桌面反病毒走向“末日”?

隨著新型病毒的流行,傳統的桌面反病毒技術已經遭到了嚴重的挑戰。業內分析人士指出,白名單、行為阻斷技術將成為未來反病毒技術的趨勢。

桌面殺毒的喪鐘?

近期美國有行業分析師聲稱,靠對比特征來檢測和刪除病毒、木馬、間諜件以及其他有害代碼的傳統殺毒方法“行將就木”。

他們說,基於特征的檢測,跟不上以殺毒廠商之道還治殺毒廠商之身的地下犯罪分子製造的病毒變種洪流。他們認為,現在是公司采用更新方法的時候了。如采用白名單或行為阻斷來保護桌面機和服務器。

波士頓咨詢機構Hurwitz & Associates合伙人Robin Bloor說︰“這是傳統殺毒末日的開始。”他在一年前就開始了“殺毒死了”的宣傳活動,並且現在更加相信這點。他說︰“我要繼續宣傳這一觀點。反病毒廠商采取的作法完全是錯誤的。發布這些針對計算機用戶病毒的犯罪分子也在測試殺毒軟件。他們知道什么有效,如何製造變種。”

Bloor說,“根本問題是與病毒無關,而是涉及什么應當在計算機上運行。”他說,用戶應當投資購買阻止病毒運行的白名單軟件,而非殺毒軟件,因為前者只允許授權的應用運行。Bloor認為,來自SecureWave、Bit9、Savant、AppSense和傳統殺毒廠商CA的白名單產品即將面世。

其他一些人也贊同Bloor的觀點。Yankee Group高級分析師Andrew Jaquith去年12月發表了一篇題為“殺毒死了︰防惡意件萬歲”的研究文章。Yankee Group的研究表明,累積的惡意件變種的數量呈“爆炸式增長”,2007年預計將有22萬個不同變種,是2002年的3倍。

Jaquith說,反病毒廠商根本不可能保持同步。他指出,一些病毒試驗室經理私下抱怨說,這股迫使病毒特征每隔10分鐘就發生變化的病毒變種洪流,匯集起來與針對他們的拒絕服務攻擊無二樣。

Jaquith說︰“多數病毒試驗室以同樣的方式工作──他們每天收到超出他們能夠處理數量的病毒樣本。他們根據病毒的嚴重程度決定先分析哪些病毒。殺毒人員就像拿著魚網想抓大魚的家伙,因此,如果你是個壞人,你就會變成一條小魚,從網眼中鑽出去。”

Jaquith說,對殺毒特征最高的要求是“它們的準確性,誤報要非常低。”不過,撰寫《殺毒死了︰防惡意件萬歲》文章的目的是,“戳穿各家廠商吹出的安全泡泡,打消他們將解決你的惡意件問題的幻想。”

Jaquith說他非常看好Sana Security的Primary Response或Prevx的Prevx1中的行為阻斷技術。行為阻斷反惡意件軟件通過觀察運行在內存中的應用行為來阻止那些被認為有害的行為,從而起到阻止惡意件的作用。Sana Security公司CEO Don Listwin說,Primary Response分析226種被認為是不良行為的軟件特征並阻止試圖執行的代碼。

Listwin說︰“我們起訴它們,將它們抓出來。”不過,他承認會出現誤報,並補充說殺毒掃描是對Sana Security行為阻斷功能的補充。

並不是所有的分析師同意“殺毒死了”的說法。Gartner分析師John Pescatore說︰“運行在桌面上的殺毒軟件肯定仍是必須裝備的工具,雖然主要作為一種刪除工具。”他說,他的公司建議客戶購買與某些基於主機的入侵防御系統(IPS)集成的殺毒軟件。他指出McAfee、Symantec和其他廠商已經開始添加IPS來阻止不存在特征的惡意件。

葬禮何時舉行?

