導語:1月1日出版的美國《紐約時報》印刷版刊文稱,雖然殺毒軟件在消費和企業市場得到了廣泛普及,但在病毒種類不斷激增的當下,這種被動機制已經過時,無法滿足日益增長的安全需求。為此,各大創業公司和老牌企業都在探索新的模式,主動應對潛在的安全威脅。
殺毒行業有一個骯髒的小秘密:他們的產品通常都不足以阻止病毒。
消費者和企業用戶每年花在殺毒軟件上的錢多達數十億美元,但專家認為,這些軟件很少能殺死剛剛誕生的病毒,原因是病毒製造者的速度太快了。這也促使一批創業公司和其他企業紛紛探索新措施,提升電腦的安全性。
“這幫壞傢夥總是領先一步。而且,要領先一步並不困難。”風險投資公司Norwest Veture Partners合夥人馬修‧霍華德(Matthew Howard)說,他曾經在思科負責安全戰略。
電腦病毒原本主要用於惡作劇,但到2000年代中期,犯罪分子發現惡意軟件還能謀利,於是新型病毒便呈現出指數增長。
根據德國殺毒產品測試機構AV-Test的數據,2000年新誕生的病毒不足100萬種,多數都是由業餘人士開發的。但到了2010年,這一數字卻飆升到4900萬種。
殺毒軟件行業增速同樣很快,但專家認為,與病毒本身的發展相比仍然大幅落後。等到能夠殺死新病毒的產品面市,通常為時已晚。犯罪分子已經得逞,竊取了企業的商業機密、刪除了數據、掏空了用戶的銀行賬號。
加州數據安全公司Imperva與以色列理工學院(Technion-Israel Institute of Technology)共同展開的一項最新研究也佐証了這一點。Imperva CTO阿米才‧舒爾曼(Amichai Shulman)和一組研究人員收集並分析了82種新電腦病毒,並在40種殺毒軟件產品中進行了測試。儘管這些產品多數都來自微軟、賽門鐵克、McAfee和卡巴斯基,但其初始探測率卻不足5%。
平均來看,殺毒產品差不多要用一個月才能升級一次探測機制,並識別新病毒。具有諷刺意味的是,其中探測率最高的兩款產品──Avast和Emsisoft──反而是免費產品,他們會鼓勵用戶花錢購買額外的功能。根據美國市場研究公司Gartner的測算,全球消費者和企業用戶去年在殺毒軟件上的花費高達74億美元──約占去年安全軟件177億美元總花費的一半。
“現有的自我保護方式已經不起作用。這項研究只是再次証明了這一點而已。但殺毒行業的整個理念已經失效。”專門關注安全領域的風險投資公司KPCB合夥人泰德‧施萊恩(Ted Schlein)說。
問題部分源於殺毒產品與生俱來的被動性。正如醫療研究人員在開發疫苗前必須首先研究病毒一樣,殺毒軟件製造商同樣要首先俘獲送電腦病毒,對其進行分析,並探測它的特徵,然後才能編寫殺毒程式。
這一流程最少需要幾小時,最長甚至可以達到數年。例如,卡巴斯基今年5月發現了Flame,這是一種複雜的病毒,大約5年前就開始竊取電腦數據。
安全服務提供商F-Secure首席研究員米克‧海珀尼(Mikko Hypponen)將Flame稱作是殺毒軟件行業的“一次慘痛失敗”。在Flame被發現後,他在《連線》雜誌網絡版上撰文稱:“我們應該做得更好,但我們卻沒有。我們沒有完成自己的遊戲目標。”
賽門鐵克和McAfee的業務都是圍繞殺毒軟件建立起來的,他們都開始承認自己的局限性,並在努力探索新的發展方式。他們不再在首頁上使用“殺毒”這個詞,而賽門鐵克也已經為旗下的熱門殺毒產品製作了全新的品牌:該公司現在的消費產品名稱是諾頓網絡安全(Norton Internet Security),企業產品名稱則是賽門鐵克終點保護(Symantec Endpoint Protection)。
“沒人認為僅靠殺毒就足夠了。”賽門鐵克安全響應總監凱文‧哈利(Kevin Haley)說。他透露,賽門鐵克的殺毒軟件包括一些新技術,例如,根據行為模式採取封殺措施,這種模式會在允許程式運行前查看文件中的30個特徵,包括創建時間和安裝位置等。“大約在三分之二的情況下,只需要其中一項額外技術即可探測出惡意軟件。”他說。
