终端安全战争:VirusTotal新规实际上是和平书?

作者:星期四, 十月 20, 20160
分享:

2016年5月,VirusTotal(VT)修改了其规则。希望通过 VT API 接收杀毒结果的厂商,将被要求在公共VT接口中集成进自己的检测扫描器。而且,这些厂商还需要通过反恶意软件测试标准组织(AMTSO)的认证。

8841406bb0212e38b128fc5a9f1fa3e2

当时,这看起来像是第一代反恶意软件厂商策划的一场政变,AMTSO和VT自己想要将下一代终端安全产品隔绝在VT受益行列之外。不过,此后,至少4家下一代安全公司加入了AMTSO,同意遵守VT新规。更多公司有望跟进——这开始有点“看起来像是宣战的举动实际上是和平邀请”的意味。

背景

VT通常被视为让用户可用50多个反恶意软件扫描引擎测试可疑文件的服务。这是个有价值的服务,但VT的真正价值,在于与整个终端安全行业共享恶意文件。这能让接收这些文件的厂商可以确保其自身产品能够检测出已被确认的恶意软件。

VT绝对不是用来对比不同终端安全产品的渠道。VT公共接口并不能代表整个终端产品。即便VT称某个产品不能识别某恶意软件样本,也不意味着完全安装版本不能检测。

今年年初,VT还只由第一代厂商组成。然而,新一代终端安全产品正在崛起,这些产品绝大部分打着利用机器学习技术辅助检测恶意软件的标签。此类厂商年轻气盛,在探索市场份额时往往很激进。有些厂商滥用VT服务,订阅了该恶意软件样本服务却又不向VT共享他们自己的样本;或者使用VT公共接口,不公正不准确地宣称第一代厂商没有能力检测出他们能检测的恶意软件。

第一代厂商们越来越感觉到被侵害,正是这份委屈,让VT新规看起来像是针对下一代厂商们的一场政变。不过,事实真相并非如此。

从来没有什么政变

谷歌旗下的VT越来越担忧第一代厂商会纷纷撤出。缺了这些厂商,VT也将不复存在。

VT的解决方案,是把锅甩给AMTSO。而AMTSO首先知悉的,就是一篇VT博文,上书:VT将只允许获得AMTSO成员测试者认证的厂商使用服务。

AMTSO总经理丹尼斯·巴切尔德说:“这让我们非常震惊。但也给了我们一个极好的机会来解决问题:你该怎样公平加入多扫描器系统并从众包恶意软件样本获益?你该如何以一种公平的方式获取所有益处而又不驱走第一代或二代厂商,不挑起战争?”

这是个典型的多利益相关者问题,很适合AMTSO解决方案。AMTSO给出了一套提案:在多扫描器服务中纳入检测技术时的建议。这些建议是囊括性的,而非排他性的——让所有终端安全公司公平竞争并从VT服务获益以利客户的一张路线图。

里面有4个关键点:厂商不能使用VT来做营销或强调检测功效/缺陷;所有厂商以平衡的行业内双向样本共享方式参与,最好有个业内能访问的代码库;所有厂商在测试中公平竞争;规则适用于所有厂商,无论是第一代还是二代厂商。

就是这些AMTSO的建议构筑了VT新规基础。这些建议似乎有所收效。仅3个多月,4家下一代厂商便表示遵从:Crowdstrike、Invincea、Carbon Black、Palo Alto Networks。还有更多厂商有望加入。有些厂商可能会抵制,但随着越来越多的厂商递出投名状,这些“外人”将越来越难以立足。

根本不是什么宣战书,VT新规其实是一支绿油油的橄榄枝。

第一代 vs 下一代:技术

640

测试终端安全

终端安全市场一大问题,就是术语含义没有个统一的定义。实际上,比“老反恶意软件厂商”和“新终端安全厂商”也强不到哪儿去。这是一种误导性的描述,因为二者用的技术非常相似,目标也一致——检测、防止和清除恶意软件。

甚至还有落在上述分类之外的一些公司。比如说,Bromium,就用的是真正完全不同的下一代技术。Simon Crosby,Bromium共同创始人兼CTO,表示:“Bromium采用仅依靠终端CPU虚拟化的微虚拟化,来对终端上的每个任务进行硬件隔离。这样一来,即便恶意软件得以执行,也不能驻留,无法盗取数据或凭证,访问不了高价值网络或网站。”他不信任任何‘检测以保护’技术,宣称“这些服务完全不能跟上分分钟就变身的恶意软件。”

