反病毒软件让Greg Shipley觉得很可笑。“基于病毒特征的反病毒公司与病毒编写者之间的那种关系简直让人发笑。一方发布了某个病毒,另一方赶紧应对,双方来回较量。这种可笑的竞赛没完没了。”
Shipley是芝加哥安全咨询公司Neohapsis的首席技术官,他认为,最糟糕的地方在于这种竞赛对他或者其客户都没有帮助。他说: “我希望尽快摆脱基于病毒特征的反病毒软件。这是一种有问题的模式,只会耗用大量的CPU资源。”
反病毒行业遭遇困境?
可问题是,他又该何去何从呢?反病毒行业仿照了人体的免疫系统,对于病毒之类的内容贴上标签,那样一旦再次看到这同一个标签(即病毒特征),就知道要加以处理。基于病毒特征的反病毒软件已有了长足发展,并不仅限于那种简单的特征使用。最新的反病毒软件比较复杂,主导了安全软件市场,尽管存在一些明显的局限性: 比如无法用来阻止数据泄漏,而许多种类的恶意软件目的在于从公司窃取数据。安全软件公司F-Secure在2007年跟踪到的恶意软件特征的数量翻了一番,并且其在2007年发现的特征数量两倍于之前20年发现的特征总数。
早在2007年之前,除了Shipley外就有许多人认为: 反病毒行业遇到了困境。其实早在2006年,Hurwitz & Associates公司的分析师Robin Bloor就撰写了一份题为《反病毒软件已死亡》的报告。他认为,恶意软件之所以会存在,完全是因为市面上存在反病毒软件; 反病毒软件注定要被几种新软件所取代,他称这些新软件为应用程序控制,即软件验证工具。这类工具可把我们使用的软件加入白名单,在未经用户明确允许的情况下,不会运行其他任何软件。
反病毒公司认为声称他们死亡的说法夸大其辞,连那些不是过于依赖病毒特征的公司如BitDefender也表示,自己发现的恶意软件当中只有20%是借助基于病毒特征的技术发现的。
这家罗马尼亚公司的首席技术官Bogdan Dumitru说: “病毒特征没有死亡,你需要它们。”该公司利用行为定向技术来阻止其他攻击。它的主要研究重点放在开发“撤消”特性上,这项功能有望让受到恶意软件攻击的用户可以撤消恶意软件所造成的影响。BitDefender希望能在2008年下半年发布这项特性。
与此同时,Bit9(Bloor的报告中着重提到的应用程序白名单技术公司)使用反病毒软件来帮助构建数据库,目前包括22种反病毒软件。2007年11月,该公司宣布了一笔交易,允许安全软件生产商卡巴斯基使用该数据库。Bit9的工作人员表示,该数据库将帮助卡巴斯基查看新的特征,从而限制误报数量。
尽管Bloor声称反病毒软件已死亡,但反病毒软件生产商仍在销售价值数十亿美元的软件,这也是事实。不过Bloor表示“使用病毒特征来保护个人电脑的技术如今日渐式微”,并且报出了提供软件验证工具的一系列白名单技术公司: 不但包括Bit9,还包括Lumension(前身为SecureWave)、Savant Protection、冠群和AppSense等公司。他还强调了Bit9与卡巴斯基的交易以及苹果公司利用白名单技术来保护iPhone。
白名单技术不是惟一
反病毒软件自有其用途。如果系统果真遭到了恶意软件的感觉。“用反病毒软件来清除恶意软件也许最方便。”反病毒信息交换网络Avien的管理员David Harley说。他补充说: “目前,白名单技术确实似乎被追捧为是近期流行的灵丹妙药。我认为,拼命寻求解决方案的那种做法,放弃一部分成功的解决方案,改而寻求其他某种解决方案,希望从而消除问题,这其实是外行人的看法。”
Harley之所以发表这番高见,是因为他怀疑这样的论调: 某种技术方案是万无一失的解决方案,能解决100%的安全问题。他写道,白名单技术可能是对付恶意软件的一项补充技术,但只是已得到采用的一系列较新技术中的一员,这些较新技术包括启发式分析、沙盒机制和行为监控等。
公司的首席信息安全官们肯定没指望会有这样一种方案来解决自己的问题。德国西德意志银行美洲区的信息安全主管Ken Pfeil说: “如果你单单依靠病毒特征来确保安全,可以说你必死无疑。”Pfeil认为,病毒特征很有用,其公司就在使用。不过出现新的恶意软件时,他常常发现自个试着剖析恶意软件、了解潜在影响要比等厂商提供软件更新更迅速。该公司还采用了利用启发式分析和异常测试等技术的工具,为反病毒方法增强功能。
这种软件分层方案顺应了弗雷斯特研究公司的分析师Natalie Lambert所认为的市场发展方向。她表示,基于特征的反病毒软件是安全软件以及像启发式信息处理系统(HIPS)这些技术的“基本要素”。HIPS能查找软件的可疑行为,比如临时文件夹中的某个应用程序自行打开等举动。
Lambert 说,迈克菲公司在使用HIPS方面是几大反病毒软件生产商当中走得最远的。它花在通过收购公司来添加新功能上的时间比竞争对手更多。