“防毒軟體已死”言過其實

　　關於“防毒軟體已死”的預言說了多少年，防毒軟體卻依然持續保護著系統安全和網路安全。

　　賽門鐵克（Symantec）資訊保安高階副總裁布萊恩·戴伊（Brian Dye）今年年初宣告，提供系統保護的防毒軟體已經死亡，此言一出，立刻了引起了軒然大波。然而，儘管防毒軟體的有效性近年來一直在不斷衰退，還是有安全專家認為，由這位幾乎可以與防毒軟體齊名的公司高管對防毒軟體進行死刑宣判還為時尚早。

　　當然，隨著惡意軟體複雜性的不斷增長，僅使用基於特徵的防毒軟體作為系統保護，必定是力不從心的。“一半以上的威脅，我們的防毒軟體都阻止不了，”賽門鐵克產品營銷副總裁錢德拉·蘭根（Chandra Rangan）說。“我們一直試圖在引導人們，告訴他們說，如果只有基於特徵的防毒軟體是不夠的。”

　　在當今威脅四伏的環境中，基於特徵的防毒軟體本身雖然並不能提供足夠的保護，但它對於系統安全仍然做著重大的貢獻。“如果你去任何一家財富1000強企業，說‘防毒軟體已死，把它們都從系統中刪除吧’，你一定會被很多的安全專員嘲笑的，”英特爾安全公司（原邁克菲McAfee）首席技術策略師布萊恩·凱尼恩（Brian Kenyon）表示。“事實上，即使是現在的這種形式，防毒軟體也是可以阻止很多病毒的。”

• “事實上，即使是現在的這種形式，防毒軟體也是可以阻止很多病毒的。”
  ——英特爾安全公司首席技術策略師布萊恩·凱尼恩

　　凱尼恩接著說，在系統保護中，阻止威脅只是防病毒工作的一部分。“除了對病毒進行阻止，防毒軟體還要對病毒進行清理，將它們從系統中清除。但是，如果你問‘當前防毒軟體的架構和能力就是我們行業的未來嗎’，我肯定會說，當然不是，但我並不認為防毒軟體已死。”

　　將防毒軟體的定義限定為基於特徵的防病毒軟體對於防毒技術而言可能是不公正的。“防毒軟體不是依據是否基於特徵定義的，而是依據可以防止的惡意軟體定義的，”獨立測試服務機構NSS實驗室研究主管蘭迪·艾布拉姆斯（Randy Abrams）說。“只基於特徵，並且只有防毒能力的防毒軟體，從上個世紀九十年代確實就已經死了。”

　　具有惡意軟體防禦能力的防毒軟體在企業中依然持續有效，甚至和最新的線上防禦平臺，如漏洞防禦系統（BDS）一樣強大。“漏洞防禦系統是用來快速檢測和控制每個企業已經遭遇或即將遭遇到的安全漏洞的，”艾布拉姆斯解釋說。最初的漏洞防禦系統產品就是這樣設計的，它還需要IT工作人員對發現的問題進行清理。“於是防毒軟體供應商開始抓住機會，提供一個完整的端到端解決方案，結果就是，本來只做漏洞防禦系統的供應商不得不在他們的系統中新增惡意軟體檢測和修復功能。”

　　宣告防毒軟體已死早就不是什麼新鮮事了。比如早在2006年，Hurwitz & Associates機構就釋出了一份題為《防毒軟體已死》的報告。分析師羅賓·布盧爾（Robin Bloor）在報告中堅稱，防毒軟體將被利用白名單從運算場景清除惡意軟體的工具所取代。如今，白名單確實在某些環境中得到了有效的利用，但它也有它的缺點。

　“對於控制環境，如零售POS系統、製造系統和衛生系統等，白清單確實是一個偉大的解決方案，”凱尼恩說。“你可以說什麼應用程式執行良好，並且白名單之外的任何東西都無法執行，所以惡意軟體根本無法存活。”但將白名單引入到消費者或企業終端使用者環境中時，它的維護成本是難以承擔的，因為終端使用者會不斷地向他們的裝置中新增應用程式。“這就是為什麼我們還沒有在使用者環境中看到大量的白名單。對於伺服器，對於資料中心，對於控制零售環境，這是一套偉大的方案，但對於傳統的桌上型電腦和膝上型電腦，這會是一個挑戰，”凱尼恩補充道。