Cylance,是另一家不认为第一代厂商能与自己比肩的下一代公司。其产品测试与认证副总裁查德·斯基帕说:“Cylance引入了安全行业的范例转型,利用机器学习防止高级和商用恶意软件在终端上执行。”

该声明正误兼有。机器学习确实与基于特征码的检测有很大不同;但也没哪家第一代公司是完全依赖特征码检测的;暗指第一代公司只靠特征码是有误导性的。过去10年里,大多数第一代公司已将机器学习纳入自己的技术堆栈。第一代厂商 F-Secure 安全顾问安迪·帕特尔评论道:“我们的第一个机器学习系统早在2006年就投产使用了,‘二代’厂商几乎花了10年时间才搞清我们做了什么。”

明显的问题就是:如果两代终端安全厂商都用机器学习训练他们的引擎检测恶意软件,为什么第一代厂商没有大肆利用该术语呢?帕特尔说:“我们对机器学习和其他AI技术保持沉默,因为它们太有用了,以至于我们不想让竞争对手知道它们的存在,然后开始他们自己的研究。其他看出AI有用性的安全公司也是这么做的。”

就在第一代公司一头扎进机器学习的时候,下一代公司也开始触碰机器学习了,而作为新手,他们需要一些东西来与已有厂商进行区分。他们的战吼——新机器学习第二代厂商自然优于老特征码引擎,其实更多只是市场营销而非实质干货。

停止谈论第一代和下一代,都简单称为“终端安全”产品,这样比较实际。

那么,“第一代”和“下一代”厂商能联手和谐地作为“终端安全提供商”共存吗?

AMTSO和VT,就是竞争厂商可以为了客户整体利益和广泛的安全而携手的指示器。AMTSO的领导团队目前由以下成员组成:ESET、小红伞、赛门铁克、AVG和熊猫安全公司(将从至少1家‘下一代’厂商的快速纳入中受益)。

这些全都是第一代厂商——占据安全产业核心位置数十年的厂商。也可以说是成熟了吧。又是安迪·帕特尔站出来说:“第一代安全厂商从未真正担心过出现新的竞争。过去30年里新公司一直在不断冒头,很多都切下了属于自己的一块蛋糕。新安全厂商总能带来新鲜话题,还有新创意和新技术。在VT和独立测试之类的事物上进行行业玩家间的合作,能给使用这些技术的所有人都带来好处,也能让互联网更加安全。”

路易斯·科隆,第一代安全公司熊猫实验室技术总监,观点同上,认为所有反恶意软件公司终将共存。“最终,他们都将进化成类似的东西,无法区分。很多所谓的‘第一代’,早几年前就在用‘下一代’用的同样技术了。”

这些是非常典型的第一代厂商观点。当然,不是所有的下一代都认同。“这全都取决于第一代厂商。Cylance可以站在自己的立场上,我们的客户也持续在用Cylance取代第一代反病毒公司。”Cylance称,不反对在未来加入AMTSO,现在正在探索这一可能性。

截至目前,VT最后通牒发布之后,仅4家下一代公司加入了AMTSO:CrowdStrike、Invincea、Carbon Black、Palo Alto。他们对威胁检测都采取了用户和社区中心的视角。CrowdStrike首席科学家说:“我们希望与社区合作,为社区贡献标准。”

Carbon Black 和 Palo Alto 没有明确表明态度,但Invincea明快直言了。

Invincea创始人兼CEO阿纳普·戈什称:“我们的希望在于,下一代厂商正逐渐成熟。如果你所做的全都是鼓吹宣传自己有多棒,而既没做第三方测试,也没在VT挂上自己的名字,那就是在伤害用户。无异于在说你无意支持自己的产品。”

他显然同意第一代厂商表达的担忧。“这些下一代公司榨取VT的知识产权让自己的产品变得更好,但同时又将第一代厂商甩下战车。我承认这毫无疑问是不公平的;安全产业是一个社区,Invincea从这个社区获益。”戈什认识到了利用VT巨大的恶意软件样本资源训练机器学习引擎的价值,也看出了对该共享资源做出回馈的公平性。

第一代厂商的两大不满

总的说来,第一代厂商对下一代厂商的市场营销方式有两大不满:一为持续试图定义第一代厂商是完全依赖特征码技术的;二为不愿顺从独立第三方的对比试验。但这两大不满,都能被加入AMTSO,和遵循VT的规则所抚平。

