殺毒軟體時代是不是快結束了？

發表：2008-07-26 23:18

過去幾個月來，某些知名的安全界人士接受訪問時表示 ─ 他們正考慮完全舍棄「殺毒軟體」的保護。他們尚未真正實行，他們認為：《用一個特別的應用軟體掃瞄，和移除惡意軟體的時代即將結束》！

惡意軟體已經改變，但搜索、驅逐它們的應用軟體卻一成不變。我們今天所知的防毒程序，是以 20 年前的樣式比對技術。在過去的「米開朗基羅病毒」時代，甚至最近的 Netsky 病毒，樣式比對都發揮效用，但順序比對每一個單獨的電腦檔案與已知的惡意軟體，既耗時又落伍。

2007 年，『賽門鐵克』偵測到超過 10 億個病毒，其中三分之二是當年新生的病毒。載入 10 億個新簽名檔，或甚至其中百分之一，都是非常龐大的工作。

因此，軟體廠商開始規劃 2009 年（和之後）的新策略。這些作法，與簽名檔資料庫正好相反：稱為「白名單」（whitelisting）。樣式比對就像是列出黑名單，白名單則是另一個極端 ─ 只允許受信任的檔案，在個人電腦中執行。

那就是賽門鐵克首席執行官 John Thompson ，在今年的 RSA 大會上所說的：『如果，惡意軟體的增長速度持續超越合法軟體，白名單這類技術（也就是識別和只允許好東西進入）將變得非常迫切。』他對白名單技術的說明其實不多，但大家都認為 Thompson ，已明確指出未來的方向。

白名單究竟有多可靠？其實，我們早在幾年前就開始使用這種防禦方式，為了更瞭解這類技術的運作方式，我們訪問了麻州 Bit9 公司首席策略官 Tom Murphy。

Bit9 這幾年，都在構建一個名為： Global Software Registry（全球軟體註冊，簡稱 GSR）的系統，編錄【已知有益】和【已知有害】的應用軟體和檔案。

Murphy 說 Bit9 使用三種方法 -- MD5、SHA1 和 OMAC，製作一個特別的檔案雜匯，確定該檔案，不會有其他意外的作用。截至目前這份目錄僅用在 Bit9 的企業產品，但他們已和 Kaspersky 簽約，2009 年，就會用在該公司的桌面安全產品上。

Bit9 不是唯一！SecureWave 的Sanctuary、Savant Protection 和 DriveSentry，都有企業用的白名單技術。有趣的是，Google、微軟和賽門鐵克這些大公司，現在也開始注意白名單技術。

這又讓我們回到殺毒軟體，如果管理數百萬個殺毒簽名檔非常吃力，世上的清白檔案何其多？只要想想目前所有的軟體版本，更別提那些產品創造出的檔案數量。白名單的缺點也是主要的爭議：所有的清白檔案遠多於壞檔案。目前，要在桌面使用白名單檔案是不切實際的。

『趨勢科技』（若想要投入白名單領域）認為自己有答案。過去幾年來，趨勢在全球各地設立伺服器，以便延續其軟體即服務（簡稱 SaaS）企業系統的服務。趨勢科技 CEO 「陳怡樺」表示，現在是把 SaaS 帶到桌面的時間，桌面的 SaaS 不會下載所有的簽名檔，而是呼叫「雲端」伺服器，從那裡取得結果。

別搞錯，趨勢還是使用殺毒簽名檔資料庫。陳怡樺說：『這種方式，比逐一比對各個惡意軟體更快。』的確，雖然每個程序間的差別只是幾毫秒，幾千個檔案加起來還是省下不少時間。因此，掃毒程序從 PC 改至雲端執行，並迅速取得結果。另一個好處，陳怡樺說：『是新範本可立即取得，並迅速獲得評估。』她估計，趨勢科技可在 15 分鐘內，建立一個未知威脅的新簽名檔。

15 分鐘，也是賽門鐵克的新口號。該公司消費者產品管理副總 Tom Powledge 表示：2009 年的 Norton 產品更輕巧、更快，部分原因是，他們丟棄了多個過去版本的簽名檔資料庫，也不會掃瞄每一個檔案。2009 年的產品將建立一個信任索引，也就是確認某些檔案（如照片或 MP3）清白無虞，除非檔案有變更，否則不會再掃瞄。他提供的圖表顯示：一臺主機內，大約 70％的檔案都是可信任的，只有 30％被主動掃瞄。

如同趨勢科技，Norton 也在試驗更快速的新惡意軟體反應機制。Powledge 說：『 Norton 不是每 15 分鐘，而是每 2 分鐘即可更新一次。』比起其他殺毒軟體廠商，每小時或每天更新的服務，這是極大的進步！

有鑒於趨勢，和賽門鐵克對傳統殺毒軟體所做的改善，殺毒軟體，還是無法躲過被時代洪流淹沒的命運嗎？答案是「肯定」的。我們問 Murphy：『白名單在某些企業，是否足以取代傳統的殺毒軟體保護？』

Murphy 的回答非常婉轉：『如果（顧客）認為他們可以控制整個環境，有些顧客，已經移除了主機內的殺毒軟體。』企業領域的安全解決方案，確實會向下擴散到桌面領域。

来源:CNET 科技資訊網

【誠徵榮譽會員】溪流能夠匯成大海，小善可以成就大愛。我們向全球華人誠意徵集萬名榮譽會員：每位榮譽會員每年只需支付一份訂閱費用，成為《看中國》網站的榮譽會員，就可以助力我們突破審查與封鎖，向至少10000位中國大陸同胞奉上獨立真實的關鍵資訊，在危難時刻向他們發出預警，救他們於大瘟疫與其它社會危難之中。