迈克菲误报印证恶意软件防御模式须改善

上周迈克菲一个有误的DAT文件导致了误报，使得Windows XP系统崩溃，不得不进行大规模的清理。指责迈克菲是件很容易的事情，也可以炒掉一两个安全工程师作为替罪羊继续维持现状，然而这件事情却说明，恶意软件防御行业(不仅是迈克菲)需要加强"军队"的训练。

现有的模式就像一场战争，攻击者首先开火，只有在得到一些俘虏后我们才能防御类似攻击的发生。这种被动的基于特征的模式从本质来看就是错误的，实施和维护起来都是个累赘。类似迈克菲上周事件的情况没有定期发生是个很奇怪的事情。

根据赛门铁克网络安全威胁报告第十五期，赛门铁克仅去年一年就创建了2895802个新的恶意代码签名。相比于2008年，增长了71%，这个数字说明有史以来超过一半的恶意代码签名是赛门铁克创建的。甚至，赛门铁克确定了2.4亿个不同的新恶意程序，相对于2008年来说增长了100%。

赛门铁克发言人说："要知道赛门铁克每天制造超过20000个新的恶意代码签名，其他的安全厂商也面临着相同的处境，这很易于理解，但却不易于被人们接受，这就是迈克菲上周面临的境遇。"

威胁研究机构Webroot公司的Andrew Brandt表示："如果能够更加主动，根据恶意软件作者可能做出的行动来创建签名，也会导致类似的情况，会出现更多的误报。关键是要对恶意软件做出警报和回应(这是快速发展的一个不变的状态)，尽快地创建签名，在签名发出前做彻底的测试。毕竟，科学家在制作疫苗之前需要一个新的流感病毒株样本。这个比喻在这里也适用。"

现在有太多的"流感病毒"需要我们制造疫苗来应对。

有两个办法。一是坚持以签名为基础的模式，但是把它应用于云中，而不是在单独的系统上。这就是Webroot公司的方向。 Brandt 解释道："将签名放入云端而不是放在终端，有着明显的优势。如果托管在云中的定义出现了可怕的错误，我们可以立即将其撤回，防止出现大规模的破坏，希望能减少受影响用户的数量。"

赛门铁克的做法不同。赛门铁克安全响应部门主管Gerry Egan说："赛门铁克基于信誉的安全做法从根本上突破了想法，恶意文件不需要被捕获和分析就可进行防御。取而代之的是，以信誉为基础的安全的方式与谷歌如何对网页进行排名是类似的。谷歌的PageRank算法依赖庞大的人群来确定一个具体网页的价值。"

他继续说："一个网页的好坏直接取决于多少其他的网页链接到该网页，以及每个链接都被看做是对该网页的一个'投票'。然而，投票率却不是唯一的标准。还会对该网页的受欢迎度进行分析。所有的这些信息经过计算给出一个网页在谷歌的排名。"

以信誉为基础的做法还有另外一个好处。那就是不需要先拦截恶意软件的样本再进行防御，这就使得误报率降低，以及对个人计算机的速度和性能影响到最少。IT管理员也可以量身定制这种功能进行实施和强化制度。

基于签名的模式作为一种错误的恶意软件防御方法已经存在了20年。它表现良好，并在大多数情况下都令人满意。但是，由于恶意软件开发者太多太过敏捷，导致这种模式已经不能维持更长时间的高效。