在過去幾年中，反惡意軟件已經(jīng)逐漸失去顯著效果，但眾多CISO仍然把它作為保障案例的主要方案。之所以堅持將反惡意軟件作為企業(yè)終端保護規(guī)劃中的組成部分，通常是為了迎合合規(guī)性以及監(jiān)管委托(例如PCI DSS與HIPAA)的要求。是繼續(xù)把反惡意軟件保留在安全“最佳”實踐清單當中，還是利用一套效果尚不明確的新機制取代這位在終端安全領域奮戰(zhàn)了三十年的老將?我想答案是顯而易見的。

    無論出于何種原因，目前的情況已經(jīng)愈發(fā)明顯——攻擊者們已經(jīng)開始在與反惡意軟件之間的貓鼠游戲中占得先機，特別是在Web惡意軟件防御領域——谷歌的測試表明，即使是表現(xiàn)最出色的殺毒產(chǎn)品也只能檢測出25%的惡意代碼。

    然而，如果基于簽名的反惡意軟件已經(jīng)不再合適、那么什么樣的工具有能力頂替上來?這樣的工具是否真實存在?我給出的答案是肯定的。

    與所有安全機制一樣，這些替代方案也不可能做到放之四海而皆準。目前我們可以選擇多種工具及方案幫助自身實現(xiàn)更高級別的終端安全水平，其作用范圍涵蓋數(shù)據(jù)中心與員工兩大方面。不過根據(jù)每家企業(yè)所面臨的具體挑戰(zhàn)，實施過程也可能會有所區(qū)別。

內(nèi)容過濾: 由于85%的惡意軟件通過網(wǎng)絡傳播(其中最大的威脅源自下載)，所以我們必須為自己的企業(yè)提供一定級別的內(nèi)容過濾機制。目前得到廣泛部署的過濾工具主要分為兩類：

    一是網(wǎng)絡代理。 主推此類方案的廠商規(guī)模已經(jīng)達到兩位數(shù)，而且這項技術也已經(jīng)存在了相當長的一段時間。Blue Coat Systems以及Websense等公司都提供訂閱式服務，根據(jù)具體政策對目標網(wǎng)站加以放行或者阻斷。另外，這些服務還提供情報與動態(tài)更新，從而阻止用戶訪問已經(jīng)曝光的惡意站點。需要強調(diào)的是，這些產(chǎn)品無法檢測零日漏洞;由于采用基于簽名的反惡意軟件機制，此類產(chǎn)品在識別惡意站點并推出簽名方面存在一定延遲。盡管網(wǎng)絡代理僅僅作為我們惡意軟件防御鎧甲上的連接部分，但它的地位仍然非常重要。

    二是DNS過濾。OpenDNS等工具能夠通過黑名單主動阻止用戶訪問已知惡意網(wǎng)站，從而幫助用戶遠離安全威脅。它還提供白名單服務。OpenDNS用戶能夠與數(shù)以百萬計其他用戶共同合作，從而更快掌握每天新增的三萬個受感染網(wǎng)站的情報。其使用過程非常簡便，又有多家使用該服務的大牌客戶作為防御前沿保護網(wǎng)絡用戶。最重要的一點?這些服務并不需要搭配昂貴的硬件設備。

基于瀏覽器的安全機制: 網(wǎng)絡瀏覽器組件，例如微軟的Smart Screen(作為IE 8及更新版本的組成部分)，能夠有效過濾用戶對惡意網(wǎng)站的訪問。根據(jù)微軟的說法，其產(chǎn)品到目前為止已經(jīng)成功阻止了超過十億次惡意代碼下載嘗試。谷歌CAMP則是另一項舉措，允許Chrome用戶充分利用谷歌對惡意網(wǎng)站的規(guī)模化識別能力與動態(tài)知識儲備。

基于主機的異常/取證工具: 這類工具在市場上的表現(xiàn)還不夠成熟，但卻能夠帶來出色的新型防御能力，從而幫助企業(yè)保護那些更為珍貴的資產(chǎn)，其中包括數(shù)據(jù)庫服務器、財務系統(tǒng)、電子郵件服務器以及高管與其他高風險用戶的業(yè)務系統(tǒng)等。從理論角度講，每個終端都擁有配套代理機制，而且會首先對系統(tǒng)的正常活動進行基準設定(例如應用程序運行、網(wǎng)絡連接/共享開啟、內(nèi)存調(diào)用以及監(jiān)控開啟狀態(tài)下的文件訪問等情況)。一旦基準設定完成，這些代理會繼續(xù)對系統(tǒng)進行監(jiān)控，從而尋找那些可能屬于惡意行為的不規(guī)則活動。

    某些產(chǎn)品供應商還會與其它廠商及服務供應商合作，VirusTotal就是其中的典型代表。他們會在用戶從互聯(lián)網(wǎng)下載應用程序、二進制文件、電子郵件甚至U盤數(shù)據(jù)時自動上傳可疑或者未知二進制代碼，并進行自動分析。

    這些工具在出現(xiàn)安全事故后也能發(fā)揮顯著作用。在一般的違規(guī)狀況下，取證工具需要在違規(guī)發(fā)生后才被安裝在受影響系統(tǒng)當中。但某些來自Carbon Black、Mandiant以及Guidance Software的Encase等新銳廠商的工具會被預先安裝并在必要時提供違規(guī)前系統(tǒng)中發(fā)生的所有活動，從而幫助技術人員了解違規(guī)事件的產(chǎn)生原因以及違規(guī)事件造成的影響。

虛擬化保護: 在過去三年中，還有另一種技術日漸成熟并蓄勢待發(fā)，這就是虛擬化或者隔離機制。這些技術并沒有繼續(xù)沿用已經(jīng)暴露出嚴重局限的簽名或者黑名單方案。

通過虛擬化與隔離機制，Bromium公司希望能憑借自己的微虛擬機系統(tǒng)將計算機上的每個進程與每個應用程序進行分別隔離。這些微虛擬機在本地主機內(nèi)形成云體系，并進一步按照進程的關聯(lián)性進行劃分，例如網(wǎng)絡瀏覽器、辦公套件以及電子郵件等等。

    除此之外，F(xiàn)ireEye公司還推出了一款虛擬化容器，允許安全專業(yè)人士在受控環(huán)境下對可疑惡意軟件進行評估——這樣一來分析過程將不會受到其它未知風險或者不相關代碼的影響。分析師們能夠重現(xiàn)可疑攻擊過程，分析惡意代碼如何影響相關虛擬化系統(tǒng)，從而匯總出其行為基準。這套基準信息將成為重要依據(jù)，幫助安全專家判斷惡意代碼是否會對其它系統(tǒng)及網(wǎng)絡產(chǎn)生類似的影響。

    由于惡意軟件始終處于不斷發(fā)展之中，過度依賴于單一惡意軟件防御系統(tǒng)或者同一套方案組合就顯得非常愚蠢。我們不能想當然地認為目前正有效保護寶貴IT資產(chǎn)的工具能夠在五年后仍然發(fā)揮同樣理想的作用。因此，請以向新技術過渡為出發(fā)點逐步遠離基于簽名的反惡意軟件——請記住，我們必須不斷重新評估當前威脅環(huán)境并做出相應調(diào)整，這才是保障安全的不二法門。