自去年6月開始����,研究人員就發(fā)現(xiàn)并報告了來自各類殺毒產(chǎn)品中的數(shù)十項嚴重缺陷����,其相關(guān)廠商包括卡巴斯基實驗室�、ESET、Avast���、AVG Technologies��、英特爾Security(原McAfee)以及Malwarebytes等等���。
想象一下�,如果貴公司的IT部門來電稱我們的工作站受到了入侵���,我們必須立即停止正常業(yè)務(wù)運作���,這時大家肯定相當憤怒:我們已經(jīng)順利通過了企業(yè)設(shè)置的安全培訓(xùn),也確定自己從來沒有打開過任何可疑的電子郵件附件或者點擊任何惡意鏈接; 另外��,我們也清楚自己的企業(yè)擁有強大的修復(fù)策略并始終保持計算機上的軟件處于最新版本; 與此同時��,我們也絕不是那種會在工作時間內(nèi)瀏覽非工作類網(wǎng)站內(nèi)容的家伙���。那么��,到底是哪里出了問題?
幾天之后�,一項驚人的結(jié)論被擺在我們面前——企業(yè)雇用的安全調(diào)查廠商調(diào)查出了事故的源頭:黑客利用到了被安裝在我們計算機上的企業(yè)殺毒程序中的某項缺陷��,而該程序的作用恰恰是保護我們免遭攻擊侵害�?���?v觀整個過程�,攻擊者不過是向身為受害者的我們發(fā)送了一份郵件消息——而我們甚至根本沒有將其打開。
這種威脅場景聽起來可能有些牽強��,但需要強調(diào)的是���,其絕對真實存在�。根據(jù)漏洞研究人員對以往殺毒程序進行的分析�����,這種攻擊活動非常有可能成為現(xiàn)實�����,甚至可能已經(jīng)在無聲無息中出現(xiàn)���。一部分研究人員多年來一直在試圖發(fā)出警告,從而強調(diào)端點殺毒產(chǎn)品當中關(guān)鍵性缺陷被發(fā)現(xiàn)及利用的便捷性與可行性�����。
自去年6月開始,研究人員就發(fā)現(xiàn)并報告了來自各類殺毒產(chǎn)品中的數(shù)十項嚴重缺陷����,其相關(guān)廠商包括卡巴斯基實驗室、ESET�、Avast、AVG Technologies�、英特爾Security(原McAfee)以及Malwarebytes等等。其中相當一部分安全漏洞會允許攻擊者以遠程方式在目標計算機上執(zhí)行惡意代碼��,進而濫用殺毒產(chǎn)品自身提供的功能����,最終在受影響系統(tǒng)中實現(xiàn)權(quán)限提升甚至壓制住其它第三方應(yīng)用中的反惡意防御機制。
其中一部分安全漏洞的利用方式甚至完全無需涉及用戶界面�����,使得目標計算機創(chuàng)建蠕蟲病毒——即擁有自我傳播能力的惡意程序����。在多數(shù)情況下,攻擊者傾向于單純向潛在受害者發(fā)送經(jīng)過精心設(shè)計的特定郵件消息��,從而將惡意代碼注入至由此類設(shè)備訪問的合法網(wǎng)站或者通過U盤將惡意文件傳播到受害者的計算機當中�。
即將在未來全面襲來的攻擊活動
有證據(jù)表明�����,對殺毒產(chǎn)品者攻擊的行為——特別是在企業(yè)迂闊發(fā)中——既具備可能性又具備可行性���。一部分研究人員認為,此類攻擊活動也許已然發(fā)生�����,甚至殺毒產(chǎn)品廠商尚未意識到這一點——因為受害者數(shù)量仍然非常有限���。
