| 出版日期:2004-03-08 总期号:1294 本年期号:15 |
|
 |
另一条战线
——非传统的防毒方式在演进 钟小平 很多专家认为,病毒已经从早期的偶尔破坏演变为如今的Internet祸患。也有专家认为,自上世纪80年代后期以来,病毒并没有太大的变化,基于邮件的病毒和利用软件漏洞的程序,基本上都是模仿和重复过去的病毒。当然,反病毒业界仍然要继续与病毒和诸如蠕虫、特洛依木马之类的其他恶意软件做斗争。这些恶意软件可通过Internet传播,并可造成重大破坏。面对一系列新威胁,反病毒厂商积极回应,以尽可能快的速度生产签名文件来探测新的攻击,并使用启发式技术来预防病毒。但是,按照一些安全专家的说法,Internet威胁不断演变,例如,使用多种攻击机制,还有所谓的“零日”攻击渐渐出现,让病毒防护达到了极限。“反病毒厂商就其快速反应能力来说丝毫没有退步。他们慢慢地改进,但是,文件大小的问题已发生根本改变,”分析师Eric Hemmendinger说,“在这一点上,没有什么能减缓蠕虫的扩散,蠕虫扩散机制正在绕过速度问题。” 因此,反病毒公司正在探索新的策略来阻击恶意软件。他们让用户更容易部署安全解决方案,将反病毒技术、控制突发流、侦察间谍软件和恶意移动代码等结合起来,而不局限于病毒防护。将反病毒作为单一任务的传统观念已经行不通了,必须扩大反病毒范围,集成多种技术以形成更完善的解决方案。在反病毒方面不仅仅需要一个启发式引擎,为了更好地解决问题,还需要防火墙保护和入侵检测。 签名文件仍然重要 反病毒技术的核心是签名文件。Sophos的资深安全分析师Belthoff说,“目前,总是存在基于签名的方法已经过时的说法。我们预测,签名还会广泛使用,并能真正跟得上病毒威胁。”Network Associates的反病毒应急响应小组(AVERT)副主任Vincent Gullotto预言,签名技术将会存在相当一段时间。他说,“通用技术是有效的,过去几年,在这方面取得很大进展。”通用探测技术使用单一的病毒定义来探测同一病毒家族的许多不同类型,这种技术做出的假设是基于启发式的,但是,实践证明,它是一种有效的深度防御机制。 大部分反病毒公司都能在同一时间快速发布签名更新。但是,签名文件并不能广泛使用,大文件对企业来说难于快速部署,除非将文件变得很小,许多提供商正着手解决这个问题。例如,Sobig-F病毒是以邮件方式,作为.pif文件扩散,在部署大文件的反病毒更新之前,公司能够快速安装邮件过滤器来剥离带有.pif扩展名的附件。Sophos将安全更新文件设计为较小的二进制文件,而不是可执行文件,大小通常是2KB到4KB,这样公司部署大量的桌面和服务器更加快速和容易。就病毒防护的发展趋势来说,近期内还将显著依赖签名方法。如果操作便捷,又有提供商响应,签名文件还将是对付病毒的合适方法。 选择合适的管理工具 反病毒提供商也需要提供合适的管理工具。当“尼姆达”蠕虫在2001年首次发作时,美国某大学的市场中心受到重创,花费了3天时间才修复,损失达数千美元,这迫使该大学重新考虑自己的反病毒解决方案。之后,该校重新选择了Sophos的解决方案,因为它提供了必要的企业级管理功能,通过管理控制台,就可以对整个网络集中管理,而不是工作站级分别管理。 随着病毒和垃圾邮件开始融合,反病毒厂商也开始合并垃圾邮件和Web地址过滤技术。反垃圾邮件工具善于识别恶意IP地址或Web站点。F-Secure的研究人员近几年在反垃圾邮件技术方面付出了很大努力。该公司认为 ,“垃圾邮件制造者和病毒编写群体互相支持,这也意味着反病毒公司要应付有组织的团体编写的病毒。而且,病毒的编写质量越来越高,从技术角度看,以前没有反垃圾邮件业务的反病毒公司将进入这一领域,这样,可以同时解除两类威胁。” 阻止间谍软件和恶意代码 反病毒厂商也在关注间谍软件,即跟踪计算机使用的软件。间谍软件发展很快,并且变得越来越歹毒,其中有一些已经被归入病毒。许多反病毒厂商的工具都可以扫描间谍软件,因为它有类似病毒的行为。 通过邮件、Web和其他途径传播的恶意代码范围很广,这就要求更多的内容安全解决方案,而不仅仅停留在传统的病毒防护层面上。 “基于签名的病毒探测仍是决定文件是否被感染的最快速和最精确的方法,但是,根据病毒的特性来探测病毒还是非常有用的方法。