对抗恶意软件，反病毒软件还有戏吗？

对抗恶意软件，反病毒软件还有戏吗？

 

作者：Michael Kassner
翻译：PurpleEndurer，2010-04-08第1版
分类：安全
标签：软件，漏洞，恶意软件，攻击，反病毒软件，安全产品

 

　　导读

 

　　现在恶意软件通过互联网四处肆虐，反病毒软件倍受指责。不论这合理与否，我们都需要做一个回顾，并找出解决办法。

 

 

　　正文

　　首先，让我们给反病毒软件下个定义。简单来说，它是防止恶意软件感染电脑的软件。如果您认同这个定义，我便要追问一句，为什么受防病毒软件保护的电脑仍然会被感染？

　　为了进一步探讨这个问题，我邀请了NSS实验室的总裁里克·莫伊先生。NSS实验室是具有下列特质的一家公司：

 

NSS实验室进行专业、独立安全产品评测来帮助最终用户组织因地制宜地选择正确的安全产品。

　　我最初了解NSS实验室是为了做一个浏览器及其抵抗恶意软件能力的研究并据此写出报道的时候。因为那篇报道中其中一些内容是NSS实验室非常感兴趣的，里克和我就当前恶意软件vs反病毒软件的风气进行了几次有趣的谈话，我向里克询问了几个史诗战役般的问题：

 

　　我：您曾提到有两类恶意软件威胁，对用户的攻击和对电脑的攻击。您能解释一下吗？

 

　　莫伊：概括来讲，恶意软件可以就它的执行方式来加以定义和分类：

 

　　对用户的攻击：诱骗用户下载并执行包含恶意的软件，比如假的反病毒软件、视频，以及盗版软件。在这种情况下，用户是最脆弱的环节。

 

　　对电脑的攻击：攻击者利用了电脑中用户所不知的的软件漏洞。例如，用户用有漏洞的浏览器访问恶意网站，漏洞就会被利用，恶意软件也被自动安装。这个过程中无需任何用户交互。

 

　　第一种威胁的解决方法涉及用户受教育程度和所用软件（像IE8，FireFox或Chrome提供）的信誉系统（reputation systems）能否发出警告：要访问的网页是恶意网页、要下载的软件是被恶意软件感染的。一些反病毒产品也有这个功能。

　　第二种威胁的解决要靠主机入侵防御系统（Host Intrusion Prevention Systems，以下简称HIPS），而不是传统的反病毒软件。HIPS在内存中运行，检查系统数据流。HIPS还在程序运行前进行检查。这一独立技术正越来越多地集成到终端安全产品中。

　　我：在我们的谈话中，您提到反病毒软件通常有三个组成部分，各有侧重。这很有趣，希望您能就此作进一步地阐述。

　　莫伊：极光行动（Operation Aurora）是一个很好的例子。它包括全部三个阶段：漏洞，漏洞利用，以及恶意负载。这三者的差别在讨论时经常会混淆，但对理解如何有效地阻止攻击则是关键。

 

　　PurpleEndurer注：极光行动- 维基百科，自由的百科全书
　　http://zh.wikipedia.org/wiki/%E6%9E%81%E5%85%89%E8%A1%8C%E5%8A%A8

 

　　漏洞（Vulnerability）：是软件代码中的bug，软件因此而被利用，例如，缓冲区溢出。

 

　　漏洞利用（Exploit）：是为了利用应用程序中的漏洞而特别编写的代码序列。比如堆喷射（heap sprays）和缓冲区溢出攻击（buffer overflow attacks）。漏洞利用可能隐藏在受感染的网站上，对访问该网站的电脑进行突袭（客户端攻击，client-side attack），或从另一台电脑发动远程攻击（remote attack）。

 

　　有效载荷（Payload）：就是软件的漏洞被利用时所装载的恶意内容，即在受侵害的电脑中执行的操作，如执行命令，将木马下载器写入磁盘，或返回一个反向Shell。

 

　　下图显示了在每个阶段的攻击组成部分所占的分量。

 

 

 

