杀毒行业的瓶颈:被动防御机制已经过时
杀毒软件行业增速同样很快,但专家认为,与病毒本身的发展相比仍然大幅落后。等到能够杀死新病毒的产品面市,通常为时
已晚。犯罪分子已经得逞,窃取了企业的商业机密、删除了数据、掏空了用户的银行账号。
加州数据安全公司Imperva与以色列理工学院(Technion-Israel Institute of Technology)共同展开的一项最新研究也佐证了
这一点。Imperva CTO阿米才·舒尔曼(Amichai Shulman)和一组研究人员收集并分析了82种新电脑病毒,并在40种杀毒软件产
品中进行了测试。尽管这些产品多数都来自微软、赛门铁克、McAfee和卡巴斯基,但其初始探测率却不足5%。
平均来看,杀毒产品差不多要用一个月才能升级一次探测机制,并识别新病毒。具有讽刺意味的是,其中探测率最高的两款产
品——Avast和Emsisoft——反而是免费产品,他们会鼓励用户花钱购买额外的功能。根据美国市场研究公司Gartner的测算,
全球消费者和企业用户去年在杀毒软件上的花费高达74亿美元——约占去年安全软件177亿美元总花费的一半。
“现有的自我保护方式已经不起作用。这项研究只是再次证明了这一点而已。但杀毒行业的整个理念已经失效。”专门关注安
全领域的风险投资公司KPCB合伙人泰德·施莱恩(Ted Schlein)说。
与生俱来的缺陷
问题部分源于杀毒产品与生俱来的被动性。正如医疗研究人员在开发疫苗前必须首先研究病毒一样,杀毒软件制造商同样要首
先俘获送电脑病毒,对其进行分析,并探测它的特征,然后才能编写杀毒程序。
这一流程最少需要几小时,最长甚至可以达到数年。例如,卡巴斯基今年5月发现了Flame,这是一种复杂的病毒,大约5年前
就开始窃取电脑数据。
安全服务提供商F-Secure首席研究员米克·海珀尼(Mikko Hypponen)将Flame称作是杀毒软件行业的“一次惨痛失败”。在
Flame被发现后,他在《连线》杂志网络版上撰文称:“我们应该做得更好,但我们却没有。我们没有完成自己的游戏目标。
”
赛门铁克和McAfee的业务都是围绕杀毒软件建立起来的,他们都开始承认自己的局限性,并在努力探索新的发展方式。他们不
再在首页上使用“杀毒”这个词,而赛门铁克也已经为旗下的热门杀毒产品制作了全新的品牌:该公司现在的消费产品名称是
诺顿网络安全(Norton Internet Security),企业产品名称则是赛门铁克终点保护(Symantec Endpoint Protection)。
“没人认为仅靠杀毒就足够了。”赛门铁克安全响应总监凯文·哈利(Kevin Haley)说。他透露,赛门铁克的杀毒软件包括一
些新技术,例如,根据行为模式采取封杀措施,这种模式会在允许程序运行前查看文件中的30个特征,包括创建时间和安装位
置等。“大约在三分之二的情况下,只需要其中一项额外技术即可探测出恶意软件。”他说。
Imperva在这场竞赛中加足了马力。该公司的网络应用和数据安全软件成为新一代产品中的一员,以全新方式为用户提供安全
保障。与传统的杀毒软件和防火墙不同,Imperva的产品不再简单地封杀恶意软件,而是监测程序对服务器、数据库和文件的
访问情况,以查找可疑行为。
虽然距离彻底抛弃杀毒软件的那一天还很遥远,但创业者和投资者却在积极下注,认为传统工具将被逐步淘汰。
“从攻击者的角度来看,游戏已经变了。”美国市场研究公司IDC网络安全分析师菲尔·霍齐穆斯(Phil Hochmuth)说,“以代
码特征为基础的传统恶意软件探测方式已经无法顺应时代的发展。”
激发创业浪潮
投资者正在支持一批新的创业公司,试图转变整个安全行业的观念。按照现有的思路来看,倘若无法封杀所有恶意程序,那今
