反病毒软件在已知威胁和新威胁检测上都表现得越来越糟糕了吗？

我们来看一看反病毒检测率网站 Virus Bulletin 上公布的数据。Virus Bulletin 是行业首要试验场，其测试全面而持续，可供进行历史纵向对比。从2015到2016年，已知恶意软件平均检测率下降了几个百分点；而零日漏洞检测率则是大幅下降——从平均80%直降到70%及以下。

如果说杀毒软件尚未真正死亡，但至少已散发出垂暮的气息。说的直接一些就是，攻击者能够瞬时生成新的恶意软件，但反病毒厂商跟不上攻击者的速度。黑客已经完全自动化了该过程，现在根本就是工业级的恶意软件生产水平，每天都有百万计的新变种出现。现有杀毒引擎根本无法应付，这个战场上，杀毒厂商输得彻底。

业内很多同仁都看到了杀毒软件最近的问题，但这又是一个极难解决的问题。如果把杀软做太激进，误报就会太多。多种技术的组合或许是未来的希望所在，仅靠杀毒软件自身是解决不了的，国外有的安全专家甚至建议客户永远不要把钱投到杀软上。

由于很难预测下一波恶意软件或下一个攻击平台是什么，也就很难对此做出针对性的防护。究其本质，安全响应的还是事件。

勒索软件是当前很多麻烦的元凶，因为该恶意软件太有利可图了，网络罪犯们将越来越多的资源都投入到了勒索软件的开发中。去年，罪犯从勒索软件上的盈利高达10亿美元（FBI的数据），显示出该类恶意软件一直都能突破我们的防御。

不过，也有一些新的，处在萌芽阶段的安全产品瞄准的就是勒索软件。其中一些有效果，一些没有——尚处于非常早期的状态。Sophos已经收购了其中一家，目前新增了一个模块是专门针对勒索软件防护的。但Sophos提供的网络和终端安全产品，并没有收录在 Virus Bulletin 上，却在最新的反病毒报告中获得了零日漏洞攻击封锁100%的得分。很少有安全厂商能够干得如此出色！

其新产品 Intercept X，专用于零日威胁，检测恶意软件攻击系统的方式。它最主要的优势在于，基于一个小型分析引擎，在扫描文件或查看行为时，它会调用一系列不同技术来确定是否是恶意软件，并且不依赖任何一种技术。

但也一些厂商对测试结果的准确性表示怀疑，比如趋势科技认为，测试得分会随攻击者创建新技术和防御者持续创新而有所波动。值得注意的是，趋势科技也没有包含在 Virus Bulletin 的报告中。

但在 AV Test 上，趋势科技的表现非常优秀。在最近的 Windows 7 和 Windows 10 14个零日漏洞检测测试中，趋势科技在11项上得分都是100%，其他3项是99%。

事实上，AV Test 上，零日漏洞检测平均得分是在上升的，从2015年初的97%以下，到最近 Windows 10 测试轮的99.7%以上。

很多测试方法仍然依赖老式技术，测量进入机器的威胁数量，但零日漏洞或未知恶意软件是需要时间来发现的。基于特征码的杀毒软件不能早期发现恶意软件，但基于行为检测的系统又必须等到恶意软件开始动作了才有效。

这就是杀软的本质问题所在。

相关阅读

Sophos推出下一代安全产品“Intercept X”
安全产品不安全 杀毒软件为网络攻击打开方便之门
46亿收购了Blue Coat的赛门铁克在终端安全产品上做出了哪些改变？