这是毋庸置疑的事实:信息安全业界早已听到基于签名的杀毒软件的垂死之声。随着当前大量的恶意软件被传播且每天以指数级增长,对于杀毒软件厂商来说,时刻保持签名跟得上潮流几乎是不可能的。但是在2011年RSA大会上,四名专家组成员提到,完全地脱离病毒签名支持可能不是个好主意,而且无论如何,标准杀毒软件厂商的灭亡都不能算是信息安全业界最大的问题。
为“基于签名的杀毒软件之死”会议成立的专家组由来自四个最大的防病毒软件厂商——McAfee有限公司、Symantec公司、Kaspersky实验室和Trend Micro有限公司的高级代表组成。尽管他们和防病毒软件的生存有着切身的利益,但是成员们对于技术的状态是直言不讳的。
Trend Micro公司东京分部的CTO Raimund Genes说,“标准的杀毒软件已经不再有效”。
但是,尽管基于签名的杀毒软件自身不再有效,它也可能不会终结。Symantec公司的安全技术及响应高级副总裁Stephen Trilling指出,“对于像Conficker那样大量传播的蠕虫来说,基于签名的方法仍是非常有效的”。
Kaspersky公司的CTO Nikolay Grebennikov也拒绝完全舍弃基于签名方法的思想,宣称“签名的方法作为终端安全的唯一保护层是完全无效的,但是作为多个保护层之一它们却是有效的”。
专家组成员们达成一致意见,尽管基于签名的方法的确防止了许多的病毒感染,但它们必须和崭露头角的反恶意软件技术配合使用,例如启发式和基于行为的侦测方法,从而使企业的终端防护保持在合理的水平。
除了这些不断浮现的技术以外,白名单技术——作为竞争力不断下降的标准杀毒软件厂商的一种可能的解决方案——脱颖而出,尽管它也不是一劳永逸的方法。根据McAfee公司全球CTO和执行副总裁George Kurtz的说法,白名单技术“对于功能固定的设备是完美的”,如终端销售设备,但是对于那些经常变化的装置或设备(包括处理的信息和连接的人员),它很容易产生误报。
无论技术措施如何无懈可击,安全防护中的一个方面——如同方程式中输入的X因子,以及同机器进行交互的人总会带来问题。
Kurtz说道,“如果用户看到弹出一个窗口说‘你会感染病毒,请点击这里’,他们会点击它”。Genes在他的意见中附和道:“我们必须接受,100%的技术保护是不可能的事实”。他继续强调到信息安全业界必须帮助用户理解他们的组织面临的安全问题,以便将安全提升到下个更高的级别。
一名会议参加者,某个希望保持匿名的大型金融机构的副总裁及信息安全官证实,专家组已经开始注重提升员工意识。
他说道,“杀毒软件的衰落不是什么新鲜事,最近五到七年我们一直在应对这个情况”。然而他提到,在2010年,他大约三分之一的时间都用于清理由于员工个人使用因特网而造成的混乱状态。“内部的用户比任何其它事情都花费我更多的金钱和时间,且没有一个是和公司的业务活动有关系的”。
Chester Springs公司的总裁Lisa Phifer说,她同意专家组所说的在未来的五年,保护终端安全会更加容易。不仅是因为它们变得更简单,而且由于会有更多类型的终端,这意味着需要不同类型的漏洞。
Phifer说,“基于签名的防恶意软件被排除在终端防护之外的日子已经一去不复返了”。她补充到,相反,终端防护需要全面的多层策略。
然而,她不同意专家组所说的基于签名的防恶意软件只是为了杀毒而不是预防,因为随着基于云的防恶意软件的进化,可能会把基于签名的防恶意软件作为进程的一部分包含进来,以便让ISP们提供的最后一段因特网通道免于恶意软件的攻击。