各國政府的情報機構(gòu)對于殺毒軟件中的缺陷一直抱有很大興趣�。新聞網(wǎng)站The Intercept早在去年6月就報道稱��,英國政府通信總部(簡稱GCHQ)曾于2008年提出申請���,要求更改相關(guān)要求以允許該機構(gòu)對來自卡巴斯基實驗室的殺毒產(chǎn)品進行逆向工程并從中尋找薄弱環(huán)節(jié)。美國國家安全局亦致力于研究殺毒產(chǎn)品��,從而規(guī)避其檢測�����,該網(wǎng)站援引由愛德華斯諾登披露的部分國安局文件內(nèi)容稱。
某疑似由國家提供贊助的間諜活動組織Careto——也稱The Mask——明確試圖利用卡巴斯基殺毒產(chǎn)品中的一項安全漏洞以回避檢測�。該組織于2014年2月對歸屬于數(shù)百個政府機關(guān)及私營機構(gòu)的計算機設(shè)備進行了入侵,影響范圍跨越超過30個國家���。
盡管這里提到的主要是利用殺毒軟件中的安全漏洞規(guī)避檢測的例子����,但事實上受感染殺毒產(chǎn)品遭遇遠程代碼執(zhí)行狀況的案例也時有發(fā)生���,甚至有某些特定中間商會通過不受監(jiān)管的地下市場對此類漏洞進行大量出售�。
去年意大利監(jiān)控廠商Hacking Team有大量郵件泄露�����,其中一份文檔顯示某家名為Vulnerabilities Brokerage International的機構(gòu)出售大量漏洞信息�����。這份文檔列出了一系列針對多種殺毒產(chǎn)品的權(quán)限提升��、信息泄露以及繞過檢測機制等安全漏洞�����,其中某個ESET NOD32殺毒軟件中的遠程代碼執(zhí)行漏洞被標記為“已售出”狀態(tài)。
根據(jù)入侵檢測方案供應(yīng)商Vectra公司首席安全官兼安全研究企業(yè)IOActive公司前任首席技術(shù)官Gunter Ollmann的說法����,這種狀況在過去十年中一直存在。目前已經(jīng)有多家廠商專門對來自不同國家的主流桌面殺毒產(chǎn)品者逆向工程�,從而滿足客戶們的具體要求,他在電子郵件采訪當中解釋稱��。他們還會對現(xiàn)有惡意軟件者逆向設(shè)計����,從而保證其具備對已受感染系統(tǒng)的劫持能力,他表示���。
根據(jù)Ollmann的解釋����,中國奇虎360殺毒產(chǎn)品當中的一項遠程安全漏洞在美國及歐洲的情報機構(gòu)處能夠賣出數(shù)萬美元的價格���。
“從國家的角度來看�����,從事這種勾當顯然不是什么光彩的事����,所以其會將目標范圍進行嚴格控制與精心挑選�,”O(jiān)llmann指出。
如果來自美國與歐洲的情報機構(gòu)對此類安全漏洞抱有興趣�����,那么無疑俄羅斯��、中國以及其它網(wǎng)絡(luò)力量自然也已經(jīng)涉入其中��。事實上�,中國與俄羅斯的網(wǎng)絡(luò)間諜集團已經(jīng)多次證明了自己的強大能夠以及對流應(yīng)用內(nèi)未知漏洞的敏感嗅覺,因此利用同樣的技能從殺毒產(chǎn)品中尋求漏洞自然也非難事���。
甚至一部分殺毒產(chǎn)品供應(yīng)商廣泛認為�,專門針對殺毒產(chǎn)品進行的攻擊活動具備很高的可行性——盡管截至目前尚無此類事件出現(xiàn)���。
“在我們的2016年預(yù)測當中���,我們特別提到針對安全研究人員與安全廠商的攻擊活動很可能成為信息安全領(lǐng)域的未來發(fā)展趨勢; 但是,我們認為這類活動不太可能表現(xiàn)為廣泛攻擊,”卡巴斯基實驗室反惡意軟件研究項目負責人Vyacheslav Zakorzhevsky在采訪郵件當中表示�。“舉例來說���,安全研究人員可能會通過受感染研究工具遭遇攻擊��,而且由于一切軟件皆存在著安全漏洞�,因此安全軟件本身也很可能在一定程度上成為受影響目標���?��!?
