杀毒软件时代的结束 杀软该何去何从

杀毒软件时代的结束 杀软该何去何从

如今，在狡猾而娴熟的攻击面前，传统的安全软件不堪一击。但与此同时，非常规的保护方法正在兴起。 今年夏天，伊朗、俄罗斯、匈牙利的计算机安全实验室联合宣布发现了“火焰”（Flame），匈牙利的Crysys实验室称其为“迄今为止发现的最复杂的病毒”。

在过去至少两年的时间里，火焰病毒一直从被感染计算机上复制文件，截图，并记录音频、键盘录入和Skype通话，然后将这些盗窃来的信息传给由病毒创造者运行的服务器上。在这整个过程中，没有一种安全软件能发出警报。

其实已有一系列事件证明用传统杀毒软件保护计算机不受恶意软件攻击的方法已过时，火焰病 毒的发现仅是其中之一。“火焰标志着杀毒软件业的失败，”杀毒软件公司F-Secure的创始人米科·希伯尼（Mikko Hypponen）这样写道，“我们其实可以做得更好，但我们没有。我们在自己的比赛中出局了。” 企业、和普通消费者等使用的计算机安全程序的运行原理是类似的：将程序的代码及其活 动与数据库里已知病毒的“签名”作比较，从而识别威胁。诸如F-Secure和MaAfee一直致力于研究关于新型病毒的报告，并据此更新它们的病毒库。 研究结果理应是能筑起坚固的防火墙，保证病毒无机可乘。 然而近些年，对商务和进行攻击的病毒虽不如火焰那样狡猾娴熟，但也不费吹灰之力就通 过了基于病毒库的安全软件。某些专家和公司认为是时候减少对杀毒模式保的应用了。“它仍会是（病毒防护）不可或缺的一部分，但不再是唯一的方法，”来 自卡耐基-梅隆大学的研究者尼古拉斯·克里斯蒂安（Nicolas Christian）称，“我们需要打消试图建立马其洛防线的想法，它看起来坚不可摧但实际上非常容易绕开。”

克里斯蒂安和一些新创安全公司正致力于研究新的防护策略，使病毒攻击变得更困难，同时帮助那些被攻击对象予以还击。 例子之一是CrowdStrike，这是一家由杀毒软件业的资深人士创办的新兴公司，它 已获得2600万美元的投资基金。CrowdStrike的首席技术官、联合创始人德米特里·阿帕罗维奇（Dmitri Alperovitch）称，该公司计划提供一种智能的警报系统，它甚至能识别出从未见过的最新攻击方式并追踪其来源。 阿帕罗维奇称这种方法是可行的，因为即便攻击者能轻易改写火焰这类病毒的代码来避开杀毒 软件的扫描，他或她也始终会有一个目标：获得并提取有价值的数据。可以理解CrowdStrike不肯披露该技术的细节，但显然它会在客户的系统上分析活 动的痕迹，找出其中是否有来自入侵者的部分。

这项技术的目的是阻挠最常见的攻击手段，从而使攻击者难以得逞，而不是将重点放在攻击者具体的攻击工具上，因为它们“非常多变”，阿帕罗维奇称，“我们需要关注的是持的人，而不是本身。”

其他公司也是从类似的角度出发。“这要回到那句执法口号：‘犯罪是不值得的’，”另一家 新创公司Shape Security的联合创始人萨米特·阿加瓦尔(Sumit Agarwal)说。该公司获得了包括谷歌董事长埃里克·施密特（Eric Schmidt）在内的投资者的600万美元投资。Shape Security同样对其技术秘而不宣，但阿加瓦尔还是透露，该技术目标在于提高旨在攫取经济利益的网络攻击的成本，从而使攻击行为不值得实施。

Mykonos软件公司也将目标设定为让攻击无利可图。它已开发了通过消耗黑客时间来保护网站的技术。瞻博网络(Juniper)公司在今年收购了Mykonos。

阿帕罗维奇称他的公司将通过确定攻击来源，帮助受害者们在法律允许范围内予以还

击。他解释道：“黑回去是违法的，但你可以通过很多方法增加那些从你的数据中获利的人的攻击成本。”他还表示，这包括要求向世贸组织提出议案，将那些犯罪者的工业间谍行为公之于众使之蒙羞。

克里斯蒂安和其他学者的研究表明，能让人用相对简单的法律行动来对抗网络犯罪活动的阻塞 点确实存在。Chiristian和同事深入调查了利用控制搜索结果来销售非法药品的欺诈活动，发现只要取缔为数不多的自动跳转访问者页面的服务，大部分 欺诈都能被阻止。而加利福尼亚大学圣迭戈分校的研究者揭示，去年全球大部分垃圾邮件的收入都只流经三家银行。

但阿加瓦尔提醒，即便是法律允许的报复也有可能失算：“假设你是一家大型公司，阴差阳错挡了黑手党的道，你极有可能惹上意想不到的大麻烦。”

2012年08月24日

文章提供：上海不夜城晶晶手机网