如果殺毒產品死了,那問題就變成為何時舉行葬禮。Jaquith的文章指出,“殺毒產品在企業預算中享有特權地位,沒有其他任何一種安全產品具有近100%的滲透率。”

研究機構IDC估計,目前,殺毒市場的消費者細分規模為21億美元,企業細分規模為31億美元。這兩個細分的規模預計到2010年將分別增長到30億美元和45億美元。

盡管傳統殺毒廠商愿意承認殺毒產品存在改進的余地,但聽到業界分析師宣稱殺毒死了的時候仍嚇了一跳。

趨勢科技公司網絡安全服務部總經理John Maddison說︰“這有點太夸張了。”趨勢科技不打算馬上采用白名單或行為阻斷技術。該廠商正在利用它稱之為聲譽服務的技術進行創新,利用這種技術檢查IP地址和電子郵件來確定輸入的代碼是否源於受尊敬的來源。Maddison說︰“如果你要求人們放棄殺毒產品,你會發現沒有什么人愿意這樣做。”

許多企業安全經理就是如此。State Street公司企業信息安全高級技術官Doug Sweetman說︰“我不會放棄對我們的基於特征的控製。”他補充說,State Street擁有5家殺毒廠商的許可証,因為在談判過程中競爭是有好處的。但他又補充說︰“它是個普通商品。”

Sweetman還說State Street已著手實施“桌面鎖定”。“桌面鎖定”不允許在僱員計算機運行非授權應用程序。

Prudential Financial公司信息安全主管Kathy Larkin說,她認為那種桌面殺毒死了的觀點沒有說服力。“我認為,殺毒產品是有價值的,將長期存在下去。”然而,當問及一些殺毒廠商更新病毒特征的速度會有多快時,他們稱這十分微妙。

Symantec公司產品管理高級經理Brian Foster說︰“更新嚴重級別的特征需要2到4個小時。”他補充說,他不敢說其他級別的特征需要多少時間。Foster說,“Symantec跟蹤的絕大多數惡意代碼是“被人改造了的,改變有效載荷”的變種。

盡管Symantec的殺毒軟件可以利用啟發方式捕獲和阻止病毒變種,但是從機器中清除特定變種代碼則需要病毒特征。

Foster說,Symantec將通過把IPS等新技術集成到產品中來應對。他指出,未來的殺毒產品采用基於特征的清除之外的技術清除病毒。

Jaquith在他認為該表揚的地方隨時準備加以贊揚,他的文章將McAfee和Symantec列為利用包括行為阻斷在內的輔助技術加強基於特征的殺毒的傳統殺毒廠商。

冒險嘗試

盡管多數網絡經理可能不愿放棄傳統的殺毒軟件,采用白名單或行為阻斷等其他技術,但有証據顯示,一些經理開始冒險嘗試。

德克薩斯州Valley Mills市Bosque縣First National Bank高級副總裁說︰“現在有一種觀點認為你仍需要殺毒產品,它是你應當擁有的東西。這種觀點流行了很長時間,但它在這個飛速變化的世界中不再適用了。”

這家擁有大約6000個客戶賬戶的銀行仍使用基於網關的防毒過濾,並限製僱員上網沖浪,以減少下載惡意件的風險。

不過,這家銀行大約一年前放棄了Symantec桌面殺毒產品,轉而采用SecureWave的Sanctuary桌面產品。Rickels說后者更便宜。

Rickels說︰“它構建允許運行的動態連接庫文件的白名單,如果它沒有授權這個文件,就不會運行它。”經過一年多的使用,他發現,唯一的缺點是需要管理人員花時間調整Sanctuary軟件來識別專有銀行應用或來自Microsoft的軟件補丁更新。

但是,Rickels說這種取舍是值得的。“我們花時間進行這些調整,但我可以控製它對付未知病毒。基於特征的殺毒就像是使用一個上面有很多窟窿的盾牌。”(美國《Network World》供CNW專稿)


http://www.netchina.com.cn/users/0/142.html