據(jù)美國(guó)《紐約時(shí)報(bào)》網(wǎng)絡(luò)版近日刊登署名為尼科爾·佩爾羅斯（Nicole Perlroth）的文章指出，在病毒種類(lèi)不斷猛增的今天，殺毒行業(yè)卻亂象叢生。不僅程序員在利益的驅(qū)使下監(jiān)守自盜，而且整個(gè)殺毒產(chǎn)業(yè)也面臨著內(nèi)在反應(yīng)被動(dòng)的難題。為此，各大傳統(tǒng)安全軟件公司和初創(chuàng)企業(yè)都在探索新的殺毒模式，以主動(dòng)應(yīng)對(duì)潛在的安全威脅。

[[59302]]

數(shù)據(jù)安全公司Imperva首席技術(shù)官阿米凱·舒爾曼（騰訊科技配圖）

以下是文章內(nèi)容全文：

殺毒產(chǎn)業(yè)亂象

反病毒產(chǎn)業(yè)有一條骯臟的潛規(guī)則：他們的產(chǎn)品通常并不能抵御病毒的攻擊。

消費(fèi)者和企業(yè)每年都要花費(fèi)數(shù)十億美元用于購(gòu)買(mǎi)殺毒軟件。但專(zhuān)業(yè)人士指出，這些殺毒軟件很少能夠抵御新型電腦病毒的攻擊，因?yàn)椴《鹃_(kāi)發(fā)者們的反應(yīng)非常迅速。這也促使一批創(chuàng)業(yè)公司和其他企業(yè)紛紛探索新措施，提升電腦的安全性。

美國(guó)諾維斯特風(fēng)險(xiǎn)投資公司（Norwest Venture Partners）的風(fēng)投資本家馬修·霍華德（Matthew D. Howard）指出：“病毒開(kāi)發(fā)者總會(huì)努力保持對(duì)殺毒產(chǎn)業(yè)的領(lǐng)先優(yōu)勢(shì)，而且他們要領(lǐng)先一步也并不困難。”諾維特風(fēng)險(xiǎn)投資此前曾經(jīng)為思科制定過(guò)網(wǎng)絡(luò)安全戰(zhàn)略。

電腦病毒過(guò)去曾經(jīng)是數(shù)字惡作劇愛(ài)好者們自身興趣的產(chǎn)物。但在2004年到2006年間，犯罪分子發(fā)現(xiàn)他們可以利用病毒軟件盈利，從此新病毒的數(shù)量就開(kāi)始以幾何倍數(shù)增長(zhǎng)。2000年，全球被發(fā)現(xiàn)的新病毒數(shù)量還不到100萬(wàn)個(gè)，其中的多數(shù)病毒都是由業(yè)余愛(ài)好者開(kāi)發(fā)的。然而根據(jù)德國(guó)反病毒產(chǎn)品測(cè)試研究機(jī)構(gòu)AV-Test公布的數(shù)據(jù)顯示，在2010年，全球被發(fā)現(xiàn)的新病毒數(shù)量猛增至4,900萬(wàn)個(gè)。

雖然反病毒產(chǎn)業(yè)也保持著快速的發(fā)展勢(shì)頭，但專(zhuān)業(yè)人士指出其發(fā)展速度跟不上病毒軟件產(chǎn)業(yè)的增速。當(dāng)殺毒軟件可以抵御新病毒的攻擊時(shí)，往往已經(jīng)為時(shí)過(guò)晚。因?yàn)榇藭r(shí)黑客早已經(jīng)進(jìn)行完破壞活動(dòng)而逃之夭夭，他們或者盜取公司的交易秘密，或者刪除數(shù)據(jù)，抑或清空消費(fèi)者的銀行賬戶(hù)。

