云规模化的恶意软件

ZDNet安全频道原创翻译 转载请注明作者以及出处

安全厂商表示，传统的基于特征库的反恶意软件程序已经无法应对目前呈现出云规模化的恶意软件了。Zdnet记者就此采访了Webroot 公司CTO Gerhard Eschelbeck。

在四月份 McAfee.com出现了令XP系统崩溃的错误后，我开始思考，有没有更好的反击恶意软件的方法。恰好当时在伦敦召开了InfoSec大会，我有幸采访到了Webroot公司CTO Gerhard Eschelbeck。

Webroot是一家通过自己的数据中心网络提供基于云的web和电邮安全服务的厂商。该公司对于云技术的利用程度远高于McAfee.com, Symantec Norton以及其它传统安全软件厂商，而后几家公司基本只通过云技术为用户提供及时的软件升级服务。与其它采用SaaS概念的反病毒软件厂商不同， Webroot 采用的是一种Eschelbeck称为"multi-tier"的模式，即所提供的保护服务是由基于云的软件完成的，客户端运行相应的程序组件。

"桌面系统一直需要一道安全屏障，从始至终都是需要的。"他解释说。但是有两点原因使得传统的反病毒软件遇到了瓶颈，无法发展下去。

首先，目前的威胁范围太大。恶意软件已经由最初的人类开发演变到了可以自行变异演化，目前每天新增的病毒和恶意软件样本数量达4万个，而到了明年，将达到10万个。面对如此大的冲击，没有哪家安全软件厂商的病毒样本库能够覆盖到所有病毒样本，我们已经达到了桌面系统和服务器系统的物理极限了。

病毒库样本数量的逐渐增大意味着在反病毒行业中，偶尔出现的差错数量逐渐增加，不管反病毒软件厂商用什么手段进行管理。而行业竞争要求或用户所希望的那种每隔几天就退出一个可下载的升级病毒库的现状，又使得这种错误出现的概率进一步上升。Eschelbeck 认为："用户所添加的病毒样本越多，导致软件误报的概率就越大。"一旦用户下载了包含错误特征码的病毒特征库，就必须等待新的病毒特征库推出，而基于云的应用程序则可以迅速完成修正工作。他说："一旦一个错误出现在云环境中，它可以被迅速修正。云系统也会产生误报，但是修正误报的能力与传统方式有很大不同。"

将主杀毒软件选择为基于云的安全产品的第二点原因是，云环境也是病毒出现的环境。我们现在所使用的病毒特征库的杀毒方式出现在数年前，那时候大部分电脑都以单机或局域网方式工作，偶尔会通过拨号接入互联网。Eschelbeck说："十到十五年前，病毒的主要感染途径是通过软盘，然后是通过各种USB设备。如今，病毒的主要感染途径已经是网络了。"

因此， multi-tier防御模式采取的是尽可能接近病毒威胁源头的方式，让反病毒软件厂商在云规模上与同样是云规模的病毒进行对抗。 "这样就是采用全球化的眼光，而不是仅盯着桌面系统的短视的眼光"Eschelbeck表示。在这种模式下，反病毒软件可以分析诸如网络数据流这样宏规模的数据，在对抗威胁时也不必像在桌面系统那样担心CPU负载问题。

接下来要做的就是，协调好哪些工作应该在桌面系统完成，哪些工作需要在云环境下进行，并在桌面系统与云环境间进行实时的信息传输。这是multi-tier防御模式下一步要实现的。

有些人也许会问，既然威胁来自于云环境，那么为什么不让威胁在到达云中每个终端系统前就将威胁消除呢？这实际上就是诸如 MessageLabs 和 Postini 这样的基于云的电邮威胁防护服务提供商正在进行的工作。Eschelbeck认为宽带运营商也应该对此进行考虑，他说："也许在未来某个时间，供应商们会提供一个干净的上网通道。"