虽然反病毒产业也保持着快速的发展势头,但专业人士指出其发展速度跟不上病毒软件产业的增速。当杀毒软件可以抵御新病毒的攻击时,往往已经为时过晚。因为此时黑客早已经进行完破坏活动而逃之夭夭,他们或者盗取公司的交易秘密,或者删除数据,抑或清空消费者的银行账户。为此,各大传统安全软件公司和初创企业都在探索新的杀毒模式,以主动应对潜在的安全威胁。
据美国《纽约时报》网络版近日刊登署名为尼科尔·佩尔罗斯(Nicole Perlroth)的文章指出,在病毒种类不断猛增的今天,杀毒行业却乱象丛生。不仅程序员在利益的驱使下监守自盗,而且整个杀毒产业也面临着内在反应被动的难题。为此,各大传统安全软件公司和初创企业都在探索新的杀毒模式,以主动应对潜在的安全威胁。以下是文章内容全文:
数据安全公司Imperva首席技术官阿米凯·舒尔曼
杀毒产业乱象
反病毒产业有一条肮脏的潜规则:他们的产品通常并不能抵御病毒的攻击。
消费者和企业每年都要花费数十亿美元用于购买杀毒软件。但专业人士指出,这些杀毒软件很少能够抵御新型电脑病毒的攻击,因为病毒开发者们的反应非常迅速。这也促使一批创业公司和其他企业纷纷探索新措施,提升电脑的安全性。
美国诺维斯特风险投资公司(Norwest Venture Partners)的风投资本家马修·霍华德(Matthew D. Howard)指出:“病毒开发者总会努力保持对杀毒产业的领先优势,而且他们要领先一步也并不困难。”诺维特风险投资此前曾经为思科制定过网络安全战略。
电脑病毒过去曾经是数字恶作剧爱好者们自身兴趣的产物。但在2004年到2006年间,犯罪分子发现他们可以利用病毒软件盈利,从此新病毒的数量就开始以几何倍数增长。2000年,全球被发现的新病毒数量还不到100万个,其中的多数病毒都是由业余爱好者开发的。然而根据德国反病毒产品测试研究机构AV-Test公布的数据显示,在2010年,全球被发现的新病毒数量猛增至4,900万个。
虽然反病毒产业也保持着快速的发展势头,但专业人士指出其发展速度跟不上病毒软件产业的增速。当杀毒软件可以抵御新病毒的攻击时,往往已经为时过晚。因为此时黑客早已经进行完破坏活动而逃之夭夭,他们或者盗取公司的交易秘密,或者删除数据,抑或清空消费者的银行账户。
总部位于美国加州红杉市的数据安全公司Imperva与以色列理工学院(Technion-Israel Institute of Technology)的学生共同进行的一项最新研究也证明了这一点。Imperva 首席技术官(CTO)阿米凯·舒尔曼(Amichai Shulman)和一组研究人员收集并分析了82种新电脑病毒,并在40多种杀毒软件产品中进行了测试。尽管这些杀毒产品多数都来自微软、赛门铁克(Symantec)、McAfee和卡巴斯基(Kaspersky)等全球知名公司,但其初始探测率仍不到5%。
平均来看,杀毒产品差不多要用一个月的时间才能升级一次探测方法,并识别出新病毒。具有讽刺意味的是,其中探测率最高的两款产品——Avast和Emsisoft——反而是免费使用的,他们会鼓励用户花钱购买额外的功能。美国市场研究公司Gartner估计,2011年,全球消费者和企业用户在杀毒软件上的花费高达74亿美元, 约占全年安全软件总花费177亿美元的一半。
风险投资公司KPCB专门关注安全领域投资的合伙人泰德·施莱因(Ted Schlein)指出:“现有的自我保护方式已经失去功效。上述研究只是再次证明了这一点而已。探测病毒的整体理念早已混乱。”
内在反应被动性
导致这一问题的部分原因就是杀毒产品与内在的反应被动性。正如医学研究人员必须首先研究病毒,然后才能开发出疫苗一样,杀毒软件开发商同样要首先获取电脑病毒,然后对其进行分析,并探测它的特征(独有编码),然后才能编写杀毒程序。
这一过程至少需要几个小时,最长甚至可达几年时间。例如,卡巴斯基今年5月发现了一种名为Flame的复杂病毒,该病毒从大约5年前就开始一直窃取电脑数据。
安全服务提供商F-Secure首席研究员米科·海波尼(Mikko Hypponen)将Flame称作是杀毒软件行业的“一次惨痛失败”。在Flame被发现后,海波尼在美国科技杂志《连线》网络版上撰文称:“我们本应该做得更好,但我们却没有。我们在自己设置的游戏中掉队了。”
赛门铁克和McAfee的业务都是围绕杀毒软件建立起来的,他们已经开始意识到自身能力的局限性,并在努力探索新的发展方式。“杀毒”这个词已经在他们的网站首页上消失。赛门铁克还为旗下的热门杀毒产品推出了全新品牌:该公司现在的消费产品被命名为“诺顿网络安全”(Norton Internet Security),企业产品名称则是赛门铁克终点保护(Symantec Endpoint Protection)。
