【赛迪网独家特稿】《2004年全国网络安全状况调查报告》指出,2004年所受到的网络攻击类型中最普遍的是病毒、蠕虫或特洛伊木马攻击,占75.3%。调查数据显示,2004年面临的网络安全威胁最高的是使用自动化网络攻击工具,例如蠕虫或自动传播恶意代码,占67.3%。网络安全事件和威胁的增多已让各大安全厂商防不胜防,与其被动防守,不如主动出击,安全专家们开始纷纷探寻主动防御之路,试图通过主动防御将安全威胁阻挡于系统之外。
间谍程序、游戏木马、黑客程序等网络病毒的频频爆发,已经使反病毒领域开始意识到,单纯依靠 “特征码技术”已经不能适应反病毒需求。能否率先掌握主动防御技术,高效主动防御未知病毒已成为国内外反病毒厂商亟待突破的重点,也是反病毒厂商新一轮洗牌的关键。
从片面向全面的抗战
传统的AV技术在进入2000年后,虽然也在不断发展,但已经趋于平缓。从引擎技术上没有再催生当年类似虚拟机技术那样的变革,企业级反病毒的体系机构也没有更多的突破。而同时,每次大规模的蠕虫爆发都在削弱广大用户对于反病毒体制的信心。对AVER来说,一个思考可能在于,仅仅依靠AV本身,是否能达到有效控制病毒的目的,至少有些问题是AV企业自身无法解决的。
漏洞问题。历次大规模爆发的蠕虫都是依靠漏洞传播的,但先抛开反病毒软件是否有义务给用户系统打补丁的问题,首先反病毒产品是否有权力来打补丁都成为问题。
用户意识和水平问题。反病毒企业无法承担教化整个社会的责任,况且无论怎样强调,都一定会有用户不安装、不升级、不开实时监控。更何况还有人做病毒的主动散布者。
网络控制问题。蠕虫的重要后果在于对网络的影响,但AV并不处在网络控制的中枢地带。
与此同时,操作系统厂商和网络设备供应商也都意识到自身的责任,微软推出了Windows XP SP2,其中的DEP技术有效地遏制了溢出的发生,CISCO推出了SDN的概念,在基础建设的环节中开始整合入AV环节。
从这个意义上说,主动防御首先表现在体系上,从局部向整体,从片面抗战开始走向全面抗战发生变化,包括主流操作系统自身安全性的增强,用户接入条件变化,网络过滤能力的增强,AVWARE识别未知病毒能力的增强。
从而催生了从传统的主机环节分布工作,集中管理的传统企业反病毒模型到由网关环节、网管环节到主机环节的整体病毒防御模型。而传统的企业反病毒的控制台也在向能够管理多种安全产品的SOC演化。图1就表述了一种如何应对各种病毒威胁的全新方法。
坚持和发展
无论信息系统环境如何变化,以及反病毒技术自身如何发展,传统的识别、检测处理的思路都不会被抛弃。
反病毒的目的。对安全体系来说,AV只是一个必要而不充分的环节。我们曾经指出反病毒技术的根本目的不是查杀病毒,而是保证信息系统的安全。因此,我们曾经对误查误报,以及损坏用户数据文件的事件高度警惕。这个思想目前来看仍是正确的。
传统技术不会被抛弃。反病毒的本质是精确识别与处理的问题,识别是正确处理的前提。因此,同样是CIH,如果把1019的清除方法用于1013,可能会出现意想不到的问题。如果摈弃了传统技术这就成为无法解决的问题。
1
2
3
下一页>>
