“杀毒软件已死”言过其实

关于“杀毒软件已死”的预言说了多少年，杀毒软件却依然持续保护着系统安全和网络安全。

赛门铁克(Symantec)信息安全高级副总裁布莱恩·戴伊(Brian Dye)今年年初宣告，提供系统保护的杀毒软件已经死亡，此言一出，立刻了引起了轩然大波。然而，尽管杀毒软件的有效性近年来一直在不断衰退，还是有安全专家认为，由这位几乎可以与杀毒软件齐名的公司高管对杀毒软件进行死刑宣判还为时尚早。

当然，随着恶意软件复杂性的不断增长，仅使用基于特征的杀毒软件作为系统保护，必定是力不从心的。“一半以上的威胁，我们的杀毒软件都阻止不了，”赛门铁克产品营销副总裁钱德拉·兰根(Chandra Rangan)说。“我们一直试图在引导人们，告诉他们说，如果只有基于特征的杀毒软件是不够的。”

在当今威胁四伏的环境中，基于特征的杀毒软件本身虽然并不能提供足够的保护，但它对于系统安全仍然做着重大的贡献。“如果你去任何一家财富1000强企业，说‘杀毒软件已死，把它们都从系统中删除吧’，你一定会被很多的安全专员嘲笑的，”英特尔安全公司(原迈克菲McAfee)首席技术策略师布莱恩·凯尼恩(Brian Kenyon)表示。“事实上，即使是现在的这种形式，杀毒软件也是可以阻止很多病毒的。”

“事实上，即使是现在的这种形式，杀毒软件也是可以阻止很多病毒的。”

——英特尔安全公司首席技术策略师布莱恩·凯尼恩

凯尼恩接着说，在系统保护中，阻止威胁只是防病毒工作的一部分。“除了对病毒进行阻止，杀毒软件还要对病毒进行清理，将它们从系统中清除。但是，如果你问‘当前杀毒软件的架构和能力就是我们行业的未来吗’，我肯定会说，当然不是，但我并不认为杀毒软件已死。”

将杀毒软件的定义限定为基于特征的防病毒软件对于杀毒技术而言可能是不公正的。“杀毒软件不是依据是否基于特征定义的，而是依据可以防止的恶意软件定义的，”独立测试服务机构NSS实验室研究主管兰迪·艾布拉姆斯(Randy Abrams)说。“只基于特征，并且只有杀毒能力的杀毒软件，从上个世纪九十年代确实就已经死了。”

具有恶意软件防御能力的杀毒软件在企业中依然持续有效，甚至和最新的在线防御平台，如漏洞防御系统(BDS)一样强大。“漏洞防御系统是用来快速检测和控制每个企业已经遭遇或即将遭遇到的安全漏洞的，”艾布拉姆斯解释说。最初的漏洞防御系统产品就是这样设计的，它还需要IT工作人员对发现的问题进行清理。“于是杀毒软件供应商开始抓住机会，提供一个完整的端到端解决方案，结果就是，本来只做漏洞防御系统的供应商不得不在他们的系统中添加恶意软件检测和修复功能。”

宣告杀毒软件已死早就不是什么新鲜事了。比如早在2006年，Hurwitz & Associates机构就发布了一份题为《杀毒软件已死》的报告。分析师罗宾·布卢尔(Robin Bloor)在报告中坚称，杀毒软件将被利用白名单从运算场景清除恶意软件的工具所取代。如今，白名单确实在某些环境中得到了有效的利用，但它也有它的缺点。

“对于控制环境，如零售POS系统、制造系统和卫生系统等，白清单确实是一个伟大的解决方案，”凯尼恩说。“你可以说什么应用程序运行良好，并且白名单之外的任何东西都无法运行，所以恶意软件根本无法存活。”但将白名单引入到消费者或企业终端用户环境中时，它的维护成本是难以承担的，因为终端用户会不断地向他们的设备中添加应用程序。“这就是为什么我们还没有在用户环境中看到大量的白名单。对于服务器，对于数据中心，对于控制零售环境，这是一套伟大的方案，但对于传统的台式机和笔记本电脑，这会是一个挑战，”凯尼恩补充道。

