过去几周,知名安全专栏作家Jon Oltsik跟Bit9、Bromium、CounterTack、 Invincea、Malwarebytes和Sourcefire等安全厂商交谈后发现,每家公司都针对高级恶意软件提供了新的安全技术,它绕过了传统的防御手段,如:防火墙、IDS/IPS和反病毒软件。
所有这些厂商都把他们的产品定位为附加的一层防护,而非对传统杀毒软件的替代。这些厂商通常会这样来解释他们的新产品:“反病毒软件对已知威胁来讲是一种重要的技术手段,而我们的产品能用来对付APT(高级持续性威胁)及其他一些复杂、有目标的恶意软件攻击。”
高级威胁检测/防御(Advanced Malware Detection/Prevention,以下简称AMD/P)正在兴起,这是什么原因呢?大型组织意识到,他们确实需要更好的基于主机的防护手段,他们希望,在关键环节,在AMD/P和传统反病毒软件方面都增加安全预算。
这听上去是一个深度防御的战略远景。但是,成本和效果如何衡量呢?我们常常听到的声音是:“如果AMD/P解决方案能提供更好的保护,我们为什么依然要为AV软件付钱,并在每个服务器和终端系统中部署它呢?”
这一简单而符合逻辑的问题蕴含着一种潜在的趋势,未来几年,以亿美元计数的终端安全软件市场将被撼动。对于像Kaspersky Lab、McAfee、Symantec和Trend Micro这样的市场领导者而言,这可能会成为一个真正的威胁。以下是可能出现的几种场景:
第一种,大型组织在关键服务器中以AMD/P技术替代了AV软件。当管理需求发展到一定程度,这当然是可能发生的。
第二种,商业终端反病毒软件会被免费软件所代替。大型组织可能只会将目前的安全费用投入到AMD/P产品中。
第三种,更多公司转到微软前端来。如果你购买了微软的企业级客户入门牌照(ECAL),你就能获得免费的MS前端AV软件。
第四种,更多的安全厂商加入到竞争中来。由于McAfee、 Symantec和Trend Micro等安全厂商拥有统治地位,很少有其他厂商有胃口投入到AV领域的竞争中来。AMD/P技术的增强可能会是一种信号:Check Point、Cisco、HP、IBM和 Juniper这些想在AV领域有所斩获的厂商将面临一次新的市场机会。它也为Dell、Fortinet和PaloAlto这样的厂商开启了一扇延伸安全触角之门。
当然,大的反病毒厂商不会让这种情况发生,他们需要将AMD/P功能加进传统反病毒产品中来。我们可能很快会看到一些收购和新产品发布。AV厂商已经享受了很长一段时间的寡头垄断,但新的威胁、安全技术和用户有限的安全投入将会使整个市场变得更有竞争性。