后的安全企业就必须推出能够识别反常行为的软件,并在违反既定规则的情况下清理系统。
当下最热门的安全创业公司包括Bit9、Bromium、FireEye和Seculert等互联网流量监控公司,以及Mandiant和CrowdStrike等
在攻击发生后展开清理的公司。
Bit9已经从KPCB和红杉资本等著名风险投资公司处融资7000多万美元,他们使用一种名为白名单的方式,只允许系统已知的无
害流量通过。
McAfee于2009年收购了白名单创业公司Solidcore。赛门铁克的产品目前也包含了Insight技术,利用同样的原理阻止未知文件
在设备上运行。
有传言称,在2010年被英特尔收购后,McAfee前CEO大卫·德沃特(David DeWalt)可能会继续执掌该业务。但他却加盟了
FireEye,这家创业公司开发了一套系统,可以将企业的应用隔离在一个虚拟寄存器中,然后在允许流量通过前检测其中的可
疑活动。
该公司已经从Norwest、红杉资本和In-Q-Tel等风险投资公司处融资3500万美元。In-Q-Tel是美国中央情报局(CIA)下属的风险
投资机构。
以色列创业公司Seculert采用的方式略有不同。他们会查看威胁来源——用于协调攻击的命令和控制中心——以便为政府和企
业提供预警系统。
企业加大开支
随着著名的网络攻击数量增长,分析师和风险投资家也认为,企业的支出模式同样会发生变化。
“原本只用于金融等敏感行业的技术如今正在进入主流。”霍齐穆斯说,“很快,如果你是一名安全专业人士,但却不使用这
些技术,那你的同事和同行就会嘲笑你。”
霍齐穆斯表示,企业逐渐开始接受这样一种假设:他们迟早会被黑客盯上,一旦这一天到来,必须使用一流的措施来应对。
数据法医和漏洞响应公司Mandiant获得了KPCB和摩根大通旗下私募股权投资部门One Equity Partners总额7000万美元的投资
。
McAfee的两名高管乔治·克茨(George Kurtz)和德米特里·阿尔珀洛维奇(Dmitri Alperovitch)也离职创办了CrowdStrike,
这家创业公司提供类似的服务。成立不到一年,他们已经从Warburg Pincus那里获得了2600万美元投资。
等到杀毒软件制造商有能力加强桌面电脑的安全性时,犯罪分子可能已经转战智能手机市场。
今年10月,美国联邦调查局(FBI)警告称,已经出现了多款针对Android设备的恶意应用。7月,卡巴斯基在苹果App Store中发
现了首款恶意应用。美国国防部也呼吁企业和高校开发各种方式,保护移动设备免受恶意软件侵害。
McAfee、赛门铁克等公司正在开发解决方案。专门扫描移动应用中的恶意软件和病毒的创业公司Lookout最近以10亿美元估值
完成了融资。
“犯罪分子越来越猖獗。杀毒软件有助于解决问题,但今后的大型安全公司还需要提供一套全面的解决方案。”Norwest的霍
华德说。
{:7_725:}很深奥,看不太懂 那样的话花钱花得多...杀毒软件我不太愿意花... 在人工智能有重大突破或者HIPS智能化之前,这种被动防御机制很难有改观。 裸奔吧 装神马杀软- -{:7_755:} 字太多了,现在的我已经看不下那么多字的文章了 solknight 发表于 2013-1-1 19:01 static/image/common/back.gif
那样的话花钱花得多...杀毒软件我不太愿意花...
我最愿意花的钱就是杀软。{:7_701:} 不用杀毒软件 病毒没了,杀毒公司也破产了。。。。。。 qianlong 发表于 2013-1-1 19:55 static/image/common/back.gif
我最愿意花的钱就是杀软。
我用免费的或者破解的....{:7_740:} 360主动防御笑而不语
页:
[1]