恶意软件无孔不入 反病毒软件希望何在

　　首先，让我们给反病毒保护应用下个定义。简单地说，就是指用来防止恶意软件感染计算机的软件。如果你们认同这个定义的话，我便要问上一问，为什么安装了反病毒应用的计算机仍然会被感染？

　　首先，让我们给反病毒保护应用下个定义。简单地说，就是指用来防止恶意软件感染计算机的软件。如果你们认同这个定义的话，我便要问上一问，为什么安装了反病毒应用的计算机仍然会被感染？

　　为了进一步探讨这个问题，我邀请了NSS实验室的总裁Rick Moy，下面是对他的采访：

　　“NSS实验室执行专业的、独立的安全产品评估，协助终端用户针对他们的环境选择正确的安全产品。”这是NSS实验室关于自己的介绍。我最初了解NSS实验室是为了做一篇关于浏览器抵御恶意软件的报道。那时起，Rick和我就反病毒进行过很多次有趣的探讨。

　　TechRepublic：你提到过恶意软件有两种类型：攻击用户和攻击机器。你能解释一下吗?

　　Moy：从高处看，恶意软件可以按照执行方式分成这两类：

　　攻击用户：欺骗用户下载并且执行包含恶意软件的假音频视频文件以及盗版软件。在这种情况下，用户是最薄弱的一环。

　　攻击计算机：攻击者利用用户不知道的软件漏洞，例如将浏览器带有漏洞的用户引诱到恶意网站，在那里通常会直接安装恶意软件，所有的操作都无需用户交互。

　　TechRepublic：你还提到恶意软件通常有三个部件，每一个都针对着不同的方面，这很有趣，希望你阐述一下。

　　Moy：比如最近的Operation Aurora攻击就是一个很好的例子。它包括所有的三个阶段，Vulnerability、Exploit和Payload。它们经常混淆，但分清它们对于理解如何有效阻止攻击是很重要的。

　　Vulnerability：指软件代码中的bug，这些漏洞会让产品受到攻击，例如一个缓冲区溢出。

　　Exploit：这是为了攻击应用中的Vulnerability而特意编写的代码序列，比如对缓冲区溢出的攻击。一个Exploit可以隐藏在受感染的网站伏击访问计算机，或从另一台计算机远程攻击。

　　Payload：是指在应用的漏洞被攻破之后装载的恶意内容。Payload就是在目标计算机上执行的操作，例如在硬盘上写一个木马下载器，或者返回一个反向shell。

这张图显示了每一阶段的攻击相对数量。

　　终端安全产品应该更加侧重于漏洞保护，而不是在恶意的payload身后追逐。这是因为漏洞的数量要少的多，因此更易于管理。

　　TechRepublic：反病毒软件企业都说他们的产品能够防范恶意软件，而你觉得用户有些被误导了，这能否请你解释一下？

　　Moy：在2009年年底，我们对我们网站的500名访客进行了调查，结果发现有46%的人认为他们安装的反病毒软件能够百分之百的阻止威胁。但主要的安全厂商的扫描数据却显示，有超过30%装有反病毒产品的计算机还是感染了某种病毒。这个数据说明恶意软件还远远没有得到控制。

　　TechRepublic：也就是说一台受保护的计算机稍不注意就会被感染，而这个危险人们还意识不到，你认为问题出在哪儿？

　　Moy：我们是打一场对比悬殊的战斗，坏人的力量比好人大得多。作为防守方，我们需要观注和防范一切可能的攻击途径。但作为攻击方的网络罪犯只需要找到一个系统漏洞就可以击败我们。

　　展望将来，软件开发者必须编写更安全的代码，减少漏洞的数量。用户也必须要加强对自己的教育，更频繁的打补丁。

　　TechRepublic：我一直这样认为：只要让操作系统和应用软件跟上最新的升级，那就不会出现问题。照此说并非是这样，你的意见呢?

　　Moy：虽然给应用打上最新的补丁是很重要的，但这无法保证你的安全。补丁只是写给那些已知的问题。但网络罪犯正在不断地开发和探索那些尚未被安全社区发现的新的攻击点，比如零日攻击，除非分析人员能够提前判断到问题出在哪里，否则网络罪犯们总有机会。

　　TechRepublic：对于反病毒软件的前景你似乎比较乐观，怎样才能改进的更有效呢?

　　首先，让我们给反病毒保护应用下个定义。简单地说，就是指用来防止恶意软件感染计算机的软件。如果你们认同这个定义的话，我便要问上一问，为什么安装了反病毒应用的计算机仍然会被感染？

　　Moy：在一些很明确的地方反病毒产品可以改进的更好。在我们最近对Operation Aurora 攻击的一项研究中，我们发现7种反病毒产品中的6种没有能够阻止漏洞的变种。而且，它们在检测恶意payload的成绩也参差不齐。

　　安全产品应该进一步发展，提供更好的基于漏洞的保护。企业信誉服务是可以减少最终用户风险的关键技术，但并非所有的厂商都在使用。最后，安全厂商应该接受更多的现实世界测试和第三方服务，这样才能推动产品的质量和创新。

　　TechRepublic：你提到NSS实验室使用不同的方法测试安全产品，能告诉我们为什么这样做更好呢?

　　Moy：随着互联网的发展，现在病毒的传播速度达到了新的水平，传统的测试技术已经无法达到要求了。因此，NSS实验室开发了“Live in-the-cloud”测试框架，模拟平均的用户体验。这种新的测试方法的重点是针对目前在互联网上活跃的病毒，我们会每隔几小时就做一次测试，这使我们能够测量厂商需要多长时间才能提供保护。

　　厂家的产品测试只是为了验证产品可以做什么，但更重要的是要找到它不能做什么，为了发现这些，我们的工程师也几乎在做和黑客同样的事，现在我们已经帮助过许多世界知名的安全企业改进了它们的产品。

　　最后的思考

　　在这次采访中，Rick Moy提出的三点意见跃然而出：

　　1. 防守方必须保护所有可能的攻击途径，但坏人只需要一个漏洞。

　　2. 终端安全产品应更侧重于漏洞保护。

　　3. 测试安全产品应该采取模拟平均用户体验的方式。

　　对我来说，这三条简单的意见说明了问题的所在，也正是我们需要做的。你觉得呢?