惡意軟件無孔不入 反病毒軟件希望何在?
原創【51CTO 3月31日外電頭條】首先,讓我們給反病毒保護應用下個定義。簡單地說,就是指用來防止惡意軟件感染計算機的軟件。如果你們認同這個定義的話,我便要問上一問,為什么安裝了反病毒應用的計算機仍然會被感染?
為了進一步探討這個問題,我邀請了NSS實驗室的總裁Rick Moy,下面是對他的采訪:
“NSS實驗室執行專業的、獨立的安全產品評估,協助終端用戶針對他們的環境選擇正確的安全產品。”這是NSS實驗室關于自己的介紹。我最初了解NSS實驗室是為了做一篇關于瀏覽器抵御惡意軟件的報道。那時起,Rick和我就反病毒進行過很多次有趣的探討。
TechRepublic:你提到過惡意軟件有兩種類型:攻擊用戶和攻擊機器。你能解釋一下嗎?
Moy:從高處看,惡意軟件可以按照執行方式分成這兩類:
攻擊用戶:欺騙用戶下載并且執行包含惡意軟件的假音頻視頻文件以及盜版軟件。在這種情況下,用戶是最薄弱的一環。
攻擊計算機:攻擊者利用用戶不知道的軟件漏洞,例如將瀏覽器帶有漏洞的用戶引誘到惡意網站,在那里通常會直接安裝惡意軟件,所有的操作都無需用戶交互。
TechRepublic:你還提到惡意軟件通常有三個部件,每一個都針對著不同的方面,這很有趣,希望你闡述一下。
Moy:比如最近的Operation Aurora攻擊就是一個很好的例子。它包括所有的三個階段,Vulnerability、Exploit和Payload。它們經常混淆,但分清它們對于理解如何有效阻止攻擊是很重要的。
Vulnerability:指軟件代碼中的bug,這些漏洞會讓產品受到攻擊,例如一個緩沖區溢出。
Exploit:這是為了攻擊應用中的Vulnerability而特意編寫的代碼序列,比如對緩沖區溢出的攻擊。一個Exploit可以隱藏在受感染的網站伏擊訪問計算機,或從另一臺計算機遠程攻擊。
Payload:是指在應用的漏洞被攻破之后裝載的惡意內容。Payload就是在目標計算機上執行的操作,例如在硬盤上寫一個木馬下載器,或者返回一個反向shell。
這張圖顯示了每一階段的攻擊相對數量。
終端安全產品應該更加側重于漏洞保護,而不是在惡意的payload身后追逐。這是因為漏洞的數量要少的多,因此更易于管理。
TechRepublic:反病毒軟件企業都說他們的產品能夠防范惡意軟件,而你覺得用戶有些被誤導了,這能否請你解釋一下?
Moy:在2009年年底,我們對我們網站的500名訪客進行了調查,結果發現有46%的人認為他們安裝的反病毒軟件能夠百分之百的阻止威脅。但主要的安全廠商的掃描數據卻顯示,有超過30%裝有反病毒產品的計算機還是感染了某種病毒。這個數據說明惡意軟件還遠遠沒有得到控制。
TechRepublic:也就是說一臺受保護的計算機稍不注意就會被感染,而這個危險人們還意識不到,你認為問題出在哪兒?
Moy:我們是打一場對比懸殊的戰斗,壞人的力量比好人大得多。作為防守方,我們需要觀注和防范一切可能的攻擊途徑。但作為攻擊方的網絡罪犯只需要找到一個系統漏洞就可以擊敗我們。
展望將來,軟件開發者必須編寫更安全的代碼,減少漏洞的數量。用戶也必須要加強對自己的教育,更頻繁的打補丁。
TechRepublic:我一直這樣認為:只要讓操作系統和應用軟件跟上最新的升級,那就不會出現問題。照此說并非是這樣,你的意見呢?
Moy:雖然給應用打上最新的補丁是很重要的,但這無法保證你的安全。補丁只是寫給那些已知的問題。但網絡罪犯正在不斷地開發和探索那些尚未被安全社區發現的新的攻擊點,比如零日攻擊,除非分析人員能夠提前判斷到問題出在哪里,否則網絡罪犯們總有機會。
TechRepublic:對于反病毒軟件的前景你似乎比較樂觀,怎樣才能改進的更有效呢?
Moy:在一些很明確的地方反病毒產品可以改進的更好。在我們最近對Operation Aurora 攻擊的一項研究中,我們發現7種反病毒產品中的6種沒有能夠阻止漏洞的變種。而且,它們在檢測惡意payload的成績也參差不齊。
安全產品應該進一步發展,提供更好的基于漏洞的保護。企業信譽服務是可以減少最終用戶風險的關鍵技術,但并非所有的廠商都在使用。最后,安全廠商應該接受更多的現實世界測試和第三方服務,這樣才能推動產品的質量和創新。
TechRepublic:你提到NSS實驗室使用不同的方法測試安全產品,能告訴我們為什么這樣做更好呢?
Moy:隨著互聯網的發展,現在病毒的傳播速度達到了新的水平,傳統的測試技術已經無法達到要求了。因此,NSS實驗室開發了“Live in-the-cloud”測試框架,模擬平均的用戶體驗。這種新的測試方法的重點是針對目前在互聯網上活躍的病毒,我們會每隔幾小時就做一次測試,這使我們能夠測量廠商需要多長時間才能提供保護。
廠家的產品測試只是為了驗證產品可以做什么,但更重要的是要找到它不能做什么,為了發現這些,我們的工程師也幾乎在做和黑客同樣的事,現在我們已經幫助過許多世界知名的安全企業改進了它們的產品。
最后的思考
在這次采訪中,Rick Moy提出的三點意見躍然而出:
1. 防守方必須保護所有可能的攻擊途徑,但壞人只需要一個漏洞。
2. 終端安全產品應更側重于漏洞保護。
3. 測試安全產品應該采取模擬平均用戶體驗的方式。
對我來說,這三條簡單的意見說明了問題的所在,也正是我們需要做的。你覺得呢?
【51CTO.com譯稿,合作站點轉載請注明原文譯者和出處。】
原文:Is there hope for antivirus programs? 作者:Michael Kassner