Imperva在這場競賽中加足了馬力。該公司的網絡應用和數據安全軟件成為新一代產品中的一員,以全新方式為用戶提供安全保障。與傳統的殺毒軟件和防火牆不同,Imperva的產品不再簡單地封殺惡意軟件,而是監測程式對服務器、數據庫和文件的訪問情況,以查找可疑行為。
雖然距離徹底拋棄殺毒軟件的那一天還很遙遠,但創業者和投資者卻在積極下注,認為傳統工具將被逐步淘汰。
“從攻擊者的角度來看,遊戲已經變了。”美國市場研究公司IDC網絡安全分析師菲爾‧霍齊穆斯(Phil Hochmuth)說,“以代碼特徵為基礎的傳統惡意軟件探測方式已經無法順應時代的發展。”
投資者正在支援一批新的創業公司,試圖轉變整個安全行業的觀念。按照現有的思路來看,倘若無法封殺所有惡意程式,那今後的安全企業就必須推出能夠識別反常行為的軟件,並在違反既定規則的情況下清理系統。
當下最熱門的安全創業公司包括Bit9、Bromium、FireEye和Seculert等互聯網流量監控公司,以及Mandiant和CrowdStrike等在攻擊發生後展開清理的公司。
Bit9已經從KPCB和紅杉資本等著名風險投資公司處融資7000多萬美元,他們使用一種名為白名單的方式,只允許系統已知的無害流量通過。
McAfee於2009年收購了白名單創業公司Solidcore。賽門鐵克的產品目前也包含了Insight技術,利用同樣的原理阻止未知文件在設備上運行。
有傳言稱,在2010年被英特爾收購後,McAfee前CEO大衛‧德沃特(David DeWalt)可能會繼續執掌該業務。但他卻加盟了FireEye,這家創業公司開發了一套系統,可以將企業的應用隔離在一個虛擬寄存器中,然後在允許流量通過前檢測其中的可疑活動。
該公司已經從Norwest、紅杉資本和In-Q-Tel等風險投資公司處融資3500萬美元。In-Q-Tel是美國中央情報局(CIA)下屬的風險投資機構。
以色列創業公司Seculert採用的方式略有不同。他們會查看威脅來源──用於協調攻擊的命令和控制中心──以便為政府和企業提供預警系統。
隨著著名的網絡攻擊數量增長,分析師和風險投資家也認為,企業的支出模式同樣會發生變化。
“原本只用於金融等敏感行業的技術如今正在進入主流。”霍齊穆斯說,“很快,如果你是一名安全專業人士,但卻不使用這些技術,那你的同事和同行就會嘲笑你。”
霍齊穆斯表示,企業逐漸開始接受這樣一種假設:他們遲早會被黑客盯上,一旦這一天到來,必須使用一流的措施來應對。
數據法醫和漏洞響應公司Mandiant獲得了KPCB和摩根大通旗下私募股權投資部門One Equity Partners總額7000萬美元的投資。
McAfee的兩名高管喬治‧克茨(George Kurtz)和德米特里‧阿爾珀洛維奇(Dmitri Alperovitch)也離職創辦了CrowdStrike,這家創業公司提供類似的服務。成立不到一年,他們已經從Warburg Pincus那裡獲得了2600萬美元投資。
等到殺毒軟件製造商有能力加強桌面電腦的安全性時,犯罪分子可能已經轉戰智能手機市場。
今年10月,美國聯邦調查局(FBI)警告稱,已經出現了多款針對Android設備的惡意應用。7月,卡巴斯基在 Apple App Store中發現了首款惡意應用。美國國防部也呼籲企業和高校開發各種方式,保護流動設備免受惡意軟件侵害。
McAfee、賽門鐵克等公司正在開發解決方案。專門掃瞄流動應用中的惡意軟件和病毒的創業公司Lookout最近以10億美元估值完成了融資。
“犯罪分子越來越猖獗。殺毒軟件有助於解決問題,但今後的大型安全公司還需要提供一套全面的解決方案。”Norwest的霍華德說。(鼎宏)
.[數碼新聞]殺毒行業遭遇瓶頸:被動防禦機制已經過時
http://digital1010.blogspot.com/2013/01/blog-post_2088.html.[數碼新聞]殺毒行業遭遇瓶頸:被動防禦機制已經過時
http://digital1010.blogspot.com/2013/01/blog-post_2088.html