殺毒軟件供應(yīng)商Bitdefender公司亦在郵件當中表示,針對商戰(zhàn)安全項目的指向性攻擊活動“顯然具備可行性”�����,但這類活動很可能針對的是企業(yè)環(huán)境而非普通消費者���。
滲透測試人員也早已意識到殺毒產(chǎn)品當中所存在的可乘之機���。某位效力于一家大型技術(shù)企業(yè)的安全研究人員指出,他的團隊常常會在滲透測試工作當中嘗試利用殺毒管理服務(wù)器中的安全漏洞���,因為此類服務(wù)器擁有覆蓋全部商戰(zhàn)系統(tǒng)的高權(quán)限�����,且可被作為企業(yè)網(wǎng)絡(luò)內(nèi)部的橫向移動平臺�����。他不愿透露自己的姓名�����,因為他的雇主并未批準其對此事發(fā)表評論���。
對企業(yè)殺毒管理服務(wù)器加以利用的作法已經(jīng)被列入Hacking Team所泄露出的漏洞經(jīng)紀國際公司產(chǎn)品清單,亦可從某些公共漏洞數(shù)據(jù)庫中找到���。
殺毒方案供應(yīng)商似乎并不擔心針對其消費級產(chǎn)品的潛在攻擊活動�����。在大多數(shù)情況下�����,研究人員認為這種攻擊活動不太可能出現(xiàn)����,因為典型的網(wǎng)絡(luò)犯罪團伙有著其它更受歡迎的攻擊目標選項,例如Flash Player�、Java、Silverlight����、IE或者微軟Office。
然而��,這類普及度極廣的應(yīng)用程序的開發(fā)商們近年也已經(jīng)開始想辦法緩解其產(chǎn)品遭遇攻擊的可能性�����。而隨著更多用戶將產(chǎn)品升級至更新��、更具保護能力的版本���,攻擊者們可能被迫尋求新的利用目標���。因此,未來針對殺毒產(chǎn)品的攻擊活動可能開始面向由數(shù)千萬甚至數(shù)億普通用戶所使用的常規(guī)產(chǎn)品��,特別是在網(wǎng)絡(luò)犯罪分子開始將魔爪伸向未知——也就是零日安全漏洞領(lǐng)域之后。事實上�����,這類情況此前已經(jīng)出現(xiàn)過�����。
但單純立足于當下��,企業(yè)在殺毒產(chǎn)品方面所面臨的攻擊風險仍然要遠高于普通消費者�����,特別是那些頻繁遭受網(wǎng)絡(luò)間諜活動侵擾的敏感行業(yè)��。
入侵殺毒產(chǎn)品難度極低
殺毒軟件是由人類所創(chuàng)造�,而人類總會犯錯誤����。當然,我們不可能要求此類程序完全不存在任何bug�,但正常來講殺毒產(chǎn)品中的安全缺陷較其它軟件類型要更少,其利用難度也相應(yīng)更高一些��。
我們也有理由認為各企業(yè)成為IT安全行業(yè)中的組成部分,包括嚴格遵循安全編程指南以在自家產(chǎn)品當中實現(xiàn)常見的反漏洞防御機制��,并定期執(zhí)行代碼審計與漏洞測試�。
然而遺憾的是,以上觀點只是我們的一廂情愿——殺毒業(yè)界的實際情況并非如此���。
殺毒程序需要有能夠?qū)碜远喾N來源的數(shù)據(jù)及文件類型進行檢查��,具體包括網(wǎng)頁�����、電子郵件�����、本地文件系統(tǒng)����、網(wǎng)絡(luò)共享信息��、USB接入存儲設(shè)備乃至更多�����。這些殺毒產(chǎn)品亦由大量組件所構(gòu)成,旨在實現(xiàn)多層級保護效果:負責攔截網(wǎng)絡(luò)流量的驅(qū)動程序���、負責與瀏覽器及郵件客戶端相集成的插件�、圖形用戶界面��、執(zhí)行基于簽名�����、行為以及云環(huán)境的殺毒引擎掃描子系統(tǒng)等等�。
對于安全研究人員來說�����,這種豐富的功能與定位意味著龐大的攻擊面�����,也就是說攻擊者能夠以多種方式從其中找到大量潛在漏洞代碼��。另外��,在對殺毒軟件進行審視時����,我們會發(fā)現(xiàn)其中有大量代碼擁有極高的運行權(quán)限����,而這一直是安全研究人員應(yīng)該盡可能避免的作法����。
研究結(jié)果顯示,殺毒產(chǎn)品會提供“易于被利用的攻擊面�����,并顯著增加目標遭受針對性攻擊的機率�,”谷歌公司安全研究員Tavis Ormandy在去年9月的一篇博文當中指出。在這篇文章中�����,他同時對自己在過去幾個月內(nèi)所發(fā)現(xiàn)的殺毒軟件漏洞做出了分析����。“出于這個原因�,各安全產(chǎn)品供應(yīng)商有責任盡可能提升安全開發(fā)標準,從而最大程度降低其軟件造成危害的可能性?���!?
