对抗恶意软件,反病毒软件还有戏吗?
对抗恶意软件,反病毒软件还有戏吗?
作者:Michael Kassner
翻译:PurpleEndurer,2010-04-08第1版
分类:安全
标签:软件,漏洞,恶意软件,攻击,反病毒软件,安全产品
导读
现在恶意软件通过互联网四处肆虐,反病毒软件倍受指责。不论这合理与否,我们都需要做一个回顾,并找出解决办法。
正文
首先,让我们给反病毒软件下个定义。简单来说,它是防止恶意软件感染电脑的软件。如果您认同这个定义,我便要追问一句,为什么受防病毒软件保护的电脑仍然会被感染?
为了进一步探讨这个问题,我邀请了NSS实验室的总裁里克·莫伊先生。NSS实验室是具有下列特质的一家公司:
NSS实验室进行专业、独立安全产品评测来帮助最终用户组织因地制宜地选择正确的安全产品。
我最初了解NSS实验室是为了做一个浏览器及其抵抗恶意软件能力的研究并据此写出报道的时候。因为那篇报道中其中一些内容是NSS实验室非常感兴趣的,里克和我就当前恶意软件vs反病毒软件的风气进行了几次有趣的谈话,我向里克询问了几个史诗战役般的问题:
我:您曾提到有两类恶意软件威胁,对用户的攻击和对电脑的攻击。您能解释一下吗?
莫伊:概括来讲,恶意软件可以就它的执行方式来加以定义和分类:
对用户的攻击:诱骗用户下载并执行包含恶意的软件,比如假的反病毒软件、视频,以及盗版软件。在这种情况下,用户是最脆弱的环节。
对电脑的攻击:攻击者利用了电脑中用户所不知的的软件漏洞。例如,用户用有漏洞的浏览器访问恶意网站,漏洞就会被利用,恶意软件也被自动安装。这个过程中无需任何用户交互。
第一种威胁的解决方法涉及用户受教育程度和所用软件(像IE8,FireFox或Chrome提供)的信誉系统(reputation systems)能否发出警告:要访问的网页是恶意网页、要下载的软件是被恶意软件感染的。一些反病毒产品也有这个功能。
第二种威胁的解决要靠主机入侵防御系统(Host Intrusion Prevention Systems,以下简称HIPS),而不是传统的反病毒软件。HIPS在内存中运行,检查系统数据流。HIPS还在程序运行前进行检查。这一独立技术正越来越多地集成到终端安全产品中。
我:在我们的谈话中,您提到反病毒软件通常有三个组成部分,各有侧重。这很有趣,希望您能就此作进一步地阐述。
莫伊:极光行动(Operation Aurora)是一个很好的例子。它包括全部三个阶段:漏洞,漏洞利用,以及恶意负载。这三者的差别在讨论时经常会混淆,但对理解如何有效地阻止攻击则是关键。
PurpleEndurer注:极光行动- 维基百科,自由的百科全书
http://zh.wikipedia.org/wiki/%E6%9E%81%E5%85%89%E8%A1%8C%E5%8A%A8
漏洞(Vulnerability):是软件代码中的bug,软件因此而被利用,例如,缓冲区溢出。
漏洞利用(Exploit):是为了利用应用程序中的漏洞而特别编写的代码序列。比如堆喷射(heap sprays)和缓冲区溢出攻击(buffer overflow attacks)。漏洞利用可能隐藏在受感染的网站上,对访问该网站的电脑进行突袭(客户端攻击,client-side attack),或从另一台电脑发动远程攻击(remote attack)。
有效载荷(Payload):就是软件的漏洞被利用时所装载的恶意内容,即在受侵害的电脑中执行的操作,如执行命令,将木马下载器写入磁盘,或返回一个反向Shell。
下图显示了在每个阶段的攻击组成部分所占的分量。
终端安全产品应该更加侧重于漏洞保护,而不是捕捉恶意软件来进行补救。因为漏洞的数量要少的多,因此更易于管理。
我:反病毒软件公司都声称他们的产品是能防范恶意软件的。您觉得用户们或多或少地被误导了。您能否就此解释一下?
