殺毒軟件：生存OR死亡？

　　互聯網企業將殺毒軟件帶向免費，安全企業靠賣殺毒軟件的日子越來越不好過。不久前賽門鐵克高管聲稱殺毒軟件已死，因為他認為傳統的殺毒軟件只能偵測到來自外界45%的攻擊，效果不佳。那么，殺毒軟件真的沒有用了嗎?安全企業應該放棄殺毒軟件嗎?

　　傳統殺毒軟件已過時?

　　傳統的殺毒軟件基于特征碼檢測可疑的代碼程序，好幾年前就已經過時了，需要快速變革。

　　賽門鐵克信息安全高級副總裁布萊恩·代伊接受媒體采訪時表示，殺毒軟件已死，殺毒軟件不再是賺錢的產品了。一時激起產業界的強烈爭辯。

　　傳統的殺毒軟件基于特征碼檢測可疑的代碼程序，通過比對黑名單來識別威脅。這種做法，確實在好幾年前就已經過時了，因為現在很多復雜的攻擊手段都可以繞過殺毒軟件直接滲透到PC中，特別是通過社會工程的方式，犯罪分子誘導用戶打開不應該打開的附件，點擊不應該點擊的鏈接，屢屢得手，儼然形成了一條網絡犯罪的地下黑色產業鏈。

　　而且令情況更加復雜的是，安全廠商FireEye透露，在該公司探測到的所有惡意軟件中，有82%只會保持一個小時的活躍性，70%只會出現一次，因為惡意軟件作者經常調整軟件代碼，以便繞過傳統殺毒軟件的掃描，這更使得殺毒軟件在探測和預防威脅上顯得軟弱無力。這樣一來，傳統的殺毒方式到了需要快速變革的時候了。

　　就在近日，金山安全提出“云+端+邊界”的安全模式，其CEO沈晨指出：“中國用戶需要加入邊界管理并引入云安全的新一代企業級反病毒軟件。”他認為，邊界管理是反病毒軟件必備的要素之一，沒有邊界管理的企業反病毒軟件將退市。

　　無獨有偶，其競爭對手360的董事長周鴻祎也曾表示，傳統黑名單模式已經失效，未來的企業安全趨勢將是云計算+大數據，也就是采集企業網絡流量的完整數據，然后在云端進行建模，再對流量進行對比分析，這種方式會有效預防APT攻擊(高級持續性威脅)，同時通過建立白名單的方式及時捕獲未知威脅。可以看出，360和金山一樣，也在思考如何面對傳統的殺毒方式失效后的網絡威脅。

　　沈晨告訴《中國電子報》記者，既依托強大的已知病毒防范能力，又結合成熟的白名單防御技術，從而形成終端安全的黑白雙控，這是目前首選的技術路徑。也只有這樣，才能徹底扭轉企業級網絡中病毒及未知危險大范圍泛濫的被動局面。

　　加入邊界管理的新型反病毒技術

　　邊界的思想是在程序和文件進入計算機前劃定一條嚴格的界限，在進入之后對其進行嚴密的監控。

　　那么，何為邊界?如何通過邊界管理來改變傳統的殺毒模式?

　　邊界的思想是在程序和文件進入計算機前劃定一條嚴格的界限，在進入之后對其進行嚴密的監控。有研究表示，超過90%的安全威脅，都是從應用終端的邊界進入。這些邊界包括互聯網下載、移動設備拷貝、郵件傳輸、即時通信傳送、網絡共享等。

　　金山安全專家關成雷告訴《中國電子報》記者，雖然之前傳統的企業殺毒軟件已經在嘗試研究邊界防御的技術，通過掃描+進程監控的方式達成對邊界的控制，但是由于邊界對象不明確、單點執行、功能之間無有效協同等缺點，因此導致了傳統企業殺毒軟件在技術上早已不能應對終端邊界的復雜形勢。這樣一來，一旦某臺電腦被病毒感染，將可能導致整個網絡內所有終端PC感染病毒。

　　因此，金山安全提出對邊界進行精細化智能管理，一是控邊界，對邊界來源進行細分，當程序進入電腦時，通過對外界程序進入電腦的監控、檢查，在病毒尚未運行時即可被判定為安全或不安全，讓病毒程序沒有執行的機會，實現前置主動防御。

　　二是持續行為監控，當文件經過入口監控進入環境后，通過增加進程監控、注冊表監控、驅動監控、聯動防御云等方式，對其行為等綜合安全性進行判斷，確保未知、定向攻擊、間接白文件利用等威脅手法入侵環境。

　　三是文件管理，通過對海量信息的采集、分析、關聯、匯聚和統一處理，實時輸出分析報告，便于事后分析與決策。此外，選配動靜態鑒定器后還將具有強大的灰文件處理能力。

　　對于這種管控方式，關成雷打了個形象的比喻：“企業網絡就好比一個小區，對于進入小區的所有人、車、物件，讓保安來判斷是否是可信任的，如果是可信任的，就放進來，這便是白名單;如果有記錄是犯過事的，就進入黑名單;如果是可疑的，就放到灰名單，對之分析比對，及時發現可疑點并遏制。”

　　殺毒軟件仍有利可圖

　　反病毒軟件仍然是部署最多的、價值和效能最高的企業內外網安全防護產品。

　　事實上，現在的中國安全市場，殺毒軟件日薄西山，江民、瑞星等老牌企業在經歷了360免費殺毒軟件的阻擊之后，日顯頹勢。金山殺毒則拆分成兩個公司——獵豹移動和金山安全，前者側重個人網絡安全，后者專注于企業級安全市場。

　　在360的免費模式將個人殺毒軟件市場沖殺得七零八落之時，金山安全認為殺毒軟件仍可盈利。沈晨向《中國電子報》記者表示，反病毒軟件技術和相關產品之前被嚴重低估。截至目前，反病毒軟件仍然是部署最多的、價值和效能最高的企業內外網安全防護產品;反病毒技術仍然是截至目前已知并在大規模應用的安全防護產品的技術和應用基礎。

　　關成雷認為，企業反病毒市場的新一代產品，將有四大缺一不可的判斷基準，分別是：是否以邊界管理的應用，有效實現邊界管控和文件追溯，達成前置主動防御;是否以虛擬化的技術，實現對云計算、云桌面的完美支持;是否以黑白雙控的模式，有效達成掃“灰”打“黑”，清理死角;是否以混合云的模式，借助云端動態響應，并支持內外網混合部署。

　　基于這樣的標準，金山安全在不久前推出了終端防護優化系統V8.0增值版。而去年下半年，以個人安全市場為主的360突然對外宣布了幾款企業級安全產品。不過自發布會之后，360并沒有在企業級市場的進一步動作。隨著中央網絡安全和信息化領導小組的成立，主流的信息安全廠商以大數據、云計算的新技術模式求新求變，并積極加緊布局企業安全市場，以應對新型安全威脅帶來的挑戰。