　　就像啟示錄的預言那樣，防毒軟體的反對者還會繼續預言防毒技術的末日。終端安全提供商Bromium聯合創始人兼執行長高拉夫·班加（Gaurav Banga）說:“布萊恩·戴伊是對的，防毒軟體確實已經死了。”班加引用了其公司在六月份面向300名資訊保安專業人士對防毒軟體滿意度進行的一項調查，資料顯示，佔85%的大多數專業人士都不相信，防毒軟體可以阻止針對特定目標的攻擊，比如高階持續性威脅（APT）和網路釣魚，而這些攻擊在當前威脅環境中佔絕大部分。

　　此外，防毒軟體對於多型攻擊和零日漏洞攻擊也是無效的，這些同樣是攻擊者慣用的手段。這些都是在基於特徵的防毒軟體動作之前就對系統進行劫持的立竿見影的攻擊方法。“安全研究人員要檢測到新的威脅並寫入新的特徵往往需要幾天的時間，這就給了多型攻擊完全足夠的時間來變更它的程式碼，”班加說。“當高階攻擊分分鐘就可以完事的同時，基於特徵的防毒軟體要檢測到這些攻擊卻還需要幾天的時間。”

　　針對防毒軟體無法應對複雜威脅的批評並不是最近才有的。七月，新加坡COSEINC安全諮詢機構的一名研究員稱，許多防毒軟體本身就包含漏洞，實際上讓安裝了這些防毒軟體的系統更容易受到攻擊。研究員Joxean Koret解釋說，防毒軟體的防病毒引擎通常都以系統的最高許可權執行。在防病毒引擎中利用漏洞將為攻擊者提供root許可權或系統訪問許可權。這種攻擊的攻擊面會非常大，因為這種攻擊必須支援檔案格式的長列表。而要處理所有的檔案型別，防毒軟體就會使用檔案格式解析器，而檔案格式解析器通常都會有漏洞。

　　不過，班加指出,“防毒軟體或許會繼續為那些通常沒有多少健壯保護需求的消費者或善於管理更多功能產品的消費者提供服務。但是，”他補充道,“有安全意識的組織已經開始從防毒軟體解決方案中過渡出來了。”

　　當然，還是有人堅信，防毒軟體並不像批評者說的那樣無能。思科系統安全業務集團的一名威脅研究員詹森·舒爾茨（Jaeson Schultz）稱，防毒軟體在過去五年裡已經得到了演變並可以提供更多的防護。防毒軟體不僅增加了更多的啟發式功能，使它可以更有效地應對不明特徵的威脅，而且也可以阻擋各種惡意軟體，如rootkit、遠端訪問木馬（RAT）、鍵盤記錄器、間諜軟體、廣告軟體、乃至“可能不必要的應用程式”。防毒軟體甚至還可以保護使用者免受包括電子郵件、社交媒體和通過網路傳播的檔案等各種惡意軟體載體的威脅。

• “沒有防毒軟體作為未來安全的一部分，我們就會漸漸放棄保護端點和移動裝置的想法，造成成千上萬的人在網路罪犯面前任憑擺佈。”
  ——北美卡巴斯基實驗室董事總經理克里斯·道根（Chris Doggett）

　　“這是一場裝備競賽,”舒爾茨說。“隨著漏洞利用程式新途徑的不斷升級，新的反擊功能也會構建到防毒軟體裡面。宣稱防毒軟體已死，當然是太過誇張了，許多人仍然依靠防毒軟體作為多層防禦必不可少的一個組成部分。”

　　雖然那些聳人聽聞的關於防毒軟體已死的言論言過其實，那些關於防毒軟體無所不能論調同樣也是誇大其詞。正如北美卡巴斯基實驗室董事總經理克里斯·道根認為的那樣，“網路攻擊在數量上和複雜性上將持續增長，防毒軟體也將一直會是使用者和組織大型安全解決方案中應對網路攻擊的的一個組成部分。”

　　“沒有防毒軟體作為未來安全的一部分，我們就會漸漸放棄保護端點和移動裝置的想法，造成成千上萬的人在網路罪犯面前任憑擺佈。”