杀毒软件到底怎么了?

作者:星期三, 一月 25, 20170
分享:

反病毒软件在已知威胁和新威胁检测上都表现得越来越糟糕了吗?

86523510-100264997-primary-idge

我们来看一看反病毒检测率网站 Virus Bulletin 上公布的数据。Virus Bulletin 是行业首要试验场,其测试全面而持续,可供进行历史纵向对比。从2015到2016年,已知恶意软件平均检测率下降了几个百分点;而零日漏洞检测率则是大幅下降——从平均80%直降到70%及以下。

如果说杀毒软件尚未真正死亡,但至少已散发出垂暮的气息。说的直接一些就是,攻击者能够瞬时生成新的恶意软件,但反病毒厂商跟不上攻击者的速度。黑客已经完全自动化了该过程,现在根本就是工业级的恶意软件生产水平,每天都有百万计的新变种出现。现有杀毒引擎根本无法应付,这个战场上,杀毒厂商输得彻底。

业内很多同仁都看到了杀毒软件最近的问题,但这又是一个极难解决的问题。如果把杀软做太激进,误报就会太多。多种技术的组合或许是未来的希望所在,仅靠杀毒软件自身是解决不了的,国外有的安全专家甚至建议客户永远不要把钱投到杀软上。

由于很难预测下一波恶意软件或下一个攻击平台是什么,也就很难对此做出针对性的防护。究其本质,安全响应的还是事件。

勒索软件是当前很多麻烦的元凶,因为该恶意软件太有利可图了,网络罪犯们将越来越多的资源都投入到了勒索软件的开发中。去年,罪犯从勒索软件上的盈利高达10亿美元(FBI的数据),显示出该类恶意软件一直都能突破我们的防御。

不过,也有一些新的,处在萌芽阶段的安全产品瞄准的就是勒索软件。其中一些有效果,一些没有——尚处于非常早期的状态。Sophos已经收购了其中一家,目前新增了一个模块是专门针对勒索软件防护的。但Sophos提供的网络和终端安全产品,并没有收录在 Virus Bulletin 上,却在最新的反病毒报告中获得了零日漏洞攻击封锁100%的得分。很少有安全厂商能够干得如此出色!

其新产品 Intercept X,专用于零日威胁,检测恶意软件攻击系统的方式。它最主要的优势在于,基于一个小型分析引擎,在扫描文件或查看行为时,它会调用一系列不同技术来确定是否是恶意软件,并且不依赖任何一种技术。

但也一些厂商对测试结果的准确性表示怀疑,比如趋势科技认为,测试得分会随攻击者创建新技术和防御者持续创新而有所波动。值得注意的是,趋势科技也没有包含在 Virus Bulletin 的报告中。

但在 AV Test 上,趋势科技的表现非常优秀。在最近的 Windows 7 和 Windows 10 14个零日漏洞检测测试中,趋势科技在11项上得分都是100%,其他3项是99%。

事实上,AV Test 上,零日漏洞检测平均得分是在上升的,从2015年初的97%以下,到最近 Windows 10 测试轮的99.7%以上。

很多测试方法仍然依赖老式技术,测量进入机器的威胁数量,但零日漏洞或未知恶意软件是需要时间来发现的。基于特征码的杀毒软件不能早期发现恶意软件,但基于行为检测的系统又必须等到恶意软件开始动作了才有效。

这就是杀软的本质问题所在。

相关阅读

Sophos推出下一代安全产品“Intercept X”
安全产品不安全 杀毒软件为网络攻击打开方便之门
46亿收购了Blue Coat的赛门铁克在终端安全产品上做出了哪些改变?

 

分享:

相关文章

写一条评论

 

 

0条评论