總部位于美國(guó)加州紅杉市的數(shù)據(jù)安全公司Imperva與以色列理工學(xué)院（Technion-Israel Institute of Technology）的學(xué)生共同進(jìn)行的一項(xiàng)最新研究也證明了這一點(diǎn)。Imperva 首席技術(shù)官（CTO）阿米凱·舒爾曼（Amichai Shulman）和一組研究人員收集并分析了82種新電腦病毒，并在40多種殺毒軟件產(chǎn)品中進(jìn)行了測(cè)試。盡管這些殺毒產(chǎn)品多數(shù)都來(lái)自微軟、賽門(mén)鐵克（Symantec）、McAfee和卡巴斯基（Kaspersky）等全球知名公司，但其初始探測(cè)率仍不到5%。

平均來(lái)看，殺毒產(chǎn)品差不多要用一個(gè)月的時(shí)間才能升級(jí)一次探測(cè)方法，并識(shí)別出新病毒。具有諷刺意味的是，其中探測(cè)率最高的兩款產(chǎn)品——Avast和Emsisoft——反而是免費(fèi)使用的，他們會(huì)鼓勵(lì)用戶(hù)花錢(qián)購(gòu)買(mǎi)額外的功能。美國(guó)市場(chǎng)研究公司Gartner估計(jì)，2011年，全球消費(fèi)者和企業(yè)用戶(hù)在殺毒軟件上的花費(fèi)高達(dá)74億美元，約占全年安全軟件總花費(fèi)177億美元的一半。

風(fēng)險(xiǎn)投資公司KPCB專(zhuān)門(mén)關(guān)注安全領(lǐng)域投資的合伙人泰德?施萊因（Ted Schlein）指出：“現(xiàn)有的自我保護(hù)方式已經(jīng)失去功效。上述研究只是再次證明了這一點(diǎn)而已。探測(cè)病毒的整體理念早已混亂。”

內(nèi)在反應(yīng)被動(dòng)性

導(dǎo)致這一問(wèn)題的部分原因就是殺毒產(chǎn)品與內(nèi)在的反應(yīng)被動(dòng)性。正如醫(yī)學(xué)研究人員必須首先研究病毒，然后才能開(kāi)發(fā)出疫苗一樣，殺毒軟件開(kāi)發(fā)商同樣要首先獲取電腦病毒，然后對(duì)其進(jìn)行分析，并探測(cè)它的特征（獨(dú)有編碼），然后才能編寫(xiě)殺毒程序。

這一過(guò)程至少需要幾個(gè)小時(shí)，最長(zhǎng)甚至可達(dá)幾年時(shí)間。例如，卡巴斯基今年5月發(fā)現(xiàn)了一種名為Flame的復(fù)雜病毒，該病毒從大約5年前就開(kāi)始一直竊取電腦數(shù)據(jù)。

安全服務(wù)提供商F-Secure首席研究員米科·海波尼（Mikko Hypponen）將Flame稱(chēng)作是殺毒軟件行業(yè)的“一次慘痛失敗”。在Flame被發(fā)現(xiàn)后，海波尼在美國(guó)科技雜志《連線》網(wǎng)絡(luò)版上撰文稱(chēng)：“我們本應(yīng)該做得更好，但我們卻沒(méi)有。我們?cè)谧约涸O(shè)置的游戲中掉隊(duì)了。”

賽門(mén)鐵克和McAfee的業(yè)務(wù)都是圍繞殺毒軟件建立起來(lái)的，他們已經(jīng)開(kāi)始意識(shí)到自身能力的局限性，并在努力探索新的發(fā)展方式。“殺毒”這個(gè)詞已經(jīng)在他們的網(wǎng)站首頁(yè)上消失。賽門(mén)鐵克還為旗下的熱門(mén)殺毒產(chǎn)品推出了全新品牌：該公司現(xiàn)在的消費(fèi)產(chǎn)品被命名為“諾頓網(wǎng)絡(luò)安全”（Norton Internet Security），企業(yè)產(chǎn)品名稱(chēng)則是賽門(mén)鐵克終點(diǎn)保護(hù)(Symantec Endpoint Protection)。

