“殺毒軟件已死”不過是個笑話
責編:admin |2014-12-18 16:54:37“殺毒軟件已死”的說法已有數年,但殺毒軟件卻依然波瀾不驚地保護著各種計算機網絡和操作系統的安全。
賽門鐵克信息安全高級副總裁布萊恩·戴伊(Brian Dye)今年年初宣告,提供系統保護的殺毒軟件已經死亡。鑒于他在殺毒界的地位,這個斷論的確引起業界各方面的重視。
不過,盡管殺毒軟件的有效性近年來一直在不斷衰退,筆者認為對殺毒軟件進行死刑宣判還是不靠譜的。
當然,隨著惡意軟件復雜性的不斷增長,僅使用基于特征的殺毒軟件作系統保護,必定有些力不從心。目前幾乎有一半以上的威脅,殺毒軟件都阻止不了,而且領先的殺毒軟件企業也一直在引導人們,讓大家理解,僅僅安裝那些基于特征庫的殺毒軟件是不夠的。
今年六月,一份面向300名信息安全專業人士對殺毒軟件滿意度進行的一項調查顯示,85%的人都不相信殺毒軟件可以阻止針對特定目標的攻擊,比如高級持續性威脅(APT)和網絡釣魚。此外,殺毒軟件對于零日漏洞更是無可奈何。
但在當今威脅四伏的環境中,基于特征的殺毒軟件對于系統安全仍然做著重大的貢獻。如果你去任何一家到處部署著殺毒軟件的企業說,“殺毒軟件已死,把它們都從系統中刪除吧”,可以想像,有多少人會像殺毒軟件對待病毒一樣的對待你。
在系統保護中,阻止威脅只是防病毒工作的一部分。除了對病毒進行阻止,殺毒軟件還要對病毒進行清理,將它們從系統中清除。如果說當前殺毒軟件的架構和能力就是殺毒行業的未來,那肯定不對,但這與“殺毒軟件已死”是兩回事。
而且,將殺毒軟件限定為基于病毒庫的殺毒技術也是不全面的。實際上,現在的殺毒軟件應該說是具備了多種防護手段的,反惡意軟件的工具。而那些只基于特征庫來殺毒的防病毒軟件,在本世紀初就已經開始消亡了。
具有惡意軟件防御能力的殺毒軟件在企業中仍然并將繼續得到重用,其效用甚至和最新的在線防御平臺,如漏洞防御系統一樣強大。殺毒軟件廠商現在應該做的是提供一個完整的端到端解決方案,而本來只做漏洞防御系統的供應商反倒需要在他們的系統中添加惡意軟件檢測和修復功能。
說到這里,我們回過頭來再看看“殺毒軟件已死”的由來。早在2006年,某個調查機構發布了一份題為《殺毒軟件已死》的報告。該報告聲稱,殺毒軟件將被“使用白名單清除惡意軟件的工具所取代。”的確,白名單確實在某些環境中得到了有效的應用,但它也有著明顯的缺點。
對于某些可控的系統環境,如零售終端、工業制造和醫療系統等,白名單的確是一個不錯的解決方案。但在終端用戶環境中的時候,因為終端用戶會不斷地向他們的設備中添加應用程序,以至維護成本太高而最終無法持續。
簡而言之,對于服務器、數據中心,或可控的系統環境,白名單是一個非常好的解決方案,但對于使用傳統臺式機、筆記本電腦等終端設備的用戶,則面臨沒完沒了的名單維護問題,這是一個大麻煩。
針對殺毒軟件無法應對復雜威脅的批評并不是最近才有的。一些殺毒軟件本身就包含漏洞,實際上讓安裝了這些殺毒軟件的系統更容易受到攻擊。這是因為殺毒軟件的防病毒引擎通常都以系統的最高權限運行,這也意味著攻擊者可能使用的權限。而且為了處理所有的文件類型,殺毒軟件會調用文件格式解析器,而文件格式解析器又是一個可能的漏洞發源地。
但不管怎樣,殺毒軟件并不是批評者口中所說的那樣不堪。
殺毒軟件在過去五年里已經得到了進化并可以提供更多的防護。例如,殺毒軟件不僅增加了更多的啟發式功能,使它可以更有效地應對不明特征的威脅,而且也可以阻擋各種惡意軟件,如rootkit、遠程訪問木馬(RAT)、鍵盤記錄器、間諜軟件、廣告軟件、乃至“可能不必要的應用程序”。殺毒軟件甚至還可以保護用戶免受包括電子郵件、社交媒體和通過網絡傳播的文件等各種惡意軟件載體的威脅。
網絡攻擊在數量上和復雜性上將持續增長,殺毒軟件也將一直會是用戶和組織大型安全解決方案中應對網絡攻擊的的一個組成部分。
殺毒軟件不會死,死的是止步不前的技術,固步自封的思想。此為是。