赛门铁克信息安全高级副总裁布莱恩·戴伊(Brian Dye)今年早些时候宣布,提供系统保护的反病毒软件已经死亡,这立即引起了轩然大波。然而,尽管反病毒软件的效力近年来一直在下降,但一些安全专家认为,对于几乎与反病毒软件一样出名的公司高管来说,判反病毒软件死刑还为时过早。

当然,随着恶意软件日益复杂,仅使用基于功能的防病毒软件作为系统保护肯定超出了我们的能力。赛门铁克产品营销副总裁钱德拉·兰根(Chandra Rangan)表示:“我们的防病毒软件无法阻止一半以上的威胁。”。“我们一直试图引导人们,告诉他们基于功能的防病毒软件是不够的。”

在当今的威胁环境中,基于功能的防病毒软件本身不能提供足够的保护,但它仍然对系统安全做出了重要贡献。英特尔安全公司(前迈克菲)首席技术策略师布赖恩·凯尼恩(Brian Kenyon)表示:“如果你去任何一家财富1000强公司,说‘杀毒软件死了,把它们从系统中删除’,你肯定会被许多安全专家嘲笑。”。"事实上,即使是以这种形式,反病毒软件也能阻止许多病毒."

"事实上,即使是以这种形式,反病毒软件也能阻止许多病毒."

-布莱恩·凯尼恩,英特尔安全公司首席技术策略师

凯尼恩接着说,防止威胁只是系统保护中反病毒工作的一部分。“除了防止病毒,防病毒软件还会清除病毒并将其从系统中删除。然而,如果你问,‘反病毒软件的当前架构和功能是我们行业的未来吗?’我肯定会说,当然不会,但我不认为杀毒软件死了。"

将防病毒软件的定义限制为基于功能的防病毒软件可能对防病毒技术不公平。“反病毒软件的定义不是基于特征,而是基于可预防的恶意软件,”独立测试服务机构NSS实验室研究主管兰迪·艾布拉姆斯说。“自20世纪90年代以来,仅基于功能且仅具备防病毒功能的防病毒软件已经真正消亡。”

具有恶意软件防御能力的反病毒软件在企业中仍然有效,甚至与最新的在线防御平台一样强大,如漏洞防御系统(BDS)。“漏洞防御系统用于快速检测和控制每个企业已经遇到或将要遇到的安全漏洞,”艾布拉姆斯解释道。最初的漏洞防御系统产品就是以这种方式设计的,它还要求it人员清理发现的问题。“因此,防病毒软件供应商开始抓住机会,提供完整的端到端解决方案。因此,只做漏洞防御系统的供应商不得不在其系统中添加恶意软件检测和修复功能。”

宣布杀毒软件的死亡早已不是什么新鲜事了。例如,早在2006年,Hurwitz & Associates就发布了一份名为“杀毒软件已死”的报告。分析师罗宾·布鲁尔(Robin Bloor)在报告中坚持认为,反病毒软件将被使用白名单从计算场景中移除恶意软件的工具所取代。今天,白名单已经在一些环境中被有效地使用,但是它也有它的缺点。

肯扬说:“白名单确实是控制零售销售系统、制造系统和医疗系统等环境的一个很好的解决方案。”。“你可以说任何应用程序都运行良好,白名单之外的任何应用程序都无法运行,因此恶意软件无法生存。”然而,当白名单被引入消费者或企业最终用户环境时,其维护成本难以承受,因为最终用户将不断向其设备添加应用程序。“这就是为什么我们没有在用户环境中看到大量的白名单。对于服务器、数据中心和控制零售环境来说,这是一个很好的解决方案,但对于传统的台式机和笔记本电脑来说,这将是一个挑战。

就像末日预言一样,反病毒软件的反对者将继续预言反病毒技术的终结。终端安全提供商Bromium的联合创始人兼首席执行官高拉夫·邦加(Gaurav Banga)表示:“布莱恩·戴是对的。杀毒软件真的死了。”Banga引用了他的公司6月份对300名信息安全专业人员进行的关于他们对防病毒软件满意度的调查。根据数据,85%的专业人员不相信防病毒软件可以阻止针对特定目标的攻击,如高级持久威胁(APT)和网络钓鱼,在当前的威胁环境中,这两种攻击占了绝大多数。

此外,防病毒软件对于多态攻击和零日攻击也是无效的,这也是攻击者的常用方法。这些都是在基于功能的防病毒软件起作用之前劫持系统的快速攻击方法。“安全研究人员通常需要几天时间来检测新的威胁并编写新的特性,这给多态攻击足够的时间来改变它们的代码,”Banga说。虽然高级攻击可以在几分钟内完成,但基于功能的防病毒软件需要几天时间才能检测到这些攻击

对防病毒软件无力应对复杂威胁的批评并不新鲜。今年7月,新加坡COSEINC安全咨询公司的一名研究员表示,许多反病毒软件本身就存在漏洞,这实际上使得安装了这些反病毒软件的系统更容易受到攻击。研究员Joxean Koret解释说,反病毒软件的反病毒引擎通常以系统的最高权威运行。利用反病毒引擎中的漏洞将为攻击者提供根或系统访问。这种攻击的攻击面将非常大,因为这种攻击必须支持文件格式的长列表。为了处理所有文件类型,防病毒软件使用文件格式解析器,这通常是易受攻击的。

然而,Banga指出,“反病毒软件可能会继续为消费者提供服务,这些消费者通常没有强大的保护需求,或者擅长管理功能更强的产品。然而,”他补充道,“有安全意识的组织已经开始从反病毒软件解决方案过渡。”

当然,一些人仍然坚信杀毒软件并不像批评家所说的那样无能。思科系统安全公司的威胁研究员詹森·舒尔茨说,反病毒软件在过去的五年里不断发展,可以提供更多的保护。防病毒软件不仅增加了更多的启发式功能,使其更有效地应对未知功能的威胁,还可以阻止各种恶意软件,如rootkit、远程访问特洛伊木马(RAT)、键盘记录器、间谍软件、广告软件,甚至“潜在的不必要的应用程序”反病毒软件甚至可以保护用户免受各种恶意软件载体的攻击,包括通过网络传输的电子邮件、社交媒体和文件。

“没有杀毒软件作为未来安全的一部分,我们将逐渐放弃保护终端和移动设备的想法,让成千上万的人任由网络罪犯摆布。”

-克里斯·道吉特,卡巴斯基实验室在北美的董事总经理

“这是一场设备竞赛,”舒尔茨说。“随着利用漏洞的新方法不断升级,新的反击功能也将内置到防病毒软件中。宣称杀毒软件已经过时,当然是一种夸张。许多人仍然依赖杀毒软件作为多层防御的重要组成部分。”

尽管关于反病毒软件死亡的耸人听闻的言论被夸大了,但是关于反病毒软件无所不在的争论也被夸大了。正如卡巴斯基实验室北美区董事总经理克里斯·多安所认为的,“网络攻击的数量和复杂性将继续增长,反病毒软件将永远是用户和组织的大型安全解决方案中应对网络攻击的一个不可或缺的部分。”

“没有杀毒软件作为未来安全的一部分,我们将逐渐放弃保护终端和移动设备的想法,让成千上万的人任由网络罪犯摆布。”