殺毒軟體時代是不是快結束了?
過去幾個月來,某些知名的安全界人士接受訪問時表示 ─ 他們正考慮完全舍棄「殺毒軟體」的保護。他們尚未真正實行,他們認為:《用一個特別的應用軟體掃瞄,和移除惡意軟體的時代即將結束》!
惡意軟體已經改變,但搜索、驅逐它們的應用軟體卻一成不變。 我們今天所知的防毒程序,是以 20 年前的樣式比對技術。在過去的「米開朗基羅病毒」時代,甚至最近的 Netsky 病毒,樣式比對都發揮效用,但順序比對每一個單獨的電腦檔案與已知的惡意軟體,既耗時又落伍。
2007 年,『賽門鐵克』偵測到超過 10 億個病毒,其中三分之二是當年新生的病毒。載入 10 億個新簽名檔,或甚至其中百分之一,都是非常龐大的工作。
因此,軟體廠商開始規劃 2009 年(和之後)的新策略。這些作法,與簽名檔資料庫正好相反 :稱為「白名單」(whitelisting)。樣式比對就像是列出黑名單,白名單則是另一個極端 ─ 只允許受信任的檔案,在個人電腦中執行。
那就是賽門鐵克首席執行官 John Thompson ,在今年的 RSA 大會上所說的:『如果,惡意軟體的增長速度持續超越合法軟體,白名單這類技術(也就是識別和只允許好東西進入)將變得非常迫切。』他對白名單技術的說明其實不多,但大家都認為 Thompson ,已明確指出未來的方向。
白名單究竟有多可靠?其實,我們早在幾年前就開始使用這種防禦方式,為了更瞭解這類技術的運作方式,我們訪問了麻州 Bit9 公司首席策略官 Tom Murphy。
Bit9 這幾年,都在構建一個名為: Global Software Registry(全球軟體註冊,簡稱 GSR)的系統,編錄【已知有益】和【已知有害】的應用軟體和檔案。
Murphy 說 Bit9 使用三種方法 -- MD5、SHA1 和 OMAC,製作一個特別的檔案雜匯,確定該檔案,不會有其他意外的作用。截至目前這份目錄僅用在 Bit9 的企業產品,但他們已和 Kaspersky 簽約,2009 年,就會用在該公司的桌面安全產品上。
Bit9 不是唯一!SecureWave 的Sanctuary、Savant Protection 和 DriveSentry,都有企業用的白名單技術。有趣的是,Google、微軟和賽門鐵克這些大公司,現在也開始注意白名單技術。
這又讓我們回到殺毒軟體,如果管理數百萬個殺毒簽名檔非常吃力,世上的清白檔案何其多?只要想想目前所有的軟體版本,更別提那些產品創造出的檔案數量。白名單的缺點也是主要的爭議:所有的清白檔案遠多於壞檔案。目前,要在桌面使用白名單檔案是不切實際的。
『趨勢科技』(若想要投入白名單領域)認為自己有答案。過去幾年來,趨勢在全球各地設立伺服器,以便延續其軟體即服務(簡稱 SaaS)企業系統的服務。趨勢科技 CEO 「陳怡樺」表示,現在是把 SaaS 帶到桌面的時間,桌面的 SaaS 不會下載所有的簽名檔,而是呼叫「雲端」伺服器,從那裡取得結果。
別搞錯,趨勢還是使用殺毒簽名檔資料庫。陳怡樺說:『這種方式,比逐一比對各個惡意軟體更快。』的確,雖然每個程序間的差別只是幾毫秒,幾千個檔案加起來還是省下不少時間。因此,掃毒程序從 PC 改至雲端執行,並迅速取得結果。另一個好處,陳怡樺說:『是新範本可立即取得,並迅速獲得評估。』她估計,趨勢科技可在 15 分鐘內,建立一個未知威脅的新簽名檔。
15 分鐘,也是賽門鐵克的新口號。該公司消費者產品管理副總 Tom Powledge 表示:2009 年的 Norton 產品更輕巧、更快,部分原因是,他們丟棄了多個過去版本的簽名檔資料庫,也不會掃瞄每一個檔案。2009 年的產品將建立一個信任索引,也就是確認某些檔案(如照片或 MP3)清白無虞,除非檔案有變更,否則不會再掃瞄。他提供的圖表顯示:一臺主機內,大約 70% 的檔案都是可信任的,只有 30% 被主動掃瞄。
如同趨勢科技,Norton 也在試驗更快速的新惡意軟體反應機制。Powledge 說:『 Norton 不是每 15 分鐘,而是每 2 分鐘即可更新一次。』比起其他殺毒軟體廠商,每小時或每天更新的服務,這是極大的進步!
有鑒於趨勢,和賽門鐵克對傳統殺毒軟體所做的改善,殺毒軟體,還是無法躲過被時代洪流淹沒的命運嗎?答案是「肯定」的。我們問 Murphy:『白名單在某些企業,是否足以取代傳統的殺毒軟體保護?』
Murphy 的回答非常婉轉:『如果(顧客)認為他們可以控制整個環境,有些顧客,已經移除了主機內的殺毒軟體。』 企業領域的安全解決方案,確實會向下擴散到桌面領域。
- 關鍵字搜索:
-
殺毒