1月1日出版的美国《纽约时报》印刷版刊文称,虽然杀毒软件在消费和企业市场得到了广泛普及,但在病毒种类不断激增的当下,这种被动机制已经过时,无法满足日益增长的安全需求。为此,各大创业公司和老牌企业都在探索新的模式,主动应对潜在的安全威胁。
杀毒行业的秘密
杀毒行业有一个肮脏的小秘密:他们的产品通常都不足以阻止病毒。
消费者和企业用户每年花在杀毒软件上的钱多达数十亿美元,但专家认为,这些软件很少能杀死刚刚诞生的病毒,原因是病毒制造者的速度太快了。这也促使一批创业公司和其他企业纷纷探索新措施,提升电脑的安全性。
“这帮坏家伙总是领先一步。而且,要领先一步并不困难。”风险投资公司Norwest Veture Partners合伙人马修·霍华德(Matthew Howard)说,他曾经在思科负责安全战略。
电脑病毒原本主要用于恶作剧,但到2000年代中期,犯罪分子发现恶意软件还能谋利,于是新型病毒便呈现出指数增长。
根据德国杀毒产品测试机构AV-Test的数据,2000年新诞生的病毒不足100万种,多数都是由业余人士开发的。但到了2010年,这一数字却飙升到4900万种。
杀毒软件行业增速同样很快,但专家认为,与病毒本身的发展相比仍然大幅落后。等到能够杀死新病毒的产品面市,通常为时已晚。犯罪分子已经得逞,窃取了企业的商业机密、删除了数据、掏空了用户的银行账号。
加州数据安全公司Imperva与以色列理工学院(Technion-Israel Institute of Technology)共同展开的一项最新研究也佐证了这一点。Imperva CTO阿米才·舒尔曼(Amichai Shulman)和一组研究人员收集并分析了82种新电脑病毒,并在40种杀毒软件产品中进行了测试。尽管这些产品多数都来自微软、赛门铁克、McAfee和卡巴斯基,但其初始探测率却不足5%。
平均来看,杀毒产品差不多要用一个月才能升级一次探测机制,并识别新病毒。具有讽刺意味的是,其中探测率最高的两款产品——Avast和Emsisoft——反而是免费产品,他们会鼓励用户花钱购买额外的功能。根据美国市场研究公司Gartner的测算,全球消费者和企业用户去年在杀毒软件上的花费高达74亿美元——约占去年安全软件177亿美元总花费的一半。
“现有的自我保护方式已经不起作用。这项研究只是再次证明了这一点而已。但杀毒行业的整个理念已经失效。”专门关注安全领域的风险投资公司KPCB合伙人泰德·施莱恩(Ted Schlein)说。
与生俱来的缺陷
问题部分源于杀毒产品与生俱来的被动性。正如医疗研究人员在开发疫苗前必须首先研究病毒一样,杀毒软件制造商同样要首先俘获送电脑病毒,对其进行分析,并探测它的特征,然后才能编写杀毒程序。
这一流程最少需要几小时,最长甚至可以达到数年。例如,卡巴斯基今年5月发现了Flame,这是一种复杂的病毒,大约5年前就开始窃取电脑数据。
安全服务提供商F-Secure首席研究员米克·海珀尼(Mikko Hypponen)将Flame称作是杀毒软件行业的“一次惨痛失败”。在Flame被发现后,他在《连线》杂志网络版上撰文称:“我们应该做得更好,但我们却没有。我们没有完成自己的游戏目标。”
赛门铁克和McAfee的业务都是围绕杀毒软件建立起来的,他们都开始承认自己的局限性,并在努力探索新的发展方式。他们不再在首页上使用“杀毒”这个词,而赛门铁克也已经为旗下的热门杀毒产品制作了全新的品牌:该公司现在的消费产品名称是诺顿网络安全(Norton Internet Security),企业产品名称则是赛门铁克终点保护(Symantec Endpoint Protection)。
“没人认为仅靠杀毒就足够了。”赛门铁克安全响应总监凯文·哈利(Kevin Haley)说。他透露,赛门铁克的杀毒软件包括一些新技术,例如,根据行为模式采取封杀措施,这种模式会在允许程序运行前查看文件中的30个特征,包括创建时间和安装位置等。“大约在三分之二的情况下,只需要其中一项额外技术即可探测出恶意软件。”他说。
Imperva在这场竞赛中加足了马力。该公司的网络应用和数据安全软件成为新一代产品中的一员,以全新方式为用户提供安全保障。与传统的杀毒软件和防火墙不同,Imperva的产品不再简单地封杀恶意软件,而是监测程序对服务器、数据库和文件的访问情况,以查找可疑行为。
虽然距离彻底抛弃杀毒软件的那一天还很遥远,但创业者和投资者却在积极下注,认为传统工具将被逐步淘汰。
“从攻击者的角度来看,游戏已经变了。”美国市场研究公司IDC网络安全分析师菲尔·霍齐穆斯(Phil Hochmuth)说,“以代码特征为基础的传统恶意软件探测方式已经无法顺应时代的发展。”
激发创业浪潮
投资者正在支持一批新的创业公司,试图转变整个安全行业的观念。按照现有的思路来看,倘若无法封杀所有恶意程序,那今后的安全企业就必须推出能够识别反常行为的软件,并在违反既定规则的情况下清理系统。
当下最热门的安全创业公司包括Bit9、Bromium、FireEye和Seculert等互联网流量监控公司,以及Mandiant和CrowdStrike等在攻击发生后展开清理的公司。
Bit9已经从KPCB和红杉资本等著名风险投资公司处融资7000多万美元,他们使用一种名为白名单的方式,只允许系统已知的无害流量通过。
McAfee于2009年收购了白名单创业公司Solidcore。赛门铁克的产品目前也包含了Insight技术,利用同样的原理阻止未知文件在设备上运行。
有传言称,在2010年被英特尔收购后,McAfee前CEO大卫·德沃特(David DeWalt)可能会继续执掌该业务。但他却加盟了FireEye,这家创业公司开发了一套系统,可以将企业的应用隔离在一个虚拟寄存器中,然后在允许流量通过前检测其中的可疑活动。
该公司已经从Norwest、红杉资本和In-Q-Tel等风险投资公司处融资3500万美元。In-Q-Tel是美国中央情报局(CIA)下属的风险投资机构。
以色列创业公司Seculert采用的方式略有不同。他们会查看威胁来源——用于协调攻击的命令和控制中心——以便为政府和企业提供预警系统。
企业加大开支
随着著名的网络攻击数量增长,分析师和风险投资家也认为,企业的支出模式同样会发生变化。
“原本只用于金融等敏感行业的技术如今正在进入主流。”霍齐穆斯说,“很快,如果你是一名安全专业人士,但却不使用这些技术,那你的同事和同行就会嘲笑你。”
霍齐穆斯表示,企业逐渐开始接受这样一种假设:他们迟早会被黑客盯上,一旦这一天到来,必须使用一流的措施来应对。
数据法医和漏洞响应公司Mandiant获得了KPCB和摩根大通旗下私募股权投资部门One Equity Partners总额7000万美元的投资。
McAfee的两名高管乔治·克茨(George Kurtz)和德米特里·阿尔珀洛维奇(Dmitri Alperovitch)也离职创办了CrowdStrike,这家创业