谁能抵御下一次病毒攻击

tom2000

TOM2000

我说明一下这帖子我大概敲了4000字，要是不喜欢可以无视，但是千万别回复太长了，看不下去...计算机安全没有快餐！我尊重任何人的任何观点，但是也请尊重我的劳动。也许我观点你都不能接受，但是最起码我再探寻一些真正有价值的东西。

现在安全论坛在讨论是安全软件的UI，软件的低资源占用，软件的云及其拓展。其中云运用到安全软件确实带来的巨大的变化，对于厂商来说，这几乎是一种完美的安全解决方案，当一个用户甚至就是病毒制作者本身，在使用有云功能的软件扫描测试发现样本无法被软件识别后，该样本被上传到安全论坛被另一个该云所覆盖到用户下下载，或感染到该云所覆盖到第一个被感染用户，那么在这个以秒计算的时间差内高效的云系统就会对所有可覆盖到的云用户提供该样本的查杀和免疫。另一方面云系统也会为安全厂商节约大量的资金，因为原先的病毒处理中心已经完全被高效的云系统所代替。只要云覆盖率达到一定的基数，的采用云后就意味高速 高效 低成本。

对于用户来说云的好处也是不言自明，云的高效率几乎可以让你的安全软件在样本感染前就立即秒杀病毒，杀毒软件引擎查杀效率已经不在是关键，甚至最棘手的感染病毒的清除能力几乎已经不再必要（这里需要解释一下清除和删除，当计算机感染病毒后安全软件发现被感染文件后清除病毒代码后将被感染文件还原到被感人前的状态称之为“清除”，而将病毒代码和被感染文件一并删除则称为“删除）因为样本在感染前即会被发现。而整个安全软件的监控系统负担也大大减轻，这样用户对云安全软件的喜爱也就不难理解，简单，高效，低资源占用。

但是“以史为鉴，可以知兴替；以人为鉴，可以明得失”我回顾一下计算机安全史就会不难发现任何一款大规模爆发的恶性计算机病毒都有一个共同特点就是“独创性”。“CIH”让人知道了计算机硬件也会被感染，“熊猫烧香”则让人知道GHOST也不是万能的方案！我无法预知下次计算机病毒爆发是什么样子，但是它要想流传开来势必首先解决的就是应对安全软件的云技术！

云不是神，简单的单一感染方法确实已经很难逃过云监控体系。但是并非说老的方法不好用，当一款新的蠕虫要感染时，面对云攻击者很可能向较大用户覆盖的厂商的云服务器发动DDOS攻击首先瘫痪特定目标的云升级服务，然后运用云监控体系瘫痪的时间差投放蠕虫病毒展开攻击。而且多态和变形蠕虫本身代码就异常复杂，自动机器人处理系统几乎无法应对，这样势必会将样本转为人工处理，而这样将会大大减缓安全厂商的处理时间。而且到时候厂商是否有足够的有经验的人员来应对也是未知数。变形病毒的设计者如果参考了生物病毒一些感染特征借鉴到计算病毒的话情况将更加复杂，比如变形病毒分阶段感染第一阶段蠕虫利用WIN系统漏洞“1”进行感染 而第二阶段这款蠕虫就可能利用“FLASH”漏洞“2”！那么厂商在前期呼吁用户安装系统补丁的预防时蠕虫感染可能已经进入下一个漏洞阶段了。这些手段的运用就是减缓厂商处理时间，造成病毒更大范围的传播也加大其破坏力。这里还仅仅只是投放一种病毒，如果同时投放多种不同的病毒哪后果无法想象。

Evernote攻击事件再次表明其实云服务器本身的安全就很值得商榷。对于信息储存型的云服务器要担心是隐私泄露的话，那安全软件云服务器被入侵的后果是非常可怕的，侵入安全软件的云服务器篡改更新数据，会直接导致安全软件根据被黑客修改的升级信息直接让安全软件人为的杀掉系统文件或用户个人数据，也可以让安全软件本身瘫痪方便后续攻击。这带来破坏不仅仅是表面上，对安全软件本身信誉来说也将被严重打击！这由此带来不信任感绝对会葬送任何一款知名的安全软件品牌。

当然我也必须承认这样的病毒和多种手段结合的攻击方式单个黑客很难完成。而且纯破坏和瘫痪也不符合目前国内黑客产业追求金钱获得经济利益的现实。这样级别的攻击不知道符不符合网络战争的定义，但是其造成破坏无疑是非常巨大！我们厂商不无标榜自己的国产血统和全免费后为保护用户数据安全所作出的巨大贡献，但是我们的厂商是否有战略的眼光把自己看成保护国家网络安全的国防军呢？

