防病毒程序是否还有存在价值?

 (编者按:文中“我”均指作者)

当前,防病毒软件正在逐步陷入恶性循环中。不管合理与否,我们都需要退一步,找出解决这一问题的办法。

首先,我们要对防病毒保护模式进行定义。简单得说,它是一种防止恶意软件感染计算机的软件。如果你同意这一点的话,我就要问了,为什么受到防病毒软件保护的计算机依然会受到感染。

为了进一步探讨这个问题,我邀请到NSS实验室的总经理里克·莫伊。关于NSS实验室的情况介绍见下段:

"NSS实验室可以提供对安全产品进行独立评测的专家团队,帮助企业级最终用户选择适合他们自身环境的安全产品。"

防病毒程序是否还有存在价值? 

据我的初步了解,NSS实验室正在进行一项与浏览器和抵御恶意软件的能力有关的研究。因此,在这篇文章中,我与里克就NSS实验室非常有感兴趣的当前恶意软件和防病毒软件之间的对峙局面进行了有趣的交谈。我向里克提了表面上看起来和这场经典战役有关的几个问题。

作者:你刚才提到恶意软件会带来两种类型的威胁,用户攻击和机器攻击。能详细解释一下么?

莫伊:总体来看,恶意软件是以下面定义的方式运行:

Ø 对用户的攻击:用户受骗下载并执行的软件中包含有假视频、音频编解码器和盗版软件的恶意代码。在这种情况下,用户是漏洞或者说薄弱环节。

Ø 对计算机的攻击:攻击者利用了用户没有发现的软件漏洞。举例来说,一个有漏洞的网络浏览器在访问恶意网站时间通常会被利用,导致系统中被安装上恶意软件。所有这些过程都不需要用户参与。

对付第一种威胁需要对用户进行培训并采用可以发出警告的信誉系统(在Internet Explorer 8、火狐和Chrome中均有提供),它们可以在下载时提出警告。一些防病毒产品也可以作到这一点。

主机入侵防御系统(HIPS)不是传统的防病毒产品,它可以解决第二种威胁。它们在内存中运行,可以在数据传输到计算机上的时间里进行检查。HIPS也可以在进程运行前作出检查。这种单次独立运行技术正在越来越多地集成到端点安全产品中。

作者:在我们的讨论中,你提到过防病毒软件通常有三个组成部分,每个部分针对的重点是不同的恶意软件。我觉得这一点非常有趣,你能不能详细介绍一下。

莫伊:极光行动就是一个很好的例子。它包括了所有三个阶段:脆弱点、可利用的漏洞以及恶意的有效载荷。在讨论的时间,这种区分方式经常会引起混淆,但对于理解如何有效地阻止攻击来说,则是必须的。

Ø 脆弱点:是软件代码中的一个错误,可能导致产品出现漏洞,举例来说,缓冲区溢出。

Ø 可利用的漏洞:它是一种专门开发的代码,可以利用应用程序中存在的脆弱点。内存堆积和缓冲区溢出攻击就是典型的例子。一个漏洞可以隐藏在受到感染的网站 (客户端攻击)上对访问的计算机进行攻击,或者从另一台计算机上进行登陆(远程攻击)。

Ø 有效载荷:它指的是一旦包含了脆弱点的应用被打开了漏洞就输入进去的恶意内容。有效载荷影响的是目标计算机,包括命令执行、写入下载工具或者木马到硬盘中,或者返回反向外壳。

防病毒程序是否还有存在价值? 

相对于控制恶意软件的有效载荷,端点安全产品应该更注重对脆弱点的保护。这是因为它们的数量少得多,因此更方便管理。

作者:根据防病毒软件公司的说法,它们的产品可以抵御恶意软件。你觉得用户是不是被这些宣传误导了。能否详细说明一下?