自去年6月以來,Ormandy先后從來自ESET�、卡巴斯基實驗室、AVG以及Avast等廠商的殺毒產(chǎn)品當中發(fā)現(xiàn)并報告了超過25種安全漏洞��。而在此之前�,他還曾經(jīng)從Sophos以及微軟的產(chǎn)品中發(fā)現(xiàn)類似的安全缺陷。
Ormandy所發(fā)現(xiàn)的大部分安全缺陷源自對文件及數(shù)據(jù)的解析操作�,而這也是歷史上此類漏洞的一種慣有來源。
“未來�����,我們將看到更多殺毒軟件拆包工具�����、模擬器以及沙箱解析方案���,從而保證其無需以SYSTEM權(quán)限加以運行,”O(jiān)rmandy指出����?�!癈hromium沙箱屬于開源項目且為眾多主流產(chǎn)品所使用�。請不要坐等網(wǎng)絡(luò)蠕蟲將矛頭指向我們的產(chǎn)品��,或者執(zhí)行面向用戶的針對性攻擊����,馬上行動將沙箱機制加入到各位的發(fā)展路線圖中來?��!?
Ormandy并不是第一位對殺毒產(chǎn)品中缺少沙箱等安全應(yīng)對機制��,且各組件以系統(tǒng)級別權(quán)限加以運行這一現(xiàn)狀發(fā)出警告的專家��。
2014年�����,一位名為Joxean Koret的安全研究人員就曾發(fā)現(xiàn)14款殺毒產(chǎn)品及其掃描引擎中存在著遠程與本地可利用安全缺陷���。他給出的建議與Ormandy大致相同。
根據(jù)Koret的說明�,殺毒行業(yè)至少應(yīng)當采取權(quán)限隔離以及沙箱機制等技術(shù)手段提供較高的安全水平,同時也需要盡可能對殺毒產(chǎn)品本身進行保護。
目前有很多此類程序中存在著可被中間人攻擊所利用的漏洞���,因為它們并未使用SSL/TLS進行通信�����,而其下載的各組件往往亦不具備簽名�。它們沒有采用任何現(xiàn)代瀏覽器所廣泛擁有的反漏洞機制����,也沒有使用模擬方式掃描可執(zhí)行文件或者選擇內(nèi)存安全語言,他通過郵件告訴我們��。
更糟糕的是����,有證據(jù)表明很多殺毒產(chǎn)品甚至根本沒有針對安全缺陷進行過適合的合規(guī)審計,Koret表示���。“舉例來說��,著眼于Tavis Ormandy所發(fā)現(xiàn)的各安全漏洞�����,我們明顯可以發(fā)現(xiàn)其從未對軟件本身進行過審計,因為此類安全漏洞完全可以在每周一次的固定評估過程中被審計工具所發(fā)現(xiàn)��?�!?