今年,我们已经遇到,以后也会遇到越来越多的威胁。”CA的高级安全战略家Hameroff解释道。他还说,最近,一个特洛依程序,通过包含恶意代码的Web站点,可以改变用户计算机的设置。一般用户选择反病毒软件作为解决方案,但是,却也不能应付这种挑战,因为还需要理解内容。Hameroff说,CA已经扩展了反病毒解决方案,通过打包垃圾邮件过滤、Web访问控制和内容安全策略管理来确保HTTP、SMTP和FTP安全访问。 越来越多的怀有恶意的黑客正使用移动代码,如Java小程序、JavaScript和ActiveX控件来进行攻击,这种攻击的扩散速度比反病毒公司能够发布的安全更新要快。Finjan Software总裁Shlomo Touboul说,该公司能提供技术,检查从Internet下载代码的行为,拦截不符合公司安全策略的内容。 除了阻止病毒和蠕虫外,一些厂商正在继续致力于探索在网络中控制突发流的方法。ForeScout Technologies最近发布了WormScout,它能自动抑制蠕虫传播,在子网中部署该软件,可保持网络可用性和业务持续性。惠普研究人员也已经开发了节流器,可延缓病毒传播速度。 系统配置也有助于限制蠕虫扩散。例如,通过防火墙规则限制使用某一邮件程序,有助于遏制具有引擎的蠕虫扩散。当用户可能被蠕虫入侵时,将不会影响别人,这样可查出特定的威胁。 也非常需要能够锁定系统的技术来控制变态的病毒,这些病毒不断改变,能逃避基于签名的探测和基本启发式引擎。 联合起来反病毒 Hemmendinger说,恶意代码的传播速度领先于反病毒厂商,这就需要多点联合防护。“以Network Associates和赛门铁克为例,他们尽最大努力提供更多的方式来部署病毒防护。反病毒也不是一种糟糕的办法。没有人建议你摘除病毒,也没有一种单一的方法能阻止病毒。”入侵预防是赛门铁克和Network Associates都取得成绩的领域,证明对恶意软件的阻击很成功。 Network Associates正在向业务更广泛的纯安全公司转变,提供多种类型的技术来增强反病毒技术,而不只是作为一个反病毒公司。防火墙也扮演重要角色。反病毒工具更加智能化,并能够集成到第三方防火墙,提供更强大的安全解决方案。一方面,查找可能出现在邮件附件中的恶意类型病毒,另一方面,实施更多的包监测安全。事实上,单个安全技术需要联合工作。 病毒正通过网络以许多不同的方式扩散,所以,周边安全不能解决问题,在某一方面单个产品能做得更好,但不能作为完整的解决方案。所有这些解决方案都在联合工作方面变得越来越智能。 趋势科技、赛门铁克和Network Associates正与网络巨头思科合作,共同对付病毒和蠕虫。Cisco网络管理程序将使路由器能够阻止和限制到端点设备的网络访问,这些端点设备没有进行反病毒更新或打上操作系统补丁。 Cisco网络管理程序的关键是Cisco Trust Agent软件,它位于端点设备,收集来自客户端的数据,并将这些信息转发给网络。Network Associates、Symantec和Trend Micro已经从思科获得将该软件集成到其产品的许可。 Fortinet推销自己的“动态威胁保护”,将基于ASIC加速的反病毒和防火墙保护结合起来实现入侵预防。这种技术使得反病毒系统和入侵预防系统两种方式之间的界限变得模糊,该系统更加无缝,更能动态反应。 不要忽视社会工程 CA的Hameroff认为,不管病毒如何演变,有一个方面总是不变的,那就是“社会工程”,如果缺乏用户教育,任何最新的、最强大的系统还是会出问题的。反病毒不只是一个技术问题,也是人和方法的问题。 巨型邮件蠕虫不断涌现,甚至还要求用户双击附件。Sophos的Belthoff提到,“就反病毒是否成功来说,总是存在一些心理学、教育和用户意识等因素,纵使使用最强大的、最优秀的技术,但是,只要有人还是会双击附件,风险就不可避免。” 反病毒业界未能实现多年来有效反击病毒和蠕虫的防护技术,诸如减少软件的通用功能,防止缓存溢出。在我们这个社会,还不能选择用较高的价格换取高度诚信,只要有病毒制造者,我们就要付出代价。 |
||||||||||||||||||||||||||||||
