杀毒软件:生存OR死亡?

来源:中国电子报 | 2014-6-18

  互联网企业将杀毒软件带向免费,安全企业靠卖杀毒软件的日子越来越不好过。不久前赛门铁克高管声称杀毒软件已死,因为他认为传统的杀毒软件只能侦测到来自外界45%的攻击,效果不佳。那么,杀毒软件真的没有用了吗?安全企业应该放弃杀毒软件吗?

  传统杀毒软件已过时?

  传统的杀毒软件基于特征码检测可疑的代码程序,好几年前就已经过时了,需要快速变革。

  赛门铁克信息安全高级副总裁布莱恩·代伊接受媒体采访时表示,杀毒软件已死,杀毒软件不再是赚钱的产品了。一时激起产业界的强烈争辩。

  传统的杀毒软件基于特征码检测可疑的代码程序,通过比对黑名单来识别威胁。这种做法,确实在好几年前就已经过时了,因为现在很多复杂的攻击手段都可以绕过杀毒软件直接渗透到PC中,特别是通过社会工程的方式,犯罪分子诱导用户打开不应该打开的附件,点击不应该点击的链接,屡屡得手,俨然形成了一条网络犯罪的地下黑色产业链。

  而且令情况更加复杂的是,安全厂商FireEye透露,在该公司探测到的所有恶意软件中,有82%只会保持一个小时的活跃性,70%只会出现一次,因为恶意软件作者经常调整软件代码,以便绕过传统杀毒软件的扫描,这更使得杀毒软件在探测和预防威胁上显得软弱无力。这样一来,传统的杀毒方式到了需要快速变革的时候了。

  就在近日,金山安全提出“云+端+边界”的安全模式,其CEO沈晨指出:“中国用户需要加入边界管理并引入云安全的新一代企业级反病毒软件。”他认为,边界管理是反病毒软件必备的要素之一,没有边界管理的企业反病毒软件将退市。

  无独有偶,其竞争对手360的董事长周鸿祎也曾表示,传统黑名单模式已经失效,未来的企业安全趋势将是云计算+大数据,也就是采集企业网络流量的完整数据,然后在云端进行建模,再对流量进行对比分析,这种方式会有效预防APT攻击(高级持续性威胁),同时通过建立白名单的方式及时捕获未知威胁。可以看出,360和金山一样,也在思考如何面对传统的杀毒方式失效后的网络威胁。

  沈晨告诉《中国电子报》记者,既依托强大的已知病毒防范能力,又结合成熟的白名单防御技术,从而形成终端安全的黑白双控,这是目前首选的技术路径。也只有这样,才能彻底扭转企业级网络中病毒及未知危险大范围泛滥的被动局面。

  加入边界管理的新型反病毒技术

  边界的思想是在程序和文件进入计算机前划定一条严格的界限,在进入之后对其进行严密的监控。

  那么,何为边界?如何通过边界管理来改变传统的杀毒模式?

  边界的思想是在程序和文件进入计算机前划定一条严格的界限,在进入之后对其进行严密的监控。有研究表示,超过90%的安全威胁,都是从应用终端的边界进入。这些边界包括互联网下载、移动设备拷贝、邮件传输、即时通信传送、网络共享等。

  金山安全专家关成雷告诉《中国电子报》记者,虽然之前传统的企业杀毒软件已经在尝试研究边界防御的技术,通过扫描+进程监控的方式达成对边界的控制,但是由于边界对象不明确、单点执行、功能之间无有效协同等缺点,因此导致了传统企业杀毒软件在技术上早已不能应对终端边界的复杂形势。这样一来,一旦某台电脑被病毒感染,将可能导致整个网络内所有终端PC感染病毒。

  因此,金山安全提出对边界进行精细化智能管理,一是控边界,对边界来源进行细分,当程序进入电脑时,通过对外界程序进入电脑的监控、检查,在病毒尚未运行时即可被判定为安全或不安全,让病毒程序没有执行的机会,实现前置主动防御。

  二是持续行为监控,当文件经过入口监控进入环境后,通过增加进程监控、注册表监控、驱动监控、联动防御云等方式,对其行为等综合安全性进行判断,确保未知、定向攻击、间接白文件利用等威胁手法入侵环境。

  三是文件管理,通过对海量信息的采集、分析、关联、汇聚和统一处理,实时输出分析报告,便于事后分析与决策。此外,选配动静态鉴定器后还将具有强大的灰文件处理能力。

  对于这种管控方式,关成雷打了个形象的比喻:“企业网络就好比一个小区,对于进入小区的所有人、车、物件,让保安来判断是否是可信任的,如果是可信任的,就放进来,这便是白名单;如果有记录是犯过事的,就进入黑名单;如果是可疑的,就放到灰名单,对之分析比对,及时发现可疑点并遏制。”

  杀毒软件仍有利可图

  反病毒软件仍然是部署最多的、价值和效能最高的企业内外网安全防护产品。

  事实上,现在的中国安全市场,杀毒软件日薄西山,江民、瑞星等老牌企业在经历了360免费杀毒软件的阻击之后,日显颓势。金山杀毒则拆分成两个公司——猎豹移动和金山安全,前者侧重个人网络安全,后者专注于企业级安全市场。

  在360的免费模式将个人杀毒软件市场冲杀得七零八落之时,金山安全认为杀毒软件仍可盈利。沈晨向《中国电子报》记者表示,反病毒软件技术和相关产品之前被严重低估。截至目前,反病毒软件仍然是部署最多的、价值和效能最高的企业内外网安全防护产品;反病毒技术仍然是截至目前已知并在大规模应用的安全防护产品的技术和应用基础。

  关成雷认为,企业反病毒市场的新一代产品,将有四大缺一不可的判断基准,分别是:是否以边界管理的应用,有效实现边界管控和文件追溯,达成前置主动防御;是否以虚拟化的技术,实现对云计算、云桌面的完美支持;是否以黑白双控的模式,有效达成扫“灰”打“黑”,清理死角;是否以混合云的模式,借助云端动态响应,并支持内外网混合部署。

  基于这样的标准,金山安全在不久前推出了终端防护优化系统V8.0增值版。而去年下半年,以个人安全市场为主的360突然对外宣布了几款企业级安全产品。不过自发布会之后,360并没有在企业级市场的进一步动作。随着中央网络安全和信息化领导小组的成立,主流的信息安全厂商以大数据、云计算的新技术模式求新求变,并积极加紧布局企业安全市场,以应对新型安全威胁带来的挑战。

 
相关资讯
登录 | 注册
88订单网 版权所有 2013-2024 关于我们
客服电话:0769-82989878 24小时热线:13809277695
备案/许可证:粤ICP备14027189号-4