為了避免潛在的擴散可能性�,殺毒軟件廠商應(yīng)當盡可能降低產(chǎn)品運行所采用的權(quán)限級別,添加沙箱敏感性功能并確保其代碼擁有理想的安全水平與成熟度����,漏洞情報企業(yè)Risk Based Security(簡稱RBS)公司首席研究官Carsten Eiram指出。
自2010年1月1日開始��,已被正式報告的安全軟件與設(shè)備內(nèi)安全漏洞已經(jīng)多達1773個——其中2015年曝出的有372個���,而且大部分都可通過輸入篡改的方式被實際利用��,RBS公布的數(shù)據(jù)顯示����。
“安全供應(yīng)商應(yīng)當承擔起提高安全編碼標準的責任����,”Eiram表示�����?!皬陌踩a(chǎn)品解析功能中發(fā)現(xiàn)這么多安全漏洞確實令人覺得非常尷尬�����,因為這長久以來一直被視為主要安全威脅之一���。而當上述解析功能以SYSTEM權(quán)限運行時��,其造成的后果自然更加嚴重����?!?
在大多數(shù)情況下,殺毒軟件供應(yīng)商往往認為沙箱機制并不適用于殺毒產(chǎn)品�����,因為這會對性能造成一定影響��。一部分廠商甚至宣稱����,他們會采取其它一些可行方式——例如降低運行權(quán)限、執(zhí)行路由安全評估并開發(fā)出其它能夠?qū)崿F(xiàn)等同于沙箱之效果的技術(shù)方案����。
賽門鐵克公司正致力于降低其產(chǎn)品及服務(wù)的攻擊面。根據(jù)該公司的說法�����,其方案旨在以盡可能低的權(quán)限級別運行安全組件�,從而降低攻擊活動的實現(xiàn)可能性。
而根據(jù)卡巴斯基實驗室的說法��,實際解決安全漏洞的復(fù)雜程度要遠比單純使用某種技術(shù)手段更高�。該公司推出了一系列技術(shù)成果,并宣稱其能夠為客戶帶來最理想的保護效果��。舉例來說���,其使用多種機器學習算法以使用公司收集到的大規(guī)模安全情報與專業(yè)知識��。
“盡管使用‘沙箱’方案似乎是種更為簡單的辦法����,但其存在著諸多嚴重缺點,包括影響性能�����、執(zhí)行效率以及兼容性��,”卡巴斯基公司的Zakorzhevsky解釋稱��。
英特爾Security/McAfee公司則表示當?shù)弥嬖谀稠棟撛趩栴}時���,其會立即進行調(diào)查以驗證其有效性����、性質(zhì)以及嚴重程度���,并據(jù)此制定修復(fù)策略�。
我想可能沒有人會質(zhì)疑殺毒軟件廠商對安全缺陷的發(fā)現(xiàn)速度以及盡快發(fā)布修復(fù)補丁的能力�����。事實上�,其中一些廠商擁有驚人的響應(yīng)速度,其產(chǎn)品在配置中也默認提供自動更新設(shè)計�。然而真正的問題在于�,相當一部分安全缺陷類型其實自開發(fā)階段起就一直存在于此類產(chǎn)品當中����。
賽門鐵克與英特爾Security雙方都拒絕解決與沙箱技術(shù)相關(guān)的具體問題����、殺毒產(chǎn)品面臨攻擊行為的可能性、此類產(chǎn)品在檢測目標攻擊時的具體成效或者其它安全研究人員們所提出的批評意見���。
殺毒方案供應(yīng)商Bitdefender公司指出���,谷歌公司推出的類沙箱解決方案不太可能成為安全產(chǎn)品中的有效技術(shù)選項?���!胺磹阂廛浖鉀Q方案每秒都需要攔截數(shù)千個系統(tǒng)事件并對其進行沙箱處理,這會給系統(tǒng)整體帶來可觀的性能影響����,甚至遠遠超出操作系統(tǒng)供應(yīng)商的可容忍限度?�!?
