杀毒软件时代的结束 杀软该何去何从.doc

杀毒软件时代的结束杀软该何去何从
如今,在狡猾而娴熟的攻击面前,传统的安全软件不堪一击。但与此同时,非常规的保护方法正在兴起。
今年夏天,伊朗、俄罗斯、匈牙利的计算机安全实验室联合宣布发现了“火焰”(Flame),匈牙利的Crysys实验室称其为“迄今为止发现的最复杂的病毒”。
在过去至少两年的时间里,火焰病毒一直从被感染计算机上复制文件,截图,并记录音频、键盘录入和Skype通话,然后将这些盗窃来的信息传给由病毒创造者运行的服务器上。在这整个过程中,没有一种安全软件能发出警报。
其实已有一系列事件证明用传统杀毒软件保护计算机不受恶意软件攻击的方法已过时,火焰病毒的发现仅是其中之一。“火焰标志着杀毒软件业的失败,”杀毒软件公司F-Secure的创始人米科·希伯尼(Mikko Hypponen)这样写道,“我们其实可以做得更好,但我们没有。我们在自己的比赛中出局了。”
企业、政府和普通消费者等使用的计算机安全程序的运行原理是类似的:将程序的代码及其活动与数据库里已知病毒的“签名”作比较,从而识别威胁。诸如F-Secure和MaAfee一直致力于研究关于新型病毒的报告,并据此更新它们的病毒库。研究结果理应是能筑起坚固的防火墙,保证病毒无机可乘。
然而近些年,对商务和政府进行攻击的病毒虽不如火焰那样狡猾娴熟,但也不费吹灰之力就通过了基于病毒库的安全软件。某些专家和公司认为是时候减少对杀毒模式保护法的应用了。“它仍会是(病毒防护)不可或缺的一部分,但不再是唯一的方法,”来自卡耐基-梅隆大学的研究者尼古拉斯·克里斯蒂安(Nicolas Christian)称,“我们需要打消试图建立马其洛防线的想法,它看起来坚不可摧但实际上非常容易绕开。”
克里斯蒂安和一些新创安全公司正致力于研究新的防护策略,使病毒攻击变得更困难,同时帮助那些被攻击对象予以还击。
例子之一是CrowdStrike,这是一家由杀毒软件业的资深人士创办的新兴公司,它已获得2600万美元的投资基金。CrowdStrike的首席技术官、联合创始人德米特里·阿帕罗维奇(Dmitri Alperovitch)称,该公司计划提供一种智能的警报系统,它甚至能识别出从未见过的最新攻击方式并追踪其来源。
阿帕罗维奇称这种方法是可行的,因为即便攻击者能轻易改写火焰这类病毒的代码来避开杀毒软件的扫描,他或她也始终会有一个目标:获得并提取有价值的数据。可以理解CrowdStrike不肯披露该技术的细节,但显然它会在客户的系统上分析活动的痕迹,找出其中是否有来自入侵者的部分。
这项技术的目的是阻挠最常见的攻击手段,从而使攻击者难以得逞,而不是将重点放在攻击者具体的攻击工具上,因为它们“非常多变”,阿帕罗维奇称,“我们需要关注的是持枪的人,而不是枪本身。”
其他公司也是从类似的角度出发。“这要回到那句执法口号:‘犯罪是不值得的’,”另一家新创公司Shape Security的联合创始人萨米特·阿加瓦尔(Sumit Agarwal)说。该公司获得了包括谷歌董事长埃里克·施密特(Eric Schmidt)在内的投资者