运用端点保护阻止恶意病毒

在安全领域里，反病毒软件的缺点是众所周知的，作为防御的最后一道防线，通常被认为是最容易犯错误的恰恰是软件程序。

例如，谷歌公司在最近的一次调查报告中分析了四款反病毒引擎的性能，这些反病毒引擎运用了最新的基于信誉技术以此阻止下载恶意病毒，谷歌公司发现最好的扫描引擎最多只能从网络中捕捉到25%的恶意病毒文件。四种引擎结合起来仅仅检测到40%的恶意病毒文件。虽然这家互联网巨头没有公布反病毒引擎软件提供商的名字，也没有讨论测试的环境，然而测试结果与其它研究结果是相一致的。

安全公司Damballa的首席技术官及前McAfee公司全球高级副总裁Brian Foster说：“反病毒软件是防御成本的一部分，并不会造成攻击者成本相应的增加。” “攻击者只需要建立一个新版本的攻击文件，将其上传到VirusTotal这个可疑文件分析服务网站进行扫描，该网站可通过43种以上反病毒引擎检测文件的安全性，他们知道接下来的24小时是重要的黄金期。”

安全专家说，同样地，信息安全管理员需要申请额外的预算，从而寻找到可能的更有效率的措施，而这些措施需要大量的时间和其他技术以便验证所要替代的反恶意病毒软件。文章中并没有人建议公司完全放弃使用反恶意病毒软件而使用其他的方法解决相关问题。例如，某些特殊行业的公司根据相关的合规规定必须安装反恶意病毒软件。

相反，更多的技术应该被用于加强端点保护能力，以此防止运行在一个系统上的恶意病毒传播到其他系统。

随着Flame病毒，Stuxnet病毒和Duqu病毒的相继爆发，甚至整个反病毒行业正在质疑反病毒软件阻止针对性攻击的能力。

Invincea端点安全公司的创始人兼首席执行官Anup Ghosh说：“因此，我们真正需要的是摆脱掉无用的软件，使用具有革命性的新技术以防止未来的威胁，”该公司使用专有的沙箱技术防止恶意病毒损害用户的系统。

想减少对于反病毒软件的依赖从而保护他们用户系统的公司有四种可能的选择。

1. 放弃反病毒软件

企业能够从他们的桌面移除基于主机的安全措施，并且相信他们的边界防御能够防御恶意病毒。然而， 近年来，除了那些抛弃安全措施的企业正在一步一步的走向脆弱性，反病毒保护已经被证明对于安全性来说产生了积极作用。

在微软公司的最新一期安全情报中，微软发现，平局而言，没有反恶意病毒保护的是安装了保护软件被感染恶意病毒代码的5.5倍。在更多的新版本Windows系统中反恶意病毒保护起到了更大的作用：与安装了反恶意病毒软件的同样的系统相比，未安装保护的Windows XP系统超过3.5倍，未安装保护的Windows 7 Service Pack 1系统差不多是9.5倍，未安装保护的Windows 8系统超过14倍。

报告指出：“虽然还没有发现一款完美的安全产品，但是来自于一个有信誉的供应商提供的实时安全软件并且其能够实时更新是两个最重要的措施，并且企业从而可以减少他们面对来自恶意病毒和潜在未知软件的风险。”

2. 加强黑名单管理

公司也可以利用合作伙伴项目向其提供病毒扫描程序。通常来说，病毒软件采用黑名单的安全保护方法：监测那些试图运行在系统中的恶意病毒软件并且阻止其运行。有许多种方法可以加强对标准病毒软件的性能。

例如，恶意程序清除工具Malwarebytes是一款与反病毒软件一起运行的辅助工具，可以帮助用户检测病毒，如果发现病毒会清除恶意病毒。网络安全厂商Sourcefire的多引擎反病毒软件Immunet使用一种众包形式，将自身系统和其他反病毒程序相结合。

3. 使用白名单管理

一些网络安全公司通过建立已知无问题文件并且允许这些文件运行的方法解决此类问题。该方法被称为白名单管理，安全技术能够帮助检测威胁，但是它也被批评在企业中难以管理，除非信息技术部门禁止使用者在系统中安装自己的软件。

然而，由于白名单软件是所信任的最终仲裁者，因此，安全系统漏洞会完全暴露给进攻者。2012年7月白名单安全厂商的数字证书被窃取，将公司的客户信息暴露在攻击者下，因为授权给恶意软件的数字签证被认为是合法的文件。

然而，这项技术似乎有所改善。Stegosystems公司的产品具有启动专利技术，其可以监测允许在一个受保护的系统中未经授权的代码，在运行时，使用steganographic证书去验证代码的安全性，其不仅可以阻止未授权的代码，也可以防止病毒利用安装功能。

该公司的首席技术官和创始人Tom Prober 说：“一方面代码正在运行，同时，它可以检查栈区中的每一个函数参数，以便确认其具有相应的证书以及代码本身是完整的，没有Rootkit(内核型)蠕虫病毒，缓存溢出，return programming攻击等等。”

4. 专注于隔离技术

最后，公司能够将所有来自于不信任的潜在的恶意代码放置于虚拟机中，监视恶意活动。例如，安全公司Bromium可以让任一虚拟客户端在其自身的虚拟设备(microVM)内运行不受信任的内容时，底层操作系统受到保护，使得存储在物理设备上的所有重要的内容不会被盗窃或被恶意软件感染。Invincea公司使用安全盒技术同样可以使潜在的恶意软件与重要数据区分开。

“我们感觉人们应该寻找一种更深层次的保护，例如，内核保护，”Bromium公司的首席安全架构主管Rahul Kashyap说，“当在你所运行的环境中添加新的隔离层时，重要的是要保证新的层面是可信任的。”