Bitdefender公司同時宣稱�����,其大部分產(chǎn)品組件——例如反惡意引擎主動威脅控制子系統(tǒng)——已經(jīng)以等同于當前所登錄用戶的權(quán)限水平加以運行,且正在利用代理進程來限制其中以系統(tǒng)權(quán)限運行的組件數(shù)量——包括該公司的消費級產(chǎn)品����。
在企業(yè)級產(chǎn)品方面,該公司開發(fā)出了一套名為Gravity Zone的解決方案�����,允許管理員在網(wǎng)絡(luò)上的不同設(shè)備運行掃描服務(wù)���,而非像過去那樣面向端點——另外�����,其最近還推出了HVMI(即基于虛擬機管理程序的內(nèi)存審查)技術(shù)���,能夠通過在操作系統(tǒng)之外部署Type 1虛擬機管理程序的方式徹底對反惡意解決方案加以隔離。
“這類隔離機制能夠?qū)⒎磹阂庖嫱瑀ootkit或者其它運行在用戶環(huán)境下的漏洞區(qū)分開來���,”該公司強調(diào)稱��。
Avast公司并沒有就此做出評論�,而Malwarebytes、AVG以及ESET等廠商則明確拒絕在本文發(fā)布之前給出回應(yīng)——雖然我們提供了充足的反應(yīng)時間��。
風險與回報
由殺毒產(chǎn)品所帶來的規(guī)??捎^且易被利用的攻擊面在與針對性攻擊相結(jié)合之后,又帶來了新的問題:我們是否有必要在企業(yè)環(huán)境之下安裝此類保護程序?
部分研究人員質(zhì)疑端點殺毒產(chǎn)品在應(yīng)對高復(fù)雜性及高針對性惡意程序時的實際作用���,特別是那些來自網(wǎng)絡(luò)間諜集團的攻擊手段。在他們看來��,與由其帶來的風險相比����,端點殺毒產(chǎn)品帶來的回報實在太過有限,特別是對于那些處于經(jīng)常遭遇針對性攻擊侵擾的行業(yè)之內(nèi)的企業(yè)而言��。
“在我看來���,殺毒軟件產(chǎn)品只適合用于保護那些小型企業(yè)以及家庭用戶���,”Koret指出?���!皻⒍井a(chǎn)品無法檢測到那些未知的威脅——無論具體是什么��。殺毒產(chǎn)品的檢測功能往往流于形式�����,而且大多數(shù)惡意軟件開發(fā)人員都會在發(fā)布其惡意代碼之前首先在主流產(chǎn)品中進行測試����,”他解釋道���。
而作為端點殺毒產(chǎn)品的長期反對者����,Ollmann認為安全保護方案越來越多被內(nèi)置于操作系統(tǒng)當中的趨勢將使得這種獨立產(chǎn)品形式最終過時�����。
事實上����,即使是在當下,部分殺毒軟件供應(yīng)商也需要侵入操作系統(tǒng)安全機制��,從而保證自己的產(chǎn)品能夠如設(shè)計思路般正常運行——這也進一步證明了其對系統(tǒng)的破壞能力,他補充稱���。
作為此類狀況的一項實例�����,最近以色列數(shù)據(jù)泄露預(yù)防企業(yè)enSilo公司報告稱����,來自英特爾Security���、卡巴斯基實驗室以及AVG等廠商的產(chǎn)品中存在一項安全漏洞���,能夠禁用操作系統(tǒng)內(nèi)置反漏洞防御機制對其它應(yīng)用的保護��。
這些殺毒產(chǎn)品會為用戶模式的讀取�����、寫入與執(zhí)行權(quán)限分配一個內(nèi)存頁���,而具體權(quán)限則同Adobe Reader以及網(wǎng)絡(luò)瀏覽器等其它應(yīng)用相關(guān)聯(lián)�����,enSilo公司的研究人員在一篇博文當中解釋稱��。這有可能使得攻擊者得以繞過Windows系統(tǒng)中的安全防御機制��,例如面向第三方應(yīng)用程序的地址空間布局隨機化(簡稱ASLR)以及數(shù)據(jù)執(zhí)行預(yù)防(簡稱DEP)�����,從而幫助自身更輕松地利用這些應(yīng)用中所存在的安全漏洞�。