这些都是纸面上和理论上云攻防推演，可能会敲响警钟但是没有现实意义。那我们就说说有现实意义和普遍存在的问题。我们现阶段云都有应对钓鱼网站的能力，当云内用户“A”被钓鱼网站“1”骗取金钱后，整个云内所有用户就是对“1”的钓鱼网站进行屏蔽免疫，但是用户“A”的损失无法避免。这对传统钓鱼确实起到很好的作用，但是其实现在真正钓鱼网站在只要有用户被成功骗取并套现后网站就会被放弃。厂商依靠云确实会起到对钓鱼网站的预防效果，但是厂商完全依靠云去打击钓鱼网站是不现实。因为只要钓鱼网站不断变换域名，就可以逃避云查杀。要知道每一次变动都代表有新的用户上当。

我十年前使用56k猫上网的时所用的安全防御软件是杀毒软件和防火墙，十年后用户的网络环境已经发生很大的变化从台式，到笔记本，平板，手机；系统从单一的windows,到苹果 安卓 FIREFOX OS等等，上网方式也从有线到无线，从猫到宽带，光线。用户的内网环境已经发生了天翻地覆的变化而我们的安全防御软件的变化又有多少呢？我以psyb0t蠕虫为例，其感染的目标不在是传统的终端设备而是路由器。如果类似psyb0蠕虫感染只把用户PC作为从互联网感染到路由器的介质的话，一旦路由感染成功病毒再自动消除在PC一切痕迹的话，我们现阶段安全手段几乎全部无效。首先安全软件仅仅只保护PC手机这样的终端设备，而防火墙无论是软件还是硬件都在路由器之后。这样的蠕虫只要不扫描内网只在路由端窃取用户信息。普通用户甚至是有经验的网络的管理员都很难发现！而且其不论从什么平台什么系统感染到路由器，最终其截获的信息完全不受平台 系统等限制直接从路由截获转发。而且所有平台安全防御措施都将无效。

现在安全论坛最热的话题是安全软件的UI，是杀毒软件资源占用.关于UI的问题我想说UI跟安全有半毛钱的关系的吗，要是有我们把秦琼和尉迟敬德两位神仙从大门上请下来到安全软件UI上，也为我们天朝子民的计算机安全贡献一份力量。又有多少人一早上上班打开计算机后第一件事就是点开安全软件界面，然后倒杯茶水端详界面半小时再干活？安全软件不是手机系统要什么用户感受，后台不给力前台UI就是一朵花你保护不了用户系统也是白扯。
再说说安全软件的资源占用，我不知道有多少用户家用计算机开始着眼《孤岛危机3》来升级硬件，但是现今绝大多少用户的家用计算机和办公设备的配置都已经完全可以满足一款安全软件的使用要求了吧！
所以你安装了安全软件就意味着你对自己的计算机安全有一定的要求，就跟你不能因为开门麻烦就把自己家防盗门给拆了，或因为油价涨了就把ABS和安全气囊给拆了减重省油一样。要满足一方面要求 就必须牺牲一部分的性能。不是安全软件生活的所有方面都是这样。有舍才有得！而安全软件如果牺牲安全性能来妥协用户，当安全软件有还有什么存在的必要呢？毕竟安全的软件的首要任务和原则就是保护用户安全，这是不可触及的红线。

关于免费的话题已经讨论太多了，其实免费安全软件就跟免费游戏一样都是伪话题，其是商业产品就不可能免费只是把获利方式改变了，不用户用套腰包，但是用户也必须为此付出一定的代价。天上不会掉馅饼，只是这馅饼不是现金购买而是划卡消费，总之还是用户买单。
国外软件不在此列是因为这些软件付费版本在除中国以外地区有稳定的资金来源，可以保证产品运营和研发，那么它在中国市场的一切商业行为都不会应该其自身，所以其产品的品质受影响很小。安全厂商资金来源与稳定直接关系到安全软件独立性。你资金来源将决定你产品的定位。资金来源广告商的安全软件很难保证其中立性，而资金来源如果不稳定也势必代表杀毒软件会不断去调整自己，是技术推进的升级是好事，但是是需要推动的妥协性升级就是另一种概念了。
这其实就带出国产安全软件全免费后一个很少触及的话题。因为我们以前仅仅担心的是免费后安全软件的资金链的问题。但是一个更深层次的问题逐渐暴露出来。在免费之前用户反映安全软件资源占用问题时，厂商就是会优化资源占用，但是一般情况这样做效果并不明显。而厂商也不会以牺牲安全性的代价来与用户进一步妥协。但是全部都免费后用户的感受就非常敏感，稍有不慎就会流失用户，用户流失装机率和云占用率都会下滑。这样就直接影响安全软件的两大命门收入和云查杀效果。后果就是用户体验和安全效果的天平被打破。厂商会一味迎合用户的需要，甚至是不惜一切代价满足用户的需要。即使这种需要跟违背安全原则也会被忽视！
这就造成安全软件的焦点在UI，在资源占用，在对云的无限依靠。换句话说就是把研发的重点全部放在了用户能看的见或感受的到的地方，而真正提升安全软件品质的东西恰恰是用户看不见的。比如防火墙。在现今的环境下其实一款优秀的防火墙带来的价值不亚于杀毒软件甚至在更多的方面比杀软更有价值，但是它对于用户来说看不到意义也太复杂，它跟杀软还不一样，杀软报毒用户知道它在工作才能体现它的价值。而防火墙报警其实代表它抵御住了攻击，而绝大多数时间用户是感觉不到它为自己安全所发挥的作用。这点跟足球比赛的门将差不多，你扑住进球是理所当然的，扑不住反倒被人诟病。它也许是决定成败的关键，但是它注定不会是闪光灯下的焦点。所以现在几乎没有厂商还会在防火墙上投入太大精力去研发。当然造成这种现象的外部原因就是整个互联网的大环境就是安全平静期，而用户能回忆起的安全事件也不过就是“熊猫烧香”或“金猪”。再此之后没一款真正意义上的新病毒来检验我们安全软件的能力！而云的引入又给厂商一个简单安全高效而又低成本的解决方案。所有的方面加在一起造就今天的国内安全产业的局面。用户，厂商，从业者都是云依赖的受益者但是最终也都是受害者。《The Newsroom》最后几集引出“greater fool theory”---“博傻理论”，就是在金融危机之前华尔街甚至整个美国都充斥着博傻理论，但结果是什么大家现在都知道。其实借用“博傻理论”完全可以表述现今的国内计算机安全产业。用户，厂商，从业者，乃至整个行业都在赌不会有新病毒，即使有新病毒也完全会依靠云方案解决…

