VirusTotal近期的政策变化正加剧传统和新兴反恶意软件企业之间的敌对情绪。

5月4日，VirusTotal对反恶意软件产业投下了一颗重磅炸弹，其余波至今未平。这颗炸弹就是VirusTotal政策中两个句子的变化：“所有搜索企业现在必须将其侦查扫描器整合进VirusTotal的公有界面，以通过VirusTotal API服务获取反恶意软件判定结果”。另一项改动是要求新来的申请者必须经过恶意软件测试标准组织 (Anti-Malware Testing Standards Organization, AMTSO) 的有效认证。

背景

要理解这两项改动的效果，我们必须理解以下四个元素：传统反恶意软件产业、新兴反恶意软件产业、VirusTotal、AMTSO。

传统反恶意软件产业（以前被称为反病毒）自网络安全诞生之初就已经存在。它在检测和消除恶意软件方面有着巨大资金投入。它基于“黑名单”策略：检测恶意软件、进行分析、在黑名单中增加特定的签名。这种方法并非完美无缺：在新恶意软件出现、检测到它和将它加入黑名单这三个步骤之间存在延迟。

产业在很久以前就接受了这种缺陷，并开发了“行为”分析，提升其效率。反恶意软件产业可以简单归纳为“基于特征签名，外加……”。作为历史上出现的第一个安全产业，它的客户也最多。

新兴反恶意软件采取了不同的途径。它聚焦于行为和声誉，而不是签名。它监控网络和流量，关注可能代表恶意软件或入侵者存在的异常行为。但它相对而言更加稚嫩，而且，在某种程度上也会弱化反恶意软件产业对客户的控制力。

VirusTotal下属于谷歌，是一项能够利用多种反恶意软件产品，检查可疑文件的在线服务。由于其检查是静态的，它严重依赖于订阅该项服务的反病毒厂商的特征签名引擎。用它自己的话来说，它是“