Eiram還進一步強調(diào)稱,殺毒產(chǎn)品已經(jīng)沒有立足之地����。當然,他認為相當一部分用戶——包括家庭用戶以及企業(yè)環(huán)境內(nèi)用戶——仍然需要具備一定程度的操作保護手段�,例如避免下載高風險軟件或者點擊惡意鏈接。
端點殺毒程序確實能夠降低此類基礎(chǔ)性威脅���。然而殺毒產(chǎn)品本身帶來的攻擊風險是否更加嚴重?這取決于此類威脅的具體類型以及所安裝殺毒產(chǎn)品的整體安全水平��,他指出�����。
人們應(yīng)當認真考慮怎樣的安全軟件真正適合自己的環(huán)境����,特別是其中是否具備他們最為需要的功能。殺毒產(chǎn)品買家亦應(yīng)當檢查自己的現(xiàn)有選項��,了解它們能夠快速應(yīng)對與自身產(chǎn)品相關(guān)的安全漏洞����,同時通過供應(yīng)商安全記錄審查了解這些缺陷的具體類型及嚴重程度,Eirams建議稱��。
“人們不該出于更安全的印象而盲目安裝安全軟件�����,”他表示���。“實際情況并非如此����。”
“我們永遠不能低估惡意軟件在復(fù)雜性層面的發(fā)展速度與前進步伐��,”卡巴斯基公司的Zakorzhevsky指出?����!暗c此同時���,我也不同意殺毒產(chǎn)品毫無效果這種說法�����。在出現(xiàn)一套能夠檢測出全部高復(fù)雜性威脅以及針對性攻擊活動的解決方案之前�����,殺毒軟件仍是保護業(yè)務(wù)并對普通惡意軟件進行過濾與阻斷的整體安全戰(zhàn)略中的必要組成部分���。”
一項多層次戰(zhàn)略應(yīng)當將傳統(tǒng)殺毒軟件同下一代保護工具�����、情報共享�、安全服務(wù)、IT專業(yè)技能培訓(xùn)以及路由安全性評估等方案相結(jié)合�����,同時適用于軟件、硬件以及應(yīng)用程序本身����,而這也是我們能夠降低企業(yè)及個人數(shù)據(jù)泄露機率的惟一可行方案,他表示���。
Bitdefender公司承認��,有時候殺毒產(chǎn)品確實會漏掉一些惡意軟件樣本�����,但他們表示這種狀況在全部威脅事件當中只占約1%比例�����。
“因此����,這最終還是要歸結(jié)為對攻擊可能性的過濾與排查——這項工作基于已知安全漏洞或者已知惡意軟件的變種特征——而后將反惡意解決方案同安全意識培養(yǎng)計劃作為相互補充�����,”該公司指出�。
能夠在高風險環(huán)境下實現(xiàn)或者取代殺毒程序的技術(shù)方案正是應(yīng)用程序白名單機制,其只允許預(yù)先經(jīng)過批準的應(yīng)用程序在計算機上運行���。美國國家標準與技術(shù)研究所最近鼓勵用戶使用這種已經(jīng)被默認內(nèi)置在部分操作系統(tǒng)當中的保護機制���,甚至發(fā)布了與之相關(guān)的推薦用法指南。
網(wǎng)絡(luò)邊界的保護對于捍衛(wèi)企業(yè)環(huán)境免受內(nèi)部與外部威脅方面亦非常重要�����,例如阻止數(shù)據(jù)泄露嘗試��。不過���,用戶在思想意識層面不應(yīng)先入為主地認定網(wǎng)絡(luò)級安全設(shè)備不存在安全漏洞��。事實上����,安全研究人員在過去幾年中已經(jīng)發(fā)現(xiàn)相當一部分此類產(chǎn)品存在漏洞���,其中一部分甚至在不受監(jiān)管的地下市場中進行公開出售�。