就像启示录的预言那样，杀毒软件的反对者还会继续预言杀毒技术的末日。终端安全提供商Bromium联合创始人兼首席执行官高拉夫·班加(Gaurav Banga)说:“布莱恩·戴伊是对的，杀毒软件确实已经死了。”班加引用了其公司在六月份面向300名信息安全专业人士对杀毒软件满意度进行的一项调查，数据显示，占85%的大多数专业人士都不相信，杀毒软件可以阻止针对特定目标的攻击，比如高级持续性威胁(APT)和网络钓鱼，而这些攻击在当前威胁环境中占绝大部分。

此外，杀毒软件对于多态攻击和零日漏洞攻击也是无效的，这些同样是攻击者惯用的手段。这些都是在基于特征的杀毒软件动作之前就对系统进行劫持的立竿见影的攻击方法。“安全研究人员要检测到新的威胁并写入新的特征往往需要几天的时间，这就给了多态攻击完全足够的时间来变更它的代码，”班加说。“当高级攻击分分钟就可以完事的同时，基于特征的杀毒软件要检测到这些攻击却还需要几天的时间。”

针对杀毒软件无法应对复杂威胁的批评并不是最近才有的。七月，新加坡COSEINC安全咨询机构的一名研究员称，许多杀毒软件本身就包含漏洞，实际上让安装了这些杀毒软件的系统更容易受到攻击。研究员Joxean Koret解释说，杀毒软件的防病毒引擎通常都以系统的最高权限运行。在防病毒引擎中利用漏洞将为攻击者提供root权限或系统访问权限。这种攻击的攻击面会非常大，因为这种攻击必须支持文件格式的长列表。而要处理所有的文件类型，杀毒软件就会使用文件格式解析器，而文件格式解析器通常都会有漏洞。

不过，班加指出,“杀毒软件或许会继续为那些通常没有多少健壮保护需求的消费者或善于管理更多功能产品的消费者提供服务。但是，”他补充道,“有安全意识的组织已经开始从杀毒软件解决方案中过渡出来了。”

当然，还是有人坚信，杀毒软件并不像批评者说的那样无能。思科系统安全业务集团的一名威胁研究员詹森·舒尔茨(Jaeson Schultz)称，杀毒软件在过去五年里已经得到了演变并可以提供更多的防护。杀毒软件不仅增加了更多的启发式功能，使它可以更有效地应对不明特征的威胁，而且也可以阻挡各种恶意软件，如rootkit、远程访问木马(RAT)、键盘记录器、间谍软件、广告软件、乃至“可能不必要的应用程序”。杀毒软件甚至还可以保护用户免受包括电子邮件、社交媒体和通过网络传播的文件等各种恶意软件载体的威胁。

“没有杀毒软件作为未来安全的一部分，我们就会渐渐放弃保护端点和移动设备的想法，造成成千上万的人在网络罪犯面前任凭摆布。”

——北美卡巴斯基实验室董事总经理克里斯·道根(Chris Doggett)

“这是一场装备竞赛,”舒尔茨说。“随着漏洞利用程序新途径的不断升级，新的反击功能也会构建到杀毒软件里面。宣称杀毒软件已死，当然是太过夸张了，许多人仍然依靠杀毒软件作为多层防御必不可少的一个组成部分。”

虽然那些耸人听闻的关于杀毒软件已死的言论言过其实，那些关于杀毒软件无所不能论调同样也是夸大其词。正如北美卡巴斯基实验室董事总经理克里斯·道根认为的那样，“网络攻击在数量上和复杂性上将持续增长，杀毒软件也将一直会是用户和组织大型安全解决方案中应对网络攻击的的一个组成部分。”

“没有杀毒软件作为未来安全的一部分，我们就会渐渐放弃保护端点和移动设备的想法，造成成千上万的人在网络罪犯面前任凭摆布。”