　　终端安全产品应该更加侧重于漏洞保护，而不是捕捉恶意软件来进行补救。因为漏洞的数量要少的多，因此更易于管理。

　　我：反病毒软件公司都声称他们的产品是能防范恶意软件的。您觉得用户们或多或少地被误导了。您能否就此解释一下？

　　莫伊：在2009年年底，我们对我们网站的500位访客进行了调查，结果是有46％的人认为反恶意软件产品能100％的阻止威胁。但主要的安全厂商估计他们扫描的电脑中有30+％以上存在形形色色的恶意软件。这个统计数字表明恶意软件是远远没有得到控制。

　　我：也就是说一台受保护的计算机稍不注意就会被感染，而这个危险人们还意识不到，你认为问题出在哪里？

　　莫伊：我们现在正在打一场对比悬殊的战斗；坏蛋的能耐比好人强大。作为防御方，我们需要注意和防范所有一切可能的攻击途径。作为进攻方，网络罪犯们只需要找到我们系统中的一个可以利用的漏洞。他们积极主动、训练有素地测试所写的恶意软件，直到他们能规避大数防病毒产品，感染大多数电脑。

　　展望未来，软件开发人员必须编写更安全的代码，减少漏洞数量。用户必须加强培训，系统要经常打补丁。

　　我：我一直认为：只要让操作系统和应用软件一直保持更新，就不会有问题。您曾举出了一个相反的例子，能把它分享一下吗？

 

　　莫伊：尽管应用最新的软件补丁很重要，但这不能保证您的系统安全．补丁只是写出来解决已知问题的。计算机罪犯正在不断开发和使用尚未被安全社区发现的新攻击，即所谓的零日攻击。

　　零日漏洞让攻击者有了可乘之机。在分析员弄清情况，推出修补程序前，行为保护可能会有所帮助。

　　我：您似乎对杀毒软件的前景持乐观态度，那么杀毒软件需要如何改进增效呢？

 

　　莫伊：反病毒产品可以改进增强的地方是很明显的。在近期对极光行动攻击的研究中，我们发现6/7的产品不能阻止漏洞利用的变种，而且它们检测恶意有效载荷的结果好坏参半。

　　安全产品要不断改进，从而提供更多的基于漏洞的保护。信誉服务也是减少最终用户遭遇风险的关键技术，但并非所有厂商都使用了这些技术。最后，安全厂商应该接受更真实的测试和第三方服务，从而推动创新，提升质量。

　　我：您提到NSS实验室在测试安全产品时使用了一种与众不同的方法，能告诉我们为什么您觉得这是一个更好的办法？

　　莫伊：借助互联网，新的威胁传播得更快了，传统的测试技术已经不再是衡量产品能力的中肯方法了。因此，NSS实验室开发了一种独特的“云中生”（Live in-the-cloud）测试框架，模拟了普通用户的经验。

　　客户电脑通过浏览器访问恶意网站，并尝试下载恶意软件。如果恶意文件未被阻止，恶意软件就会运行。

　　这种新的测试方法侧重于目前互联网上活跃的威胁，是评价一个产品所提供的保护能力的最佳指标。

　　定期检测可以保证恶意网址每隔几小时就会被访问一次。根据这些网站何时在访问时被阻止，我们可以衡量供应商需要多长时间来补充保护，这些指标有助于表明不同产品的有效性之间的重大差别。

　　我：有了这种独特的方法，你们可以成为防病毒软件开发者的服务商吗？

　　莫伊：当然可以。我们的工程师采取黑客的方法来测试 —— 真刀真枪，毫不留情。如果没有这样一个方法，测试就只能验证一个产品可以做什么，而重要的是要抢在坏蛋之前找出一个产品没做到位的。我们已经帮助许多世界上最知名的安全公司来改进他们的产品。

　　结语

 

　　里克提出的三条意见，可谓真知灼见：

 

　　▲　防御方需要保护所有一切可能的攻击途径。作为进攻方，坏蛋们只需要一个可以利用的漏洞。
　　▲　终端安全产品要更侧重于漏洞保护。
　　▲　用模拟普通用户经验的方法来测试安全产品。

 

　　对我来说，这三句话简明扼要地指出了问题，以及需要为此做些什么。您怎么看呢？（完）

 

http://blogs.techrepublic.com.com/security/?p=3360