“五一”刚过,杀毒软件的暑期大战尚未登场,安全厂商和业界却已经提前掀起了一轮有关杀毒软件面临变革的“过期药”之争。在这场激烈的争论中,两大阵营形成了鲜明的对比:一边是深感忧虑的业界及深受“毒”害的用户,另一边是频频回应却又躲躲藏藏的杀毒厂商。争论的焦点则落在了杀毒软件是否已变成防范病毒的“过期药”上。
显然,在传播速度日益加快、攻击手段日趋多样、危害性急剧增大的病毒面前,以病毒特征代码库升级为基础的杀毒软件已经无法面对新病毒的强大攻势。仅仅依靠捕获-分析-升级为模式,将很快在与病毒的殊死较量中败下阵来,真的成为完全丧失抵御能力的“过期药”。安全厂商们一方面有意回避这个问题,另一方面都在努力寻找新的对策。有一点可以肯定,未知病毒的查杀技术将成为未来病毒技术的发展趋势。谁在未知病毒防范方面的技术取得突破,谁就能赢回用户的心。
在这一点上,作为欧洲的杀毒软件厂商,熊猫软件及其中国唯一合作伙伴,方正信息安全技术有限公司表示,他们早在两年之前就有了清醒的认识,开始致力于对未知病毒、入侵和攻击的预防性技术的研究,并相继提出了“有害程序”(包括病毒、蠕虫、木马、垃圾邮件、间谍程序、拨号程序、玩笑等在内的所有可能危害计算机安全的程序)的概念及推出了“TruPrevent”主动防御技术。
日前,正在熊猫欧洲总部参加年会的方正安全技术总经理金锴向记者透露了一系列有关未来的熊猫软件的消息:“因特网攻击越来越频繁和致命,这要求防病毒软件公司更加强大并且响应更加快速,以避免攻击泛滥。由于深知这种新的需求,熊猫软件携手方正安全已开始着手准备一系列包括预防性技术等产品的上市工作,它们能预防企图执行恶意操作的未知病毒和入侵的攻击。”
在此次熊猫软件的年会上,还提到了加州大学伯克利分校的Nicholas C.Warhol发表的题为“Warhol蠕虫:快速因特网瘟疫的潜能。”的论文,其中引用了美国艺术家Andy Warhol的话:“未来,任何人都将在十五分钟内出名。” 此论文描述了下一代蠕虫,被他称之为Warhol和Flash蠕虫。这些病毒有能力在15分钟内通过因特网感染所有存在漏洞的计算机。该文论证了当今蠕虫所采用的传播技术相当低效,并指出,Warhol蠕虫将采用高度优化的技术以搜索存在漏洞的计算机:在最初传播时使用“hitlist扫描”(易受攻击服务器的预编译列表)和 “permutation扫描”(尽快寻找存在漏洞的所有计算机的技术),以实现自我调整及完成扫描。此类蠕虫的主要危险在于:它们在人们有时间做出响应之前已造成最大的破坏。在防病毒厂商开发,测试和发布解决方案的时间内,病毒已完成其“工作”。
尽管幸运的是蠕虫还未使用这些技术进行传播,但是在2003年1月份,病毒SQLSlammer在半小时之内就感染了100,000台存在漏洞的计算机,并且大部分是在15分钟内被感染。SQLSlammer不是Warhol蠕虫,因为它并未采用论文中提及的技术,但是它证明了可以编写一种感染所有存在漏洞的计算机的病毒,由于其传播速度之快,人们很难对它做出反应。这是一个严重的问题,因为它将影响成千上万的用户。当公司受病毒或入侵攻击时,问题更将成倍增加,它将导致巨大的经济损失和生产力的明显下降。
我们因而可以得出结论,IT安全需要新的突破。攻击越来越频繁和快速,这要求防病毒软件公司更加强大并且响应更加快速,以避免攻击泛滥。当前的安全解决方案对已知攻击非常有效,但是由于现有的安全解决方案基本上都是被动响应的,而时间的流失有可能是至关重要的,所以对防病毒软件的要求也在提高。安全解决方案必须具有预防性并且可以预先解决问题。预防性IT保护不必等到系统能够识别新的攻击就可以阻挡它们。由于恶意代码的行为一定是超前的而这正是现有技术的不足,所以新的保护技术必须直接扫描TCP/IP协议,以检测造成缓冲区溢出和写入代码的企图,并且必须包括对于新一代传播方式的检测技术。
熊猫软件公司表示,正是深知安全领域这一新的需求,在过去的几年中,他们一直致力于研发一系列的预防性技术,包括行为扫描技术,它在阻挡未知病毒和其它攻击时非常有效。通过这些新技术,用户将无需人为干预,就可以快速获得解决方案,对恶意行为预先做出响应。当恶意网络包企图进出计算机时,这些新技术将检测和阻断它们,并且提供阻止缓冲区溢出的保护;允许管理员定义安全策略,以管理可在计算机上执行的不同进程。设置当计算机连接企业网络时必须满足的保护级别,并且补充已有的安全解决方案,总之好处非常多。
在过去硝烟弥漫的杀毒软件厂商之争中,“熊猫防病毒”似乎一直比较低调。但其脚步又似乎从来没有停留。“近几年来和即将推出的一系列新产品,是我们努力成果的见证。”金锴说,在这个日新月异的病毒时代,技术决定一切,我们要用最先进的技术重新树立起用户的信心,研制出杀毒软件的新“配方”,坚决抵制“过期药”可能造成的不良影响。(T114)