莫伊:2009年底,我们对访问公司网站的五百名用户进行了调查,结果发现有46%期望安装的防恶意软件产品能抵御所有威胁。主要安全厂商估计大约有30%机器在扫描时发现某些形式的恶意软件。统计数字显示,恶意软件是远远没有受到控制。

作者:只要有一台被保护的计算机受到感染,人们就应该意识到某些宣传是不完全正确的。你是怎么看待这一问题的呢?

莫伊:我们正在进行的是一场不对称战争;坏人比好人拥有更多的机会。作为防御者,我们需要关注和防御所有可能引起攻击的途径。而对于攻击者来说,网络犯罪分子只要找到一处漏洞就可以感染我们的系统。他们工作积极有效率,还会对开发的恶意软件进行测试,找出可以避开防病毒产品的一条有效途径,感染绝大多数机器。

展望未来,为了减少漏洞数量,软件开发人员必须编写更安全的代码。用户必须进行自我培训并经常安装补丁。

作者:我一直大力倡导这样的观点:只要保持操作系统和应用软件的及时更新,就不会出现问题。但你给出了一个例子,说明这样做也不总是正确的。能详细说明一下么?

莫伊:尽管安装软件的最新补丁是非常重要的,但这不能保证你的安全。补丁只是用来解决已发现的问题的。网络犯罪分子就正在持续开发和使用没有被安全界发现的漏洞来进行新攻击,这就是所谓的零日攻击。

零日漏洞为攻击者提供了一个机会。也就是说,直到分析师可以了解到发生了什么,并推出了签名文件或修补程序为止。在这段时间里,行为保护模式时可能会提供帮助。

作者:你看起来似乎非常乐观,认为防病毒应用可以继续改进并发挥作用。情况真得是这样么?

莫伊:很明显防病毒应用可以继续改进。最近,我们对极光攻击行动进行了研究,结果发现七种产品中有六种不能防止变种病毒的攻击。而且在检测恶意的有效载荷方面,它们的表现也让人喜忧参半。

安全产品应该不断改进,提供更多基于脆弱性的保护。信誉服务也是提高用户安全的关键技术,但并非是所有厂商都在使用的。最后,安全厂商应该选择进行更多的实地测试和第三方服务,以推动创新的发展并提高产品质量。

作者:你提到过,在对安全产品进行测试时,NSS实验室采用的是一种独特的方法。你能否向我们介绍一下,这种方法的好处在哪里?

莫伊:由于新威胁可以通过互联网传播并到达给速度带来新定义,因此,对于产品能力评估来说,传统的测试技术已经不再有效了。所以,NSS实验室开发了一种独特的"云中生活"测试框架,用于模拟普通用户的情况。

客户机利用网络浏览器访问恶意网站并尝试下载恶意软件。文件不会被阻止,并动态执行。这种新测试模式关注的重点是目前活跃在互联网上的威胁,是显示产品保护能力的最佳指标。

由于每隔几小时恶意网址都会被访问,所以在循环测试中我们需要了解从恶意软件进入到被发现花费了多长时间。这让我们能够衡量供应商需要多长时间来提供补充保护,毕竟几乎没有网站在第一次访问后就会停下来。这些指标有助于显示出产品有效性之间的重大分歧。

作者:有了这种独特的方法,你觉得是否可以为防病毒软件开发商提供服务?

莫伊:当然。我们的工程师采取了黑客模式来进行测试,真刀真枪毫不留情。如果不采用这种模式,测试者只能验证一个产品可以做什么。在坏人这么做前,找到一个产品不能做的才是最重要的。我们已经帮助很多世界上最知名的安全公司对他们的产品进行改进了。

最后的思考

在里克的回答中,有三方面的关键内容:

Ø 防御者必须保护所有可能引起攻击的途径,坏分子只要找到一处漏洞即可。

Ø 端点安全产品应该更注重对脆弱性的保护。

Ø 测试安全产品时应该选择模拟普通用户体验的方式。

对我来说,这三点简单声明澄清了问题,说明了需要做的事情。你是怎么认为的?