反惡意軟件早已不再是簡單的簽名匹配，現在的反惡意軟件技術添加了很多新的檢測技術。企業應該重新考慮如何選擇反惡意軟件……

為了選出最佳反惡意軟件，你必須了解威脅、如何檢測威脅以及相關產品如何修復感染。反惡意軟件早已不再是簡單的簽名匹配，現在的反惡意軟件添加了很多新的檢測技術來確定軟件程序是否為惡意以及是否可以在設備上執行。在我們討論選擇最佳反惡意軟件的主要考慮因素之前，讓我們先來看看惡意軟件編寫者使用的戰術，他們的戰術讓檢測工作非常具有挑戰性。

防病毒（AV）技術源自一個非常簡單的想法：如果代碼是不好的，就阻止它。因此，防病毒廠商懷揣著一個“壞東西”的大名單，并將每個進入設備的文件與這個清單進行比較。另一方面，攻擊者們的對策是稍微改變每一個惡意文件，讓每個文件都很接近，但并不完全類似于已知的壞文件。這是簡單的逃避檢測的方法。對此，供應商們分發數百萬的新簽名到每個設備，很顯然，這種戰略和業務模式并不能擴展。

然后，業界開始嘗試一種積極的安全模式，即對授權軟件程序建立白名單。如果軟件沒有被授權，將無法運行。這種方法能夠很好地阻止惡意軟件（它不可能出現在白名單中），但這嚴重影響了可用性。用戶將需要非常頻繁地加載軟件，如果他們想要使用的軟件不在白名單中，他們會感到很懊惱。

黑名單模式不能進行擴展，而白名單模式無法讓用戶接受。因此，該行業不得不從頭來過，重新考慮惡意軟件的運作方式以確定最佳檢測方法。

惡意軟件的基本要素

所有惡意軟件的基本元素是一個文件，這個文件首先會執行，隨后做壞事。反惡意軟件的作用是在它們做壞事之前檢測出這些文件。鑒于惡意軟件編寫者能混淆壞文件，檢測不能再相信文件看起來像什么；而應該評估“每個文件做什么”。

要明確，查找已知惡意文件仍然是有用的，但這并不能擴展到每個設備上，所以反惡意軟件供應商利用云計算來記錄保存數十億文件（軟件哈希）。每個設備上的反惡意軟件代理檢查文件的“信譽”來確定1）之前他們是否看過它2）是否是惡意文件。

阻止已知惡意文件，而已知合法文件則允許執行。那么，當你遇到從未見過的文件呢？這正是下一代反惡意軟件發揮作用的地方。代理發送未知文件到服務來分析該文件，通過在隔離環境來執行該文件來查找是否存在惡意因素。然后，該服務會發回一份“裁決”到設備以允許或阻止該文件。

很顯然，在這個過程中存在一定的延遲性，在得到明確判斷之前，你可以確定是否讓未知文件通過（這樣做存在風險）或者隔離該文件。任何沒有利用這種基于云的反惡意軟件技術都無法阻止今天的攻擊。#p#

在哪里檢測惡意軟件

大多數業內人士已經習慣認為反惡意軟件需要直接在終端設備上運行?；诤弦幰螅芏嗥髽I被迫采用這種部署模式，即在每個Windows設備上運行反惡意軟件。隨著Mac和Linux加速進入企業桌面和數據中心，反惡意軟件也需要考慮這些平臺的惡意軟件檢測。但是要記住，MacOSX和Linux的底層架構能夠比WindowsXP更好地阻止惡意軟件。

虛擬化的出現讓選擇最佳反惡意軟件技術更加復雜化?？紤]一下，如果虛擬設備上運行的每個客戶機運行一個反惡意軟件代理，你將需要在相同硬件上反反復復運行相同的代碼，這違背了虛擬化的目的。所以，反惡意軟件供應商現在優化其引擎來運行在單個客戶機（或在管理程序內），并與虛擬化環境通信以確保虛擬機資源得到優化。

回到盡可能阻止惡意文件靠近外圍的想法，反惡意軟件應該被部署在更靠近入口點的位置--在企業外圍或者云服務內。檢查惡意軟件最方便的地方是在web或者電子郵件安全網關或者云服務。由于電子郵件和Web仍然是主要攻擊對象，通常這都是第一個部署的位置。

還有一些新的設備，我們一直稱其為基于網絡的惡意軟件檢測，這種檢測方法查看所有進入的網絡流量，并對進入網絡的文件進行分析，這與我們上面描述端點部署類似—確保具有攻擊特征的文件無法進入。

處理辦法

當你發現惡意文件時應該怎么做？這時候，你需要結合其他已經部署的系統/控制。所以你尋找的最佳反惡意軟件技術需要能夠與這些系統或設備互操作，因為你的網絡設備需要阻止/隔離可能被感染的設備。你還需要確保警報發送到報告控制界面，反惡意軟件管理系統、SIEM/日志管理產品、或幫助臺系統來啟動修復過程。

盡管你付出了最大努力來進行檢測，但如果你遭受惡意軟件感染，通常最佳反惡意軟件技術都有清理設備的功能。在控制界面中，你只需要點擊一個按鈕，設備就會被修復。隨著惡意軟件變得更加復雜和“惡毒”，清理成了一場必敗之仗。惡意攻擊者都會設法留下一些惡意軟件的殘存來確保再次感染。所以，企業應該反復進行清理。你明明可以進行多次清理，為什么只清理一次呢？

因此，我們現在建議重新鏡像被感染的設備。雖然這種方法通常會導致數據丟失，并且給用戶帶來不便，但鑒于再次感染的高風險，我們認為確保惡意軟件已被根除更加重要。