賽門(mén)鐵克安全響應(yīng)部門(mén)主管凱文·哈利（Kevin Haley）指出：“沒(méi)人認(rèn)為僅靠殺毒就足以解決問(wèn)題。”。他表示，賽門(mén)鐵克的殺毒軟件包括了一些新技術(shù)，比如基于行為模式采取的封殺措施，這種模式會(huì)在允許程序運(yùn)行前查看文件中的30個(gè)特征，包括創(chuàng)建時(shí)間和其他安裝位置等。他補(bǔ)充指出：“大約在三分之二案例里，其中的一項(xiàng)額外技術(shù)就可以探測(cè)出惡意軟件。”

傳統(tǒng)工具將被淘汰

贊助反病毒研究的Imperva在這場(chǎng)競(jìng)爭(zhēng)中擁有獨(dú)特的優(yōu)勢(shì)。該公司的網(wǎng)絡(luò)應(yīng)用和數(shù)據(jù)安全軟件成為新一代殺毒產(chǎn)品中的一員，這些產(chǎn)品以全新方式為用戶(hù)提供安全保障。傳統(tǒng)殺毒軟件和防火墻只能簡(jiǎn)單地封殺惡意軟件，而Imperva的產(chǎn)品卻能夠監(jiān)測(cè)程序?qū)Ψ?wù)器、數(shù)據(jù)庫(kù)和文件的訪問(wèn)情況，以記錄可疑行為。

雖然距離殺毒軟件被公司徹底拋棄的那一天還很遙遠(yuǎn)，但企業(yè)家和投資者卻越來(lái)越堅(jiān)定地認(rèn)為傳統(tǒng)殺毒工具將被市場(chǎng)逐步淘汰。

美國(guó)市場(chǎng)研究公司IDC網(wǎng)絡(luò)安全分析師菲爾·霍克默思（Phil Hochmuth）指出：“從攻擊者的角度來(lái)看，游戲規(guī)則已經(jīng)改變。基于代碼特征的探測(cè)惡意軟件的傳統(tǒng)方式已經(jīng)無(wú)法適應(yīng)時(shí)代的發(fā)展。”

新方法獲資金支持

一批新的創(chuàng)業(yè)公司正試圖轉(zhuǎn)變整個(gè)安全行業(yè)的觀念，并且獲得了投資者的支持。如果無(wú)法阻止惡意軟件的攻擊，那么今后的安全企業(yè)就必須推出能夠識(shí)別反常行為的軟件，并在系統(tǒng)遭到未經(jīng)授權(quán)的入侵后及時(shí)對(duì)其進(jìn)行清理。

當(dāng)下最受市場(chǎng)追捧的安全創(chuàng)業(yè)公司包括Bit9、Bromium、FireEye和Seculert等互聯(lián)網(wǎng)流量監(jiān)控公司，以及Mandiant和CrowdStrike等在攻擊發(fā)生后擁有專(zhuān)業(yè)技術(shù)展開(kāi)清理的公司。

Bit9已經(jīng)從KPCB和紅杉資本（Sequoia Capital）等著名風(fēng)險(xiǎn)投資公司處融資7000多萬(wàn)美元。Bit9使用一種名為白名單（whitelisting）的方式，只允許系統(tǒng)已知的無(wú)害流量通過(guò)。

McAfee于2009年收購(gòu)了白名單創(chuàng)業(yè)公司Solidcore。賽門(mén)鐵克的產(chǎn)品目前也包含了Insight技術(shù)，該技術(shù)能夠利用同樣的原理阻止未知文件在設(shè)備上運(yùn)行。