如果我们把现在安全软件云剃掉，拿这个软件去跟这个厂商以前的没云产品去对比，哪会发生什么。这种关公战秦琼的比较看似很荒诞，但是也是最清楚反映我们安全软件是在这几年都发生什么。

所有人不会都是计算机安全专家，但大家在现实生活中无论从事什么工作，都应该明白一个项目中把重点过分放在一个方面其它的地方势必就会被忽略，而被忽略的地方恰恰最容易出现问题。将导致整个项目出现问题甚至失败！安全软件不是普通的工具，上它可以影响一个国家的战略安全，下关系到每一个贫民百姓的日常生活。下一次病毒爆发之后会发生什么无法预知，但是现今我们自己建立软件安全体系本身有多少抗打击能力却是可以评估的。

先知

。。我既然慢慢的看完了。。才发现好长。。楼主自己写的？？？
顺道来支持下

ccsfuture

云安全就怕厂家的服务器玩完啊

skycai

恕我愚昧。
我看不出你想表达的是什么？

另外想说个，在现在的安全环境下。虽然云不是万能，但我觉得，没有云，是万万不能。

当然，云的概念很广泛，并不是单单一个云查杀能概括的。如果要我来概括，我觉得是快速收集，快速鉴定，快速分发的整个体系。

mp2mp2

我好像深深的看懂了楼主的文章，完全是凭良知说的话。
下面不服也行，我是个人观点。
本人是费尔专业老用户
也是看好费尔的良知才用他家的软件
防火墙今年会出现了
那将会是一个惊叹吧！
火绒就要加油了！
毕竟还在完善！

jefffire

对安全能投入多少资源。卡，慢 ，烦，能忍受么？为了用外{过}{滤}挂，中毒也无所谓的大有人在。
毕竟

宁可错杀一千，不可放过一个

在卡饭这种论坛，也只是一部分综合征患者的需求

释然的心

好长~
杀毒软件就是在不断的与病毒对抗的过程中成长起来的~
慢慢的完善把，不是着急的事~

小紫英

下一次病毒爆发之后会发生什么无法预知，但是现今我们自己建立软件安全体系本身有多少抗打击能力却是可以评估的。

根本不会有下一次病毒爆发

jiayi333

大范围的病毒攻击，受众一般都是客户机，多数即个人电脑用户
几年前出现HIPS并慢慢为人所知后，情况已经有所改变，坛子里高手如云，折腾HIPS和系统的也不在少数
“云安全”没有经历过多少战火的洗礼，高高在上，也没几个人能知道云里到底有了什么！
我个人总是很固执的把云安全理解为存在于服务器上的特征库！

经历过反复的主动折腾与被动折腾后，能被接受的东西一定会包含下面的功能
“实用”
除了实用，其它的都不那么重要了

为杀毒软件浪费了系统资源，付出卡机的代价，加上云，也一样还是跟着“恶意软件”后面走！
为了疯狂的“安全性”而放弃“实用性”，高手也好菜鸟也好，不会有几个人！
坛子里处于“安软综合症折腾期”的不在此列！
在能够接受和使用的前提下，因人而异，实用性与易用性结合适合自己就好！

lip123

看了你的叙述，激动万分，特登陆论坛给你支持。

写的很不错，写出了对当前国内杀毒软件一味迎合大众的焦虑，提出只看到杀软表面繁荣的假象，确实是一篇好文章！！

顶！！