上周迈克菲一个有误的DAT文件导致了误报,使得Windows XP系统崩溃,不得不进行大规模的清理。指责迈克菲是件很容易的事情,也可以炒掉一两个安全工程师作为替罪羊继续维持现状,然而这件事情却说明,恶意软件防御行业(不仅是迈克菲)需要加强“军队”的训练。
现有的模式就像一场战争,攻击者首先开火,只有在得到一些俘虏后我们才能防御类似攻击的发生。这种被动的基于特征的模式从本质来看就是错误的,实施和维护起来都是个累赘。类似迈克菲上周事件的情况没有定期发生是个很奇怪的事情。
根据赛门铁克网络安全威胁报告第十五期,赛门铁克仅去年一年就创建了2895802个新的恶意代码签名。相比于2008年,增长了71%,这个数字说明有史以来超过一半的恶意代码签名是赛门铁克创建的。甚至,赛门铁克确定了2.4亿个不同的新恶意程序,相对于2008年来说增长了100%。
赛门铁克发言人说:“要知道赛门铁克每天制造超过20000个新的恶意代码签名,其他的安全厂商也面临着相同的处境,这很易于理解,但却不易于被人们接受,这就是迈克菲上周面临的境遇。”
领先的威胁研究机构Webroot公司的Andrew Brandt表示:“如果能够更加主动,根据恶意软件作者可能做出的行动来创建签名,也会导致类似的情况,会出现更多的误报。关键是要对恶意软件做出警报和回应(这是快速发展的一个不变的状态),尽快地创建签名,在签名发出前做彻底的测试。毕竟,科学家在制作疫苗之前需要一个新的流感病毒株样本。这个比喻在这里也适用。”
现在有太多的“流感病毒”需要我们制造疫苗来应对。
有两个办法。一是坚持以签名为基础的模式,但是把它应用于云中,而不是在单独的系统上。这就是Webroot公司的方向。 Brandt 解释道:“将签名放入云端而不是放在终端,有着明显的优势。如果托管在云中的定义出现了可怕的错误,我们可以立即将其撤回,防止出现大规模的破坏,希望能减少受影响用户的数量。”
赛门铁克的做法不同。赛门铁克安全响应部门主管Gerry Egan说:“赛门铁克基于信誉的安全做法从根本上突破了想法,恶意文件不需要被捕获和分析就可进行防御。取而代之的是,以信誉为基础的安全的方式与谷歌如何对网页进行排名是类似的。谷歌的PageRank算法依赖庞大的人群来确定一个具体网页的价值。”
他继续说:“一个网页的好坏直接取决于多少其他的网页链接到该网页,以及每个链接都被看做是对该网页的一个‘投票’。然而,投票率却不是唯一的标准。还会对该网页的受欢迎度进行分析。所有的这些信息经过计算给出一个网页在谷歌的排名。”
以信誉为基础的做法还有另外一个好处。那就是不需要先拦截恶意软件的样本再进行防御,这就使得误报率降低,以及对个人计算机的速度和性能影响到最少。IT管理员也可以量身定制这种功能进行实施和强化制度。
基于签名的模式作为一种错误的恶意软件防御方法已经存在了20年。它表现良好,并在大多数情况下都令人满意。但是,由于恶意软件开发者太多太过敏捷,导致这种模式已经不能维持更长时间的高效。
威胁不断演变,所以我们的防御系统也一定要发展了。