赛门铁克安全响应部门主管凯文·哈利(Kevin Haley)指出:“没人认为仅靠杀毒就足以解决问题。”。他表示,赛门铁克的杀毒软件包括了一些新技术,比如基于行为模式采取的封杀措施,这种模式会在 允许程序运行前查看文件中的30个特征,包括创建时间和其他安装位置等。他补充指出:“大约在三分之二案例里,其中的一项额外技术就可以探测出恶意软 件。”
传统工具将被淘汰
赞助反病毒研究的Imperva在这场竞争中拥有独特的优势。该公司的网络应用和数据安全软件成为新一代杀毒产品中的一员,这些产品以全新方式为用户提供安全保障。传统杀毒软件和防火墙只能简单地封杀恶意软件,而Imperva的产品却能够监测程序对服务器、数据库和文件的访问情况,以记录可疑行为。
虽然距离杀毒软件被公司彻底抛弃的那一天还很遥远,但企业家和投资者却越来越坚定地认为传统杀毒工具将被市场逐步淘汰。
美国市场研究公司IDC网络安全分析师菲尔·霍克默思(Phil Hochmuth)指出:“从攻击者的角度来看,游戏规则已经改变。基于代码特征的探测恶意软件的传统方式已经无法适应时代的发展。”
新方法获资金支持
一批新的创业公司正试图转变整个安全行业的观念,并且获得了投资者的支持。如果无法阻止恶意软件的攻击,那么今后的安全企业就必须推出能够识别反常行为的软件,并在系统遭到未经授权的入侵后及时对其进行清理。
当下最受市场追捧的安全创业公司包括Bit9、Bromium、FireEye和Seculert等互联网流量监控公司,以及Mandiant和CrowdStrike等在攻击发生后拥有专业技术展开清理的公司。
Bit9已经从KPCB和红杉资本(Sequoia Capital)等著名风险投资公司处融资7000多万美元。Bit9使用一种名为白名单(whitelisting)的方式,只允许系统已知的无害流量通过。
McAfee于2009年收购了白名单创业公司Solidcore。赛门铁克的产品目前也包含了Insight技术,该技术能够利用同样的原理阻止未知文件在设备上运行。
有 传言称,在2010年被英特尔收购后,McAfee前任CEO大卫·德沃特(David DeWalt)可能会在英特尔继续执掌该业务。但他却最终加盟了FireEye,这家创业公司开发的一套系统可以将企业的应用隔离在一个虚拟储存器中,然 后在允许流量通过前检测其中的可疑活动。
FireEye已经从诺维特、红杉资本和In-Q-Tel等风险投资公司处融资3,500万美元。In-Q-Tel是美国中央情报局(CIA)下属的风险投资部门。
以色列创业公司Seculert采用的方式略有不同。他们关注威胁的来源以便为政府和企业提供预警系统,而威胁往往来源于用于协调攻击的命令和控制中心。
企业加大安全开支
随着大型网络攻击数量的不断增长,分析师和风险投资家也认为,企业的反病毒开支模式同样会发生变化。
IDC的霍克默思指出:“原本只用于金融等敏感行业的技术如今正在进入主流市场。很快,如果你是一名反病毒专家,但却不使用这些技术,那么你就会成为同事和同行茶余饭后的笑柄。”
霍克默思表示,企业已经开始接受这样一种假设:他们迟早会遭到黑客攻击,一旦这一天到来,他们就需要顶尖的专业清理团队。
数据诊断和漏洞响应专业机构Mandiant获得了KPCB和摩根大通(JPMorgan Chase)旗下私募股权投资部门One Equity Partners总额7000万美元的投资。
McAfee 的两名高管乔治·库尔茨(George Kurtz)和德米特里·阿尔佩洛维奇(Dmitri Alperovitch)也离职创办了一家名为CrowdStrike的数据诊断创业公司。虽然成立不到一年时间,但他们已经从Warburg Pincus那里获得了2600万美元投资。
未来趋势:全面解决方案
如果有一天杀毒软件开发商有能力提高桌面电脑的安全性,那么犯罪分子可能早已经转战智能手机市场了。
今年10月,美国联邦调查局(FBI)警告称,多款恶意软件正在威胁Android设备。7月,卡巴斯基在苹果App Store中发现了首款恶意应用。美国国防部也呼吁企业和高校找出保护移动设备免受恶意软件侵害的积极方式。
McAfee、赛门铁克等公司正在开发解决方案。专门扫描移动应用中的恶意软件和病毒的创业公司Lookout最近以10亿美元估值完成了融资。
诺维特的霍华德指出:“犯罪分子越来越猖獗。杀毒软件有助于解决问题,但今后的大型安全公司还需要提供一套全面的解决方案。”
本文来源:腾讯科技 作者:佚名