观点与分析:网络毒刺与主动之路

发表于:2007-06-23来源:作者:点击数: 标签:
黑客与病毒,就好像蛰伏在阴暗角落的蝎子,随时给人以猝不及防的一击,借助网络的力量,这根毒刺的攻击速度和毒性越来越致命,“主动防御”会是一个妥善的解决之道吗? 病毒闪电般的毒刺 这是一个病毒的时代,在各种网络应用尚未普及之前,病毒首先成为了网络

   
  黑客与病毒,就好像蛰伏在阴暗角落的蝎子,随时给人以猝不及防的一击,借助网络的力量,这根毒刺的攻击速度和毒性越来越致命,“主动防御”会是一个妥善的解决之道吗?
  
  病毒闪电般的毒刺
  

  这是一个病毒的时代,在各种网络应用尚未普及之前,病毒首先成为了网络的宠儿,病毒是寄生于速度的物种,只有速度才能赋予它巨大的能量,“零日攻击”成为目前很多安全厂商挂在嘴边的词汇,而网络正是这种攻击得以实现的前提和武器 ,病毒越来越像蛰伏在网络暗处蝎子般的毒刺,随时对企业和用户发动闪电般的攻击。
  
  在CIH病毒之前,笔者很少为媒体上炒得热热闹闹的病毒发愁,因为那时主要的传播介质就是软盘,即使是流行病毒,从国外传进国内一般也需要几个月的时间。而且,只要用户记住在使用软盘时,先进行病毒扫描,就可以在很大的程度上避免病毒的感染。
  
  现在,网络使病毒得到了前所未有的进化,生出翅膀的病毒迫不及待地向人们展示,什么才是网络的速度。在病毒家族中,率先完成了自己“互联网转型”的病毒代表就是“梅丽莎”。这个以小姑娘名字命名的病毒1999年3月26日从制作者的电脑出发,短短的17个小时之内,在300多家企业,至少10万台电脑上留下了自己的足迹。此后的病毒更是一发而不可收拾,2001年“红色代码”(Redcode)的感染速度是每小时2万台电脑,2003年扫荡全球的“冲击波”(Blaster)病毒的感染速度是每小时3万台电脑,一周之内攻击了超过全球80%的Windows计算机。近两年由于宽带趋于主流,利用漏洞传播的蠕虫病毒,平均12小时便可传遍全球。
  
  毒刺袭击的速度在不断加快,其毒性也日渐增强,2001年以来,流行病毒都采用多种感染途径,除了传统的邮件、网络资源共享外,还包括即时消息、P2P等,这种“混合型”的毒液一旦进入企业内网,无孔不入,很难定位和清除。
  
  此外,针对手机等移动设备的病毒,也从传说逐步成为现实,而且越来越狡猾,就在今年6月初,安全机构F-Secure警告,Skulls(骷髅头)特洛伊病毒的一种新变种开始在Symbian操作系统的手机间传播,这种病毒可以伪装成反病毒软件的模样,从而引诱用户上当受骗。
  
  最糟糕的是,病毒正逐渐变得“聪明”,例如不久前出现的一种名为琼斯(I-Worm.Jeans.a)的病毒,其自带源码库和编译器,在感染不同的系统时会根据不同情况修改源码,然后重新编译,自动生成数百上千不同特征的新病毒,让反病毒软件无从下手。还有一种新的电脑病毒在感染一个网络后可以扫描安全漏洞,然后通过网络渠道向黑客报告这些漏洞。黑客会根据新的信息修正病毒,发动更有效的拒绝服务攻击或获取信用卡账号。
  
  更快、更毒、更灵活、更狡诈,这使得新一代的病毒家族具有前所未有的致命攻击力,那么,我们的反病毒企业又如何呢?
  
  反病毒葫芦里卖的什么药?
  
  “你是风儿,我是沙,缠缠绵绵到天涯......”。这句歌词是病毒和反毒厂商之间关系的最好诠释。如果说网络与病毒是最亲密的伴侣,那么病毒与反病毒厂商就是一对欢喜冤家。
  
  反病毒厂商竭尽全力捕杀病毒,似乎对其恨之入骨,但另一方面,往往病毒肆虐之时,正是反毒厂商大发横财的日子,难怪众多厂商都愿意争先恐后地发出病毒预警,并对病毒冠以各种危言耸听的名字,原因就在于这其中蕴含着巨大的商机。病毒的快速发展,也迅速滋养着杀毒软件市场。
  
  以国内为例,根据艾瑞市场咨询(iResearch)推出的《2004年网络安全研究报告》数据显示,全国网络版(企业级)、单机版杀毒软件市场收入规模已经达到10.1亿元。由于各种网络不安全因素的增加和用户对网络安全的重视程度加大,到2007年整个市场规模将会达到30.8亿元人民币。
  
  用户与反病毒软件公司的关系,就像病人与医生的关系,医生不能为了利益希望别人多生病,病人也不能因为付出了金钱就产生怨恨。但病毒的肆虐,总会让人产生不平衡的心态,不久前,有媒体撰文指出,反病毒企业故意在卖“过期药”,杀毒机制总是远远落后于病毒的攻击,言下之意,反病毒企业正在用过时的反病毒技术维持整个产业的高利润。
  
  此言论一经散播,众多反病毒企业纷纷出来表态,针对“过期”一说,都宣称自己的产品已经走到了病毒的前面,可以实现对未知病毒的“主动防御”。
  
  但是,落实到技术层面,很多企业拿出的都大同小异,这就是“行为判定”的杀毒方式,其原理是通过对病毒程序的监控,在发现有不法操作时,将其判定为病毒。其实,这种技术2~3年前就已经出现,只不过一直未能得以成熟应用,这倒并非杀毒厂商敝帚自珍,或者希望维持现有机制获取最大利润(实际上,除非某厂商获得市场垄断地位,否则在竞争如此激烈的环境下也不可能实现控制)。而是“行为判定”的杀毒方式本身就很不成熟,一直存在着误报率较高的问题,并且对系统资源的消耗也非常严重。
  
