作者:迈克尔·卡斯纳 (Michael Kassner)
翻译:PurpleEndurer 2012-08-29 第1版


  前言:杀毒程序过时了。在这种情况下,我们应该做些什么呢?让我们来了解一下安全社区里是怎么说的。

 

  不要在无防护措施的情况下访问互联网,否则你会后悔的。这样的建议不绝于耳。接下来的会是不是:


  “这意味着我们大家都在两年或更早之前错过了对这个恶意软件的检测。这对我们公司,对整个杀毒行业来说是一个令人扼腕的失败。”


  这段话源自米克·海波宁(Mikko Hypponen)近期发表的演讲 《为什么像我们这样的反病毒公司未能捕获 Flame(火焰) 和 Stuxnet(超级工厂)》一文,他是F-Secure创始人、研究总监(Chief Research Officer)——数字设备保护领域的一位重要角色。

  这样的声明对米克来说非同寻常(他在TED上作了演讲),因为受到广泛关注的电脑安全专家通常会对有关事物表示乐观。我联系了米克,问他是否有进一步的想法:


  “正规反病毒软件可以很好地对付恶意软件,却难奈政府资助的超级恶意软件。你被超级恶意软件当作攻击目标可能性有多大?我想这取决于你在做什么。防弹背心和头盔可以很好的对付出来找碴的街头强盗,但没法应付针对你们或者只有你的政府刺客。,你成为政府刺客的目标的可能性有多大?我想这也取决于你在做什么。


  米克所指的是包括Stuxnet(超级工厂)、DuQu,Flame(火焰)在内的隐身恶意软件(stealthy malware)新家族(军事恶意软件和超级恶意软件是我发明的名称)。在为本文收集事实证据的过程中,我发现这不是第一次有人质疑传统的防病毒程序。


  我想向大家介绍,得克萨斯州达拉斯大学的高级信息安全分析师保罗·施梅尔(Paul Schmehl)。保罗还是一位优秀的作家,他为Security Focus撰写的稿件“廉颇老矣:防病毒扫描过时了吗?(Past its Prime: Is Antivirus Scanning Obsolete?)”的起首段为:


  “这篇文章的标题和主题显然是有争议的。这从被坚信看到清晰前进方向的杀毒行业的强烈反应中得到了印证。因此,防病毒扫描过时了吗?一言概之,没错,但不要扔掉你的扫描程序。”

  看来米克并不孤单也不是首倡者,因为保罗在10年前就写出了这篇文章。


  最后我想介绍的人是布鲁斯·施奈尔(Bruce Schneier)。涉及到任何种类的安全时,布鲁斯倍受敬重。要明白我的意思,可以翻阅布鲁斯的新书《骗子和局外人(Liars and Outliers)》。 2009年,信息安全杂志刊载了“防病毒软件死了吗?”,介绍了布鲁斯和马卡斯·拉努姆(Marcus Ranum)之间的讨论。布鲁斯说:


  “是的,当新病毒更加频繁地出现,现有病毒变异速度更快时,防病毒程序已变得不那么有效了。是的,反病毒公司永远扮演着追赶者的角色,努力创建新的病毒特征码。是的,在新病毒的特征码添加到检测程序之前,基于特征码的防病毒软件无法保护你。杀毒软件绝不是万能的。”


  说句公道话,三个专家都觉得杀毒软件有存在的必要,但对基于特征码方法的防病毒程序的支持率显然不足。


  扮演着追赶者


  我们在电话交谈过程中,保罗将传统防病毒程序面临的问题比作“打地鼠(Whac-A-Mole)”游戏,在这个游戏中,地鼠会跳出来,玩家要在这个可怜的小动物消失之前击昏它。保罗解释了两者的相似之处:


  “Anti-virus scanning is based on Newton’s law; for every action there is an equal and opposite reaction. Each time a new virus, or a new viral approach is discovered, anti-virus scanners must be updated.”

  “防病毒扫描是基于牛顿定律,每一个动作都有一个大小相等、方向相反的反应。每当一个新的病毒,或一种新的病毒工作方法被发现,必须更新反病毒扫描程序。”


  保罗继续说道:


  “不难看出这其中存在一个收益递减点,在这个点上更新已不再可行,因为测试时间过长。客户开始寻找其他克服恶意威胁的解决方案。”

 

  还有希望吗?


  对于如何改善这种状况,布鲁斯和保罗都有想法。我从保罗开始说起。早在2002年,他为行为拦截(Behavioral Blocking)技术而兴奋。我让他做了解释:


  “解决办法是在一个受保护的虚拟环境中运行未经验证的程序。程序可以执行的所有功能,它通常会进行安装,然后正常运行。程序采取的每个行作可以用来与一组规则进行比较,从而评定其是否具有恶意。执行某些操作超过一定的数量的程序将被自动删除。处于一个较低的范围内的程序将会被隔离,这样安全管理员可以更加密切地检查它们。其余的程序就过关,原封不动的返回网络。”


  保罗认为这种方法颇具价值。不幸的是,行为拦截并没有获得其他安全专家的一致肯定,但有一个被称为白名单(Whitelisting)的技术却获得了。据布鲁斯的说法:


  “如果人们使用白名单,例如Bit9 Parity和萨文特保护(Savant Protection),安全性将得到改善——我个人建议Malwarebyte的反恶意软件(Malwarebytes’ Anti-Malware)。”


  持乐观态度的他们同时警告白名单技术存在下列问题:
  用户界面不是很友好。
  需求和软件的变更会增加管理开销。
  没办法处理附著于数据文件的恶意软件。
  重命名文件不难。(改变文件名就能突破白名单)

 

  除了行为拦截和白名单外,也有一些新开张的公司致立力解决这个问题——例如CrowdStrike和Shape Security。两家公司通过令人关注的索赔,已经收到象征性的资金,两家公司也将公布技术信息。

 

  更新:我刚刚收到米克发来的电子邮件,他认为有必要做以下澄清:


  “关于白名单的这一点:几乎每个Windows白名单应用程序允许执行由微软签名的未知可执行文件(否则Windows补丁会失败)。这很好 - 除了微软签名的火焰(Flame)以外”。


  结语


  除非我错过了一些东西,我没有发现任何在这个时候有效的技术解决方案。我询问过保罗,他也同意这个看法。保罗补充说,由于为教学机构工作,他的部门自然把重点放在教育学生和教师有关计算机安全的知识。我问保罗,他们是否发现了什么改进。保罗热情地回答,“比他们所希望的要好。”


  挂电话时,我想起了TechRepublic作家乍得·佩兰(Chad Perrin)的文章,“授人以渔(Teach a man to fish.)”。
  (英文来源:
http://www.techrepublic.com/blog/security/traditional-antivirus-software-is-useless-against-military-malware/8203