒有惡意的對象和進程,這種想法非常誘人。人們喜歡針對特定威脅的軟件這種想法,只要它能發現所有進來的惡意軟件,又不會引發任何誤報,因為那樣人們只要安裝,以后就不用管它。遺憾的是,這是無法實現的夢想。” |
