不过,尽管杀毒软件的有效性近年来一直在不断衰退,笔者认为对杀毒软件进行死刑宣判还是不靠谱的。
当然,随着恶意软件复杂性的不断增长,仅使用基于特征的杀毒软件作系统保护,必定有些力不从心。目前几乎有一半以上的威胁,杀毒软件都阻止不了,而且领先的杀毒软件企业也一直在引导人们,让大家理解,仅仅安装那些基于特征库的杀毒软件是不够的。
今年六月,一份面向300名信息安全专业人士对杀毒软件满意度进行的一项调查显示,85%的人都不相信杀毒软件可以阻止针对特定目标的攻击,比如高级持续性威胁(APT)和网络钓鱼。此外,杀毒软件对于零日漏洞更是无可奈何。
但在当今威胁四伏的环境中,基于特征的杀毒软件对于系统安全仍然做着重大的贡献。如果你去任何一家到处部署着杀毒软件的企业说,“杀毒软件已死,把它们都从系统中删除吧”,可以想像,有多少人会像杀毒软件对待病毒一样的对待你。
在系统保护中,阻止威胁只是防病毒工作的一部分。除了对病毒进行阻止,杀毒软件还要对病毒进行清理,将它们从系统中清除。如果说当前杀毒软件的架构和能力就是杀毒行业的未来,那肯定不对,但这与“杀毒软件已死”是两回事。
而且,将杀毒软件限定为基于病毒库的杀毒技术也是不全面的。实际上,现在的杀毒软件应该说是具备了多种防护手段的,反恶意软件的工具。而那些只基于特征库来杀毒的防病毒软件,在本世纪初就已经开始消亡了。
具有恶意软件防御能力的杀毒软件在企业中仍然并将继续得到重用,其效用甚至和最新的在线防御平台,如漏洞防御系统一样强大。杀毒软件厂商现在应该做的是提供一个完整的端到端解决方案,而本来只做漏洞防御系统的供应商反倒需要在他们的系统中添加恶意软件检测和修复功能。
说到这里,我们回过头来再看看“杀毒软件已死”的由来。早在2006年,某个调查机构发布了一份题为《杀毒软件已死》的报告。该报告声称,杀毒软件将被“使用白名单清除恶意软件的工具所取代。”的确,白名单确实在某些环境中得到了有效的应用,但它也有着明显的缺点。
对于某些可控的系统环境,如零售终端、工业制造和医疗系统等,白名单的确是一个不错的解决方案。但在终端用户环境中的时候,因为终端用户会不断地向他们的设备中添加应用程序,以至维护成本太高而最终无法持续。
简而言之,对于服务器、数据中心,或可控的系统环境,白名单是一个非常好的解决方案,但对于使用传统台式机、笔记本电脑等终端设备的用户,则面临没完没了的名单维护问题,这是一个大麻烦。
针对杀毒软件无法应对复杂威胁的批评并不是最近才有的。一些杀毒软件本身就包含漏洞,实际上让安装了这些杀毒软件的系统更容易受到攻击。这是因为杀毒软件的防病毒引擎通常都以系统的最高权限运行,这也意味着攻击者可能使用的权限。而且为了处理所有的文件类型,杀毒软件会调用文件格式解析器,而文件格式解析器又是一个可能的漏洞发源地。
但不管怎样,杀毒软件并不是批评者口中所说的那样不堪。
杀毒软件在过去五年里已经得到了进化并可以提供更多的防护。例如,杀毒软件不仅增加了更多的启发式功能,使它可以更有效地应对不明特征的威胁,而且也可以阻挡各种恶意软件,如rootkit、远程访问木马(RAT)、键盘记录器、间谍软件、广告软件、乃至“可能不必要的应用程序”。杀毒软件甚至还可以保护用户免受包括电子邮件、社交媒体和通过网络传播的文件等各种恶意软件载体的威胁。