防病毒的未来

随着签名的激增,防病毒供应商必须加强其他技术来发现和挤压恶意软件

杀毒软件使格雷格·希普利(Greg Shipley)十分生气,他不得不大笑。 “基于签名的防病毒公司与病毒编写者之间的关系几乎是可笑的:一个人释放某些东西,然后另一个人做出反应,然后来回走动。这是一场无休止的愚蠢的小军备竞赛。”

芝加哥安全咨询机构Neohapsis的首席技术官希普利(Shipley)说,最糟糕的是军备竞赛对他或他的客户没有帮助。 “我想尽快摆脱基于签名的防病毒软件。我认为这是一个坏模型,我认为这是令人难以置信的CPU消耗。”

问题是,他应该去哪里?作为一个行业,防病毒已经以人体免疫系统为模型,该系统在病毒等事物上打上标签,因此,当再次看到相同的标签或特征时,它便知道会攻击它们。基于签名的防病毒已经远远超出了简单的签名使用类型(尽管在一开始,它确实在寻找特定的代码行)。尽管存在一些明显的局限性,但它以当前更复杂的形式统治了安全软件市场:例如,尽管许多 恶意软件旨在窃取公司中的数据。安全软件公司F-Secure跟踪的恶意软件签名数量在2007年翻了一番,虽然您可能会愤世嫉俗地期望这样的公司说还有更多的恶意软件,但2007年总数已经比F-Secure建立的签名数量翻了一番20年。

甚至在2007年之前,除了希普利(Shipley)之外,还有很多人争辩说杀毒软件是一个陷入困境的行业。实际上,在2006年,Hurwitz的分析师Robin Bloor&联想撰写了一份题为“反病毒已死”的报告。他认为恶意软件仅是因为存在防病毒软件而存在,并说注定要用新形式的软件来代替防病毒软件,他称这种新形式的软件为应用程序控制或软件认证工具。这些工具将我们使用的软件列入白名单,并且在未经用户明确许可的情况下不会运行其他任何软件。

防病毒公司认为他们的死亡被大大夸大了,甚至非常感谢那些不太过分依赖签名的公司,例如BitDefender,它说基于签名的技术仅占其捕获的恶意软件的20%。

罗马尼亚公司的首席技术官Bogdan Dumitru说:“签名还没有死,您需要签名。”该公司使用行为定位技术来阻止其余的攻击。它的主要研究重点是开发“撤消”功能,该功能将使被恶意软件攻击的用户逆转其影响。 BitDefender希望在2008年发布此功能。

同时,Bloor报告中强调的应用程序白名单公司Bit9实际上使用防病毒软件来帮助建立其数据库22种防病毒软件。 2007年11月,它宣布了一项协议,将安全软件制造商卡巴斯基实验室(Kaspersky Labs)授予对该数据库的访问权限。 Bit9官员表示,该数据库将帮助卡巴斯基检查新签名,以限制误报。

尽管Bloor宣告成立,但防病毒制造商仍在继续销售价值数十亿美元的软件,这也是事实。不过Bloor表示:“如今,使用病毒签名保护PC的技术正在逐渐消失”,并且激怒了一系列提供软件身份验证工具的白名单公司,这些公司不仅包括Bit9,还包括Lumension(以前称为SecureWave)之类的公司, Savant Protection,Computer Associates和AppSense。他还提到了卡巴斯基的交易以及苹果使用白名单保护iPhone的行为。

不只是白名单

防病毒软件有其用途。防病毒信息交换网络Avien的管理员David Harley表示,如果系统实际上感染了恶意软件,则“可能是移除它的最痛苦的方式。”目前看来,将白名单列为万灵药我认为,对“答案”的这种不懈的搜索实际上是不专业的,它放弃了部分成功的解决方案,而该解决方案是为其他事情设置的,希望它可以消除问题。

哈雷之所以提出这样的观点,是因为他怀疑任何单一技术方法在安全性方面都是100%的解决方案。他写道,因此白名单很可能是对抗恶意软件的补充技术,使其成为已被采用的许多新技术之一,包括启发式,沙盒和行为监控。

企业CISO肯定不会期望找到解决问题的方法。德国银行WestLB的美洲地区信息安全负责人Ken Pfeil说:“如果依靠签名来保证安全性,那么您将陷入水深火热之中。” Pfeil认为签名很有用,他的公司也使用签名。但是,当出现新的恶意软件时,他通常会发现更快地尝试将其自己分解以了解其潜在影响,而不是等待供应商对其进行更新。他的公司还采用了使用启发式技术和异常测试的工具,从而为其反病毒方法增添了光彩。

Forrester Research的分析师Natalie Lambert认为,市场正在走向发展。她说,基于签名的防病毒软件是安全软件的“赌注”,而启发式信息处理系统或HIPS之类的技术则通过软件来寻找可疑行为,例如从Temp文件夹中打开自身的应用程序。

兰伯特说,迈克菲在大型杀毒软件制造商中使用HIPS的能力可能最强,在通过企业收购而增加的新功能上比竞争对手有更多的时间。

这些技术的缺点是,没有一种技术比以前的基于签名的防病毒软件简单和诱人,她称之为“设置好后就忘记它”的技术。她指出,HIPS技术难以管理,并且永远不会像旧模型那样简单,尽管她希望随着时间的推移它们会变得更容易。

Neohapsis的Shipley说,这些技术都不是真正的新技术。他指出,例如,自McAfee购买Entercept至今已有四年多了。但是“它扮演什么角色,它停止什么百分比的事情?我对此没有了解。”希普利说,他计划引入Bit9来研究它是否真的可以代替他目前的防病毒软件。

防病毒公司同意他们正在变得与众不同。

例如,Sophos对基于签名的AV使用了一些附加功能。 Sophos在程序运行时检查程序行为,即程序对系统配置和文件等进行的修改。该公司还内置了一种预执行算法,一种水晶球,可以模拟不熟悉的代码可能会执行的操作。美国Sophos Labs的经理Richard Wang说,虽然易于创建签名,但诸如预执行代码之类的东西却较难,因此需要更多时间。但是收获是,它可以对抗多种恶意软件。他说,对于Storm蠕虫,Sophos仅生成了一个签名,但能够识别所有变体。 Wang将这种技术描述为“几乎像广谱抗生素一样”。

儿童游戏?

有趣的是,OLPC XO(来自“每个孩子一个笔记本电脑”基金会)是研究新AV技术的另一个地方。 XO使用专门为该简单计算机开发的Bitfrost规范。 OLPC声称,该系统“比目前市场上的任何主流系统都更加安全,并且提供了更多可用的安全性”。

OLPC XO在默认模式下出厂,该模式基本上处于锁定状态,但对于用户而言很容易打开。 Bitfrost规范使用了一系列内置保护,包括用于应用程序的沙箱或程序监狱以及系统级保护,可以防止对代码的更改而造成有害的影响。

目前尚不清楚Bitfrost是否将在公司环境中工作还是将在OLPC项目之外进行商业化。但Avien的哈雷(Harley)认为,出于某些心理原因,防病毒软件不太可能消失。

“一种解决方案可以阻止实际威胁,并且不会妨碍非恶意对象和进程,这一想法非常具有吸引力。人们(无论如何,不​​是安全专家的人)都喜欢特定于威胁的软件,只要它能够捕获所有威胁。传入的恶意软件,不会产生任何误报,因为这样它们就可以安装它,而不必理会。不幸的是,这是无法实现的理想。”

Greg Shipley注意:不要停止使用防病毒软件。 ñ

版权© 2008 IDG通讯,Inc.