有傳言稱(chēng)，在2010年被英特爾收購(gòu)后，McAfee前任CEO大衛(wèi)·德沃特（David DeWalt）可能會(huì)在英特爾繼續(xù)執(zhí)掌該業(yè)務(wù)。但他卻最終加盟了FireEye，這家創(chuàng)業(yè)公司開(kāi)發(fā)的一套系統(tǒng)可以將企業(yè)的應(yīng)用隔離在一個(gè)虛擬儲(chǔ)存器中，然后在允許流量通過(guò)前檢測(cè)其中的可疑活動(dòng)。

FireEye已經(jīng)從諾維特、紅杉資本和In-Q-Tel等風(fēng)險(xiǎn)投資公司處融資3,500萬(wàn)美元。In-Q-Tel是美國(guó)中央情報(bào)局（CIA）下屬的風(fēng)險(xiǎn)投資部門(mén)。

以色列創(chuàng)業(yè)公司Seculert采用的方式略有不同。他們關(guān)注威脅的來(lái)源以便為政府和企業(yè)提供預(yù)警系統(tǒng)，而威脅往往來(lái)源于用于協(xié)調(diào)攻擊的命令和控制中心。

企業(yè)加大安全開(kāi)支

隨著大型網(wǎng)絡(luò)攻擊數(shù)量的不斷增長(zhǎng)，分析師和風(fēng)險(xiǎn)投資家也認(rèn)為，企業(yè)的反病毒開(kāi)支模式同樣會(huì)發(fā)生變化。

IDC的霍克默思指出：“原本只用于金融等敏感行業(yè)的技術(shù)如今正在進(jìn)入主流市場(chǎng)。很快，如果你是一名反病毒專(zhuān)家，但卻不使用這些技術(shù)，那么你就會(huì)成為同事和同行茶余飯后的笑柄。”

霍克默思表示，企業(yè)已經(jīng)開(kāi)始接受這樣一種假設(shè)：他們遲早會(huì)遭到黑客攻擊，一旦這一天到來(lái)，他們就需要頂尖的專(zhuān)業(yè)清理團(tuán)隊(duì)。

數(shù)據(jù)診斷和漏洞響應(yīng)專(zhuān)業(yè)機(jī)構(gòu)Mandiant獲得了KPCB和摩根大通（JPMorgan Chase）旗下私募股權(quán)投資部門(mén)One Equity Partners總額7000萬(wàn)美元的投資。

McAfee的兩名高管喬治?庫(kù)爾茨（George Kurtz）和德米特里?阿爾佩洛維奇（Dmitri Alperovitch）也離職創(chuàng)辦了一家名為CrowdStrike的數(shù)據(jù)診斷創(chuàng)業(yè)公司。雖然成立不到一年時(shí)間，但他們已經(jīng)從Warburg Pincus那里獲得了2600萬(wàn)美元投資。

未來(lái)趨勢(shì)：全面解決方案

如果有一天殺毒軟件開(kāi)發(fā)商有能力提高桌面電腦的安全性，那么犯罪分子可能早已經(jīng)轉(zhuǎn)戰(zhàn)智能手機(jī)市場(chǎng)了。

今年10月，美國(guó)聯(lián)邦調(diào)查局（FBI）警告稱(chēng)，多款?lèi)阂廛浖谕{Android設(shè)備。7月，卡巴斯基在蘋(píng)果App Store中發(fā)現(xiàn)了首款?lèi)阂鈶?yīng)用。美國(guó)國(guó)防部也呼吁企業(yè)和高校找出保護(hù)移動(dòng)設(shè)備免受惡意軟件侵害的積極方式。

McAfee、賽門(mén)鐵克等公司正在開(kāi)發(fā)解決方案。專(zhuān)門(mén)掃描移動(dòng)應(yīng)用中的惡意軟件和病毒的創(chuàng)業(yè)公司Lookout最近以10億美元估值完成了融資。

諾維特的霍華德指出：“犯罪分子越來(lái)越猖獗。殺毒軟件有助于解決問(wèn)題，但今后的大型安全公司還需要提供一套全面的解決方案。”