莫伊:在2009年年底,我们对我们网站的500位访客进行了调查,结果是有46%的人认为反恶意软件产品能100%的阻止威胁。但主要的安全厂商估计他们扫描的电脑中有30+%以上存在形形色色的恶意软件。这个统计数字表明恶意软件是远远没有得到控制。
我:也就是说一台受保护的计算机稍不注意就会被感染,而这个危险人们还意识不到,你认为问题出在哪里?
莫伊:我们现在正在打一场对比悬殊的战斗;坏蛋的能耐比好人强大。作为防御方,我们需要注意和防范所有一切可能的攻击途径。作为进攻方,网络罪犯们只需要找到我们系统中的一个可以利用的漏洞。他们积极主动、训练有素地测试所写的恶意软件,直到他们能规避大数防病毒产品,感染大多数电脑。
展望未来,软件开发人员必须编写更安全的代码,减少漏洞数量。用户必须加强培训,系统要经常打补丁。
我:我一直认为:只要让操作系统和应用软件一直保持更新,就不会有问题。您曾举出了一个相反的例子,能把它分享一下吗?
莫伊:尽管应用最新的软件补丁很重要,但这不能保证您的系统安全.补丁只是写出来解决已知问题的。计算机罪犯正在不断开发和使用尚未被安全社区发现的新攻击,即所谓的零日攻击。
零日漏洞让攻击者有了可乘之机。在分析员弄清情况,推出修补程序前,行为保护可能会有所帮助。
我:您似乎对杀毒软件的前景持乐观态度,那么杀毒软件需要如何改进增效呢?
莫伊:反病毒产品可以改进增强的地方是很明显的。在近期对极光行动攻击的研究中,我们发现6/7的产品不能阻止漏洞利用的变种,而且它们检测恶意有效载荷的结果好坏参半。
安全产品要不断改进,从而提供更多的基于漏洞的保护。信誉服务也是减少最终用户遭遇风险的关键技术,但并非所有厂商都使用了这些技术。最后,安全厂商应该接受更真实的测试和第三方服务,从而推动创新,提升质量。
我:您提到NSS实验室在测试安全产品时使用了一种与众不同的方法,能告诉我们为什么您觉得这是一个更好的办法?
莫伊:借助互联网,新的威胁传播得更快了,传统的测试技术已经不再是衡量产品能力的中肯方法了。因此,NSS实验室开发了一种独特的“云中生”(Live in-the-cloud)测试框架,模拟了普通用户的经验。
客户电脑通过浏览器访问恶意网站,并尝试下载恶意软件。如果恶意文件未被阻止,恶意软件就会运行。
这种新的测试方法侧重于目前互联网上活跃的威胁,是评价一个产品所提供的保护能力的最佳指标。
定期检测可以保证恶意网址每隔几小时就会被访问一次。根据这些网站何时在访问时被阻止,我们可以衡量供应商需要多长时间来补充保护,这些指标有助于表明不同产品的有效性之间的重大差别。
我:有了这种独特的方法,你们可以成为防病毒软件开发者的服务商吗?
莫伊:当然可以。我们的工程师采取黑客的方法来测试 —— 真刀真枪,毫不留情。如果没有这样一个方法,测试就只能验证一个产品可以做什么,而重要的是要抢在坏蛋之前找出一个产品没做到位的。我们已经帮助许多世界上最知名的安全公司来改进他们的产品。
结语
里克提出的三条意见,可谓真知灼见:
▲ 防御方需要保护所有一切可能的攻击途径。作为进攻方,坏蛋们只需要一个可以利用的漏洞。
▲ 终端安全产品要更侧重于漏洞保护。
▲ 用模拟普通用户经验的方法来测试安全产品。
对我来说,这三句话简明扼要地指出了问题,以及需要为此做些什么。您怎么看呢?(完)
http://blogs.techrepublic.com.com/security/?p=3360
对抗恶意软件,反病毒软件还有戏吗?相关推荐
- 传统反病毒软件厂商学会新把戏
在当下,许多公司竞相防范狡猾的高级持续性威胁,传统反病毒软件似乎如同古董.但是传统反病毒公司正在应势而变,为BYOD时代提供深层防御机制. 我们在本次测评中逐一分析了七大传统反病毒软件厂商的产品,每家 ...
