企業反病毒保護:AV簽名值得嗎?
許多企業長期以來都是依靠基于簽名的防病毒技術保護自身免受信息安全威脅的侵害。很多時候,殺毒軟件一直是并且現在還是許多公司唯一擁有的反惡意軟件手段,這無意中給公司帶來了風險。
期望防毒軟件能夠保護一個系統遠離所有類型的威脅已經不再合理(即便曾經合理過)。作為數量眾多且前所未見的病毒類型,蠕蟲病毒及其他惡意軟件還在增長;傳統的基于簽名的防毒軟件已經跟不上病毒的步伐,常常被病毒繞過,導致了更多的感染。一些防毒軟件要么成為病毒的直接攻擊目標,要么給用戶使用帶來嚴重的問題。
病毒和惡意軟件的升級迫使安全廠商在其核心的防毒軟件中添加新的保護措施——如云查殺,以加強反惡意軟件的能力;同時企業們也正在設法阻止日益增多的病毒以及針對企業的定向攻擊。在這篇文章中,我們將要討論,繼續為防毒軟件套件花錢是否值得,或者企業們是否應該嘗試一下其他類型的能夠減輕安全威脅的技術。
誰該關心殺毒軟件?
首先,是那些并沒有意識到基于簽名的殺毒軟件查殺性能越來越差的人。咨詢公司Cyveillance去年報告說,根據他們對十多個流行的反惡意軟件的測試,發現這些軟件平均只能檢測不到20%的新出現的惡意攻擊。這意味著,隨著僵尸網絡的增加,對敏感數據和網上銀行的攻擊越來越多,每一家企業都應該重新評估殺毒軟件是否還值得付出金錢和成本去管理。
通常,將殺毒軟件作為保護系統的全面策略的一部分是一個好主意,且并不一定要使用基于簽名的防毒產品。許多更加高級的殺毒軟件,如基于行為檢測的、或基于云查殺和云增強的,能夠提供更大的安全保障。企業應該小心評估和測試先進的殺毒軟件,確保這些軟件可以集成到現有的安全策略中,并且對整個系統來說足夠成熟穩定。因為和傳統的殺毒軟件相比,采用新技術的殺毒軟件還不夠成熟。
有些人認為只是桌面系統才需要殺毒軟件,但是許多服務器也需要殺毒軟件,以便對客戶端系統進行持續的保護——例如文件服務器可能會允許沒有保護措施的客戶端下載服務器上可能已被感染的文件——同時還需要提供措施來保護服務器本身。過去,企業們花了大量的金錢在殺毒軟件上,但是,以后他們應該考慮將部分錢用于構建別的保護措施,同時保持對殺毒軟件一定程度的使用。底線就是,如果你的殺毒軟件沒有起到保護服務器和客戶端的效果,那么就考慮更換殺毒軟件或者換一種保護措施。
企業還可以做什么?
大多數企業會發現他們應該采取一種更加綜合的方法,作為僅使用殺毒軟件的補充,以增強系統防護,并建立一個多層次、有縱深的安全體系。考慮到處于更加陳舊狀態的AV簽名,這將特別有用。
當涉及到企業的病毒防護時,白名單、灰名單以及沙箱等技術對眾所周知的主機安全非常重要。全面補丁管理、防火墻、IDS/IPS等這些主機安全措施,一般的企業都應該已經具備。白名單的意思是預先定義允許在某一系統上運行的程序名單并阻止名單之外的所有程序的運行,這種方法可以防止多種類型的惡意軟件。灰名單與白名單有點類似,但是,就如它的名字所暗指的那樣,灰名單沒有白名單那么嚴格。灰名單技術對不在名單內的可執行文件的簽名和行為進行安全檢查,以確定其是否屬于惡意軟件;安全檢查可以是基于云服務的,能夠及時跟進最新的查殺項目。如果被檢查的程序沒有被確定為惡意的,那么就允許運行。沙箱技術將可執行文件放入與主機系統隔離的環境中運行,如果該文件是惡意的,那么就可以防止它感染主機系統。上述所有技術,或者任何一個,都可以為系統帶來更強大的安全防護。
其他一些技術如全盤加密和虛擬化(虛擬化技術如果用于安全防護,將與沙箱技術類似)等,也可以用于在不同場景下對系統進行保護。全盤加密技術可在系統關機被盜的情況下保護你的數據;虛擬化技術則是將未授信的代碼或程序放置在獨立的虛擬機上運行,而不是在主系統上,大大減少了惡意軟件利用漏洞影響底層系統的可能,從而能夠減少系統風險。一些對安全性能有嚴格要求的公司可能還希望擁有端口控制(這樣可以控制允許被接入系統的設備的種類)或者能夠控制數據拷貝目的地的DLP產品。
對殺毒軟件進行評估,確定哪些安全防護手段是必要的,這個建議適用于所有的系統,不管是何種操作系統或硬件,而且也包括智能手機平臺以及其他非傳統的終端設備。但你要記住:并不是所有系統都需要所有種類的保護,保護措施要與系統的具體要求相適宜。例如,不接觸敏感數據的系統就不需要全盤加密;如果一臺服務器不允許客戶端用DNS等易傳播惡意軟件的協議進行連接的話,它甚至都不需要安裝防惡意軟件。這些建議都假設操作系統已得到很好的保護、用戶沒有以管理員身份登錄,并且用戶都具有基本的安全防范意識。
結論
宣告基于簽名的殺毒軟件的死亡是毫無根據的,但是該類軟件已處于危險期,必須加以改變并適應新一波針對特定目標的攻擊浪潮。現在所謂的殺毒軟件最終也會像其他類型的軟件一樣,被滿足市場需要的新的軟件所替代。如果一個企業還沒有仔細評估過關于殺毒軟件的立場,那么是時候考慮未來的需求,然后再對那些滿足要求的軟件或保護措施進行投資了。
【編輯推薦】