基于特征码

Cylance宣称:自己采用的技术,与基于特征码的第一代反病毒产品所用的完全不同。其实,只要表现出其技术是如何大大不同于第一代厂商(第一代也同样在用机器学习和行为分析),Cylance都能比暗指第一代厂商仅仅基于特征码技术要来得更好。

SentinelOne表示:我们采用基于机器学习的分析方法来检测嵌入二进制镜像中的恶意软件,结果极其精准,这是比运转了几十年的特征码更为重要的下一步进化。同样地,他们的宣言里也在暗指第一代厂商完全依赖特征码,而实际上第一代厂商们早在SentinelOne出现前很久,就开始采用机器学习了。

即便有以上言论,也不是所有的第一代厂商都认为下一代厂商在营销上过于激进。Malwarebytes的 CISO & CIO 贾斯汀·多利就评价道:“在专注现代威胁的终端安全领域,很多新公司的做法,在本质上,我并不认为特别激进。”

第三方测试

部分下一代厂商(但不是全部)简单宣称第三方不能公平测试下一代产品。基于此,他们拒绝被测试。SentinelOne最近的一篇博文,分析了其有时候会检测失败的一个恶意软件样本。结论是:在某些测试条件下,该恶意软件仅仅是没有激活,而在非激活情况下,下一代产品是不会检测的。“用非有效可执行文件,或不执行恶意活动的样本,充填测试环境太容易了;而且很多测试,都是在没有任何用户活动历史的新装虚拟机上进行的,这些虚拟机还运行在一查IP地址信息就能被检出的云上。”

这话的含义就是:非常容易创建极其偏爱特征码检测,而不利于下一代行为检测技术的测试环境。“公平的测试,必须包含进在真实环境中正在运行的样本。”

但是极少有人反对此最后声明。AMTSO的主要目的,是发展对所有人都公平的测试标准。“测试员的工作,是尽可能地模拟真实世界,如果测试员能做到这一点,他就能衡量客户从不同产品中的获益程度。”

独立测试机构SELabs主管西蒙·爱德华兹认同称,这就是他的工作,但不能最终解决问题。事实上,他并不认为第一代和下一代产品可以被直接比较。

爱德华兹说:“反恶意软件能够读取各家产品有效性测试报告很不错。一些更新的公司已经开始注意到了这一需求,既然他们的产品可能更加成熟了,也就更倾向于加入测试了。我可不认为他们会出现在单独的‘下一代’报告中。他们宣称能预防恶意软件,那么将他们的结果摆在其他反恶意软件产品的测试结果旁边,就很顺理成章了。”

前进之路

第一代和下一代终端安全厂商之间的论战,既不是不可调和的,也不是能轻易解决的。市场营销是一方面因素。第一代厂商对“反病毒”这词的营销太成功了,以致这项技术(基于特征码的检测)和这顶帽子始终摘不掉——即便他们的技术早已超出很多。下一代厂商凶残地抓住了这一营销弱点,让第一代厂商像他们一样围绕机器学习开发出新产品来重复营销他们已有的产品。赛门铁克和Sophos最近都遇到了这样的状况,虽然后者避免了“机器学习”这词儿的使用,而只主推自己是“下一代”产品。

期待所有下一代厂商放缓营销策略,那是太傻太天真——不是所有人都做长线的。可能有人已经构想好了赚一笔就跑的策略,比如被大公司收购(甚至是已有的第一代厂商)。为促成这一构想,他们需要快速提升的曝光率和市场份额;而激进市场营销就是短期内达成目标的最佳方式。

也不是所有的下一代公司都像这样。Invincea的戈什就说:“测试公司知道怎么评估下一代安全厂商的技术吗?我觉得他们正在学习。传统测试方法对下一代公司而言显然不是最好的,但另一方面,这绝不是下一代公司逃避测试的借口。”针对下一代产品测试难题,他给出的解决方案就是:不要拒绝测试,而是加入AMTSO,并去影响测试标准。如今,他正在帮助起草下一代产品和技术的测试标准。“这里面是有门道的,不能枉顾科学方法来做这事儿。”

目前为止,还只有4家下一代公司采取了类似路线。但这是一个开端。或许,这不是终端战争终结的起点;但却是战争开端的终点。西蒙·爱德华兹评论道:“如果到明年还有很多著名反恶意软件厂商没在某种程度上加入AMTSO或VT,那我肯定会很惊讶。”

关键词:
分享:

相关文章

写一条评论

 

 

0条评论