- 反病毒软件技术简析与探索(2009年5月18日)
<下文是本人大三时期的一篇课外小论文,是基于大量的对杀毒软件杀毒能力的实验结果而写,请勿转载,谢谢.> 摘 要 为什么即使有杀毒软件的保护,还是有那么多的计算机系统遭到病毒的侵袭呢?答案 ...
- 利用反病毒软件开展恶意活动:Dharma勒索软件分析
概述 Dharma勒索软件自2016年以来一直存在,该勒索软件持续瞄准全世界范围内的用户和组织,并已经成功实现了大量感染.在2018年11月,勒索软件感染了位于德克萨斯的一家医院,对医院主机中大量存储 ...
- 【黑客免杀攻防】读书笔记1 - 初级免杀基础理论(反病毒软件特征码提取介绍、免杀原理、壳)...
在52pojie发表<xxxx>病毒查杀的帖子后,感谢论坛里的会员GleamJ牛不但指出我文章后所添加服务名字符串作为特征码方式的不足,还分享了他工作中4种提取特征码的方法.让我更加觉得要 ...
- 病毒主动即时升级 反病毒软件如何应对
病毒主动即时升级 反病毒软件如何应对 备选:病毒也玩即时升级 正面挑战传统杀软 众所周知,传统特征码杀毒技术的工作流程是"截获-处理-升级",虽然这种技术已经非常成熟可靠,但总是滞 ...
- ant压缩在哪卸载_反病毒软件这么多,到底哪一款适合你
记得大学读书的时候,买了电脑,第一件事情就是卸载windows自带的杀毒软件,然后装上自己心仪的杀毒软件,可是市面上杀毒软件这么多,哪一款适合你呢? 我找了市面上排名最靠前的三款杀毒软件,让我们看看他 ...
- 电脑超时空保卫者——光华反病毒软件(转)
电脑超时空保卫者--光华反病毒软件(转)[@more@] 在软件行业飞速发展,计算机已经嵌入人类生活的今天 ,相信很少有人还敢像笔者5年前那么干:不装任何防护软件就大大咧咧地冲到网上去泡澡.Windo ...
- 反病毒软件解析计算机的异常现象(转)
反病毒软件解析计算机的异常现象(转)[@more@]病毒时至今日真可谓百花齐放,色彩斑斓,同时也搞得人心惶惶,手忙脚乱.大家一旦发现电脑有异常,就担心是病毒在作怪,四下寻找杀毒软件来帮忙,一个不行来两 ...
- XP停服务,卡巴当后盾——卡巴斯基反病毒软件2014(一年版)
领取地址:http://xp.kaba365.com/3180000.asp 活动说明 活动时间:2014年4月9日零时起 赠送产品:卡巴斯基反病毒软件2014(一年版)激活码. 赠送对象:中国大陆所 ...
最新文章
- 【转载】快速升职加薪的10个方法
- c++:栈的基本操作+实例:迷宫求解
- 51Nod 斜率最大
- Linux系统中fflush,sync,syncfs,fdatasync,fsync的比较
- oracle11g broker,张欣橙 Oracle11g 配置DG broker
- 集成平台集群任务动态分派
- 学java需要学c语言吗?
- Go实现 爬虫v0.2
- cooleditpro批量加速文件_Python玩转阿里云OSS对象存储,批量转存markdown和html图片
- Ansible详解(十六)——Ansible配合Redis
- 数据结构之搜索算法二:二叉搜索树
- 高一计算机函数公式,高一函数公式汇总
- java 实现搜索附近人功能
- 计算机三级的英语单词,大学英语三级词汇表(新版)资料.doc
- SAP 后台表查询方法及消息报错定位方法
- 微信浏览器video标签没有封面_video 标签在微信浏览器的问题解决方法
- 学校计算机的使用英语作文180字,英文作文学生开车去学校,180字
- Mysql索引类型 normal, unique, full text的区别
- 计算几何入门 1.4:凸包的构造——Jarvis March算法
- 如何解决 fs.renameSync() 跨区移动文件的问题