“杀毒软件已死”不过是个笑话

福尔摩斯

赛门铁克信息安全高级副总裁布莱恩·戴伊（Brian Dye）今年年初宣告，提供系统保护的杀毒软件已经死亡。鉴于他在杀毒界的地位，这个断论的确引起业界各方面的重视。


不过，尽管杀毒软件的有效性近年来一直在不断衰退，笔者认为对杀毒软件进行死刑宣判还是不靠谱的。


当然，随着恶意软件复杂性的不断增长，仅使用基于特征的杀毒软件作系统保护，必定有些力不从心。目前几乎有一半以上的威胁，杀毒软件都阻止不了，而且领先的杀毒软件企业也一直在引导人们，让大家理解，仅仅安装那些基于特征库的杀毒软件是不够的。


今年六月，一份面向300名信息安全专业人士对杀毒软件满意度进行的一项调查显示，85%的人都不相信杀毒软件可以阻止针对特定目标的攻击，比如高级持续性威胁（APT）和网络钓鱼。此外，杀毒软件对于零日漏洞更是无可奈何。


但在当今威胁四伏的环境中，基于特征的杀毒软件对于系统安全仍然做着重大的贡献。如果你去任何一家到处部署着杀毒软件的企业说，“杀毒软件已死，把它们都从系统中删除吧”，可以想像，有多少人会像杀毒软件对待病毒一样的对待你。


在系统保护中，阻止威胁只是防病毒工作的一部分。除了对病毒进行阻止，杀毒软件还要对病毒进行清理，将它们从系统中清除。如果说当前杀毒软件的架构和能力就是杀毒行业的未来，那肯定不对，但这与“杀毒软件已死”是两回事。


而且，将杀毒软件限定为基于病毒库的杀毒技术也是不全面的。实际上，现在的杀毒软件应该说是具备了多种防护手段的，反恶意软件的工具。而那些只基于特征库来杀毒的防病毒软件，在本世纪初就已经开始消亡了。


具有恶意软件防御能力的杀毒软件在企业中仍然并将继续得到重用，其效用甚至和最新的在线防御平台，如漏洞防御系统一样强大。杀毒软件厂商现在应该做的是提供一个完整的端到端解决方案，而本来只做漏洞防御系统的供应商反倒需要在他们的系统中添加恶意软件检测和修复功能。


说到这里，我们回过头来再看看“杀毒软件已死”的由来。早在2006年，某个调查机构发布了一份题为《杀毒软件已死》的报告。该报告声称，杀毒软件将被“使用白名单清除恶意软件的工具所取代。”的确，白名单确实在某些环境中得到了有效的应用，但它也有着明显的缺点。


对于某些可控的系统环境，如零售终端、工业制造和医疗系统等，白名单的确是一个不错的解决方案。但在终端用户环境中的时候，因为终端用户会不断地向他们的设备中添加应用程序，以至维护成本太高而最终无法持续。


简而言之，对于服务器、数据中心，或可控的系统环境，白名单是一个非常好的解决方案，但对于使用传统台式机、笔记本电脑等终端设备的用户，则面临没完没了的名单维护问题，这是一个大麻烦。


针对杀毒软件无法应对复杂威胁的批评并不是最近才有的。一些杀毒软件本身就包含漏洞，实际上让安装了这些杀毒软件的系统更容易受到攻击。这是因为杀毒软件的防病毒引擎通常都以系统的最高权限运行，这也意味着攻击者可能使用的权限。而且为了处理所有的文件类型，杀毒软件会调用文件格式解析器，而文件格式解析器又是一个可能的漏洞发源地。


但不管怎样，杀毒软件并不是批评者口中所说的那样不堪。


杀毒软件在过去五年里已经得到了进化并可以提供更多的防护。例如，杀毒软件不仅增加了更多的启发式功能，使它可以更有效地应对不明特征的威胁，而且也可以阻挡各种恶意软件，如rootkit、远程访问木马（RAT）、键盘记录器、间谍软件、广告软件、乃至“可能不必要的应用程序”。杀毒软件甚至还可以保护用户免受包括电子邮件、社交媒体和通过网络传播的文件等各种恶意软件载体的威胁。


网络攻击在数量上和复杂性上将持续增长，杀毒软件也将一直会是用户和组织大型安全解决方案中应对网络攻击的的一个组成部分。


杀毒软件不会死，死的是止步不前的技术，固步自封的思想。此为是。

寒山竹语

死活和我无关

HEMM

我稀饭看你的转贴。
杀毒软件要是死了，我就少了个玩的了。

水冗日

怎么感觉之前好像看过

大灰狼来了

看到什么笔者。。。就不想看了。

rangerlj

杀毒软件已死？我们反过来想，如果没有杀毒软件会怎么样？
赛门铁克高管其实能说杀毒软件已死我也觉得挺不可思议，赛门本身在目前评测机构中的测试成绩就不怎么理想。在我遇见过的用户中也经常发生赛门铁克无法检测到一些很关键的恶意软件。
还有一点，不要把漏洞和杀毒挂钩。
漏洞和恶意软件有本质的区别，也有紧密的联系。针对纯粹的漏洞，需要IPS之类的设备进行阻挡，当然现在很多的安全软件也提供了HIPS的功能。
更何况针对APT的攻击，不是光靠一个产品就能解决的事情。
安全不是装上一个软件，装上一个硬件就能解决的事情。

1073328164

有综合征患者在杀软能死？杀软死了综合征们估计也要集体陪葬了

bzaf868

搞了半天就是个概念之争。。。根本不存在的问题。。。现在还有多少杀软是纯AV，就算是看上去是纯AV的，效果也不差，比如小红伞。杀软的技术进步不是一群嘴斗士争概念争出来的。
你去看看SEP的宣传视频，铁壳不停地强调它是go beyond了traditional的antivirus。。。不外乎就是为了突出insight和sonar。。。

mefanfine

不关心就好

寒山竹语

bzaf868 发表于 2014-12-18 12:50
搞了半天就是个概念之争。。。根本不存在的问题。。。现在还有多少杀软是纯AV，就算是看上去是纯AV的，效果 ...

在别人没有insight和sonar的前提下，人家突出自己的优势总没错吧？