賽門鐵克用戶大會上 分析師預言防毒軟體將死

記者馬培治／拉斯維加斯報導　　14/06/2007
友善列印 Email文章給朋友 儲存文章

面對分析師提出防毒軟體將死的預測，賽門鐵克不表認同，表示防毒軟體仍將十分重要。只不過前者不再是唯一的資安解決之道。

研究機構Yankee Group法規遵循、安全暨風險管理研究經理Andrew Jaquith今(13)在賽門鐵克VISION 2007用戶大會上表示，在資安威脅形式由電腦病毒(virus)為主，轉向由惡意程式(malware)主宰的情況下，過去採用特徵 (signature-based)來辨識病毒的防毒軟體，已無法有效率處理每天成百上千的新增惡意程式，「在不久的將來，防毒軟體將會死去，變得無用，」Jaquith說。

全球最大的防毒軟體公司賽門鐵克則急忙消毒。

該公司端點安全產品管理部資深主任Brian Foster表示，雖然資安威脅形式的確有很大改變，但不代表防毒軟體多年來所採用的特徵比對手法勢必將要消失。他以汽車業的安全演進為例解釋道，安全氣囊的出現與普及，並未讓安全帶就此從汽車上消失，他認為防毒軟體仍然很重要，「但在那之外，我們需要更多其他的安全機制，如防惡意程式軟體、行為分析辨識等機制，才能真正確保安全性，」Foster說。

Foster以賽門鐵克今天發表的新版端點產品Symantec Endpoint Security 11.0（開發代號Hamlet）解釋道，為因應新種攻擊，該產品便加入了行為分析技術，監視應用程式的異常行為，同時也包含該公司新研發的SONAR (Symantec Online Network for Advance Reponse)技術用以監測網路層的異常流量與溝通行為，藉由主動發現、攔阻，來減低等待新病毒特徵碼時的安全風險。

行為分析辨識亦早已是資安廠商近年來普遍研發、採用，以對付新種與變種攻擊的技術，包括趨勢科技、McAfee、卡巴斯基、CA等，都在其產品中加入了類似技術。

不過自動化的行為分析辨識並非僅有好的一面。Jaquith就表示，在非特徵比對的情況下，便容易出現誤判(false positive)，反而會阻礙使用者電腦的正常運作。

「這其實非常兩難，」Jaquith說，廠商雖然不斷嘗試加強技術，達到既避免誤判，又可真正對抗威脅的目標。但他表示，在惡意程式大量增多、變種又不停出現的情況下，過去找到病毒再刪除的方法已不管用，「資安環境就好像愛滋病毒(HIV)一樣，你沒辦法殺光它，但我們卻可以設法和它合平共處，」他說。

「在威脅形式轉變下，資安廠商必須設法改變其對抗病毒的方法，」Jaquith說。

http://taiwan.cnet.com/news/software/0,2000064574,20119270,00.htm