  其实,对该技术应用最广泛的并不是某个反病毒企业,而是微软Widows XP的SP2升级包,这个微软耗费了数亿美金打造的“大补丁”,最大的着眼点就是安全防护,它新增了一款功能强大的“行动拦截器”,类似于个人防火墙产品。与传统的杀毒软件工作方式不同,捆绑SP2的这款产品并不根据病毒码扫描计算机,而是直接自动监测计算机上运行的各种进程,并默认为开启状态,同时会将操作系统内一些不太必要的功能或非法进程关闭,安全中心将会统一管理或显示系统的安全设置和相关厂商的安全软件。事实证明,SP2虽然在一定程度上可以防止蠕虫病毒的攻击,但安全漏洞仍然不断被发现。
  
  所以,如果仅仅把“行为判定”当作主动防御的良方,那么这味药离正式上市还有很长的一段时间,而且就像我们不能指望一个包防百病的良方能够诞生一样,其最终疗效也相当值得怀疑,那么,主动防御技术除了作为很多反病毒企业宣传的口号之外,对于用户眼下所面临的安全威胁,又有怎样的现实意义呢?
  
  主动 体现在全程关怀
  
  安全是一个整体的概念现在已经深入人心,对于反病毒而言也同样如此,金山毒霸事业部技术总监陈睿就对记者表示,主动并不是一个空泛的概念,它体现在反病毒的每一个环节,比如主动的响应和主动的修复,用户首先需要的就是对新威胁及时防御的能力。
  
  新病毒出现后,绝大部分用户是不知道的,他们会在数小时内面临新病毒的威胁。这要求安全厂商快速响应,在足够短的时间内捕获样本并分析,更新漏洞信息和病毒防御特征。所以,用户需要一种主动的方案来缩短病毒特征库更新周期到达用户计算机的时间瓶颈。
  
  此外,还要有对新安全漏洞主动快速的修复能力,因为只要打了安全补丁,利用漏洞的病毒都无法侵入系统。从目前已有的经验来看,没有一个利用漏洞的病毒是在漏洞补丁出现之前产生的。问题就出在用户往往不清楚漏洞的存在,也不清楚漏洞补丁已经放出,正是这种情况给病毒造成可乘之机,也给用户带来重大损失。因此,用户需要一种主动的方案及时修复系统安全漏洞。
  
  由于当前流行病毒的传播方式都是“混合型”的,会利用漏洞、邮件、局域网等多种途径传播自己。所以,对于一个企业网络环境,仅仅基于单个客户端进行防御既不能阻止病毒传播,也不能保障整个网络的安全。这就要求有一种更具主动性的网络安全模型,及时隔离感染源,自动切断感染途径,保障整个企业安全。换句话说,就是基于网络的整体防御能力。
  
  具体到对于病毒的捕获和识别,目前主要的就是响应式技术和预防式技术两类。
  
  基于已知病毒特征码,在攻击到来时,通过比较病毒库,识别出病毒,并产生相应的查杀动作。这种技术虽然被一些人讽刺为“过期药”,但也是目前最成熟、最主流的安全技术,它的效率高,误报低,并且可以有效清除病毒,但是它显然会滞后于病毒。
  
  预防式反病毒技术,顾名思义就是可以针对未知病毒和攻击,利用其他的判定方式识别它,作出一定的对抗动作。目前属于“预防式技术”的有代码行为识别:它通过扫描并分析程序代码,找出恶意行为,如金山毒霸的“启发式扫描”和瑞星的“行为识别判定未知病毒”。目前该技术本身还不成熟,依赖于虚拟机技术和人工智能技术的发展,目前识别率和误报率都不理想;再有就是IDS,它可以按照规则识别网络包,但需要人工干预,不能阻止入侵,也不能自动防护。
  
  总之,不管什么样的技术,用户真正需要的是一种无需人工干预,能够自动防护的解决方案
  
  主动之路 与时俱进
  
  由上面我们可以看到,“主动防御”并不是单一的产品或技术,更不是某个厂商手中的宣传道具,而是一个安全防护的概念,我们可以说一个功能带有“主动防御”的性质,但是不能说某个具体的功能(比如“行为判断查杀未知病毒”)是“主动防御”。
  
  “主动防御”的理想状态是:当新的威胁或漏洞出现时,不必用户手动干预,安全软件就能识别出是否具有威胁,并截获/阻止有威胁的代码对于本机资源的访问。其核心在于“主动性”,即无需人工干预就能作出防御行为,并具备对未知攻击的防御能力。
  
  作为一种病毒防护的技术思路,“主动防御”在不同的阶段有不同的体现,随着病毒的发展而与时俱进,在不同阶段有不同的体现。在5年前,我们可以说,如果杀毒软件能够做到“文件实时监控”,就具有主动防御能力。而现在,“主动防御”需要一些更创新的技术来支撑,甚至需要以整个网络为一个整体来实现。
  
  具体到现有的企业杀毒产品,“主动防御”的功能主要体现在以下几个方面:
  
  首先是全网主动实时升级,系统中心会主动实时下载全球同步的最新病毒库,并自动分发到客户机上,保障整个网络都能够防御最新流行病毒,再有就是全网分布式漏洞扫描,同步对全网的所有客

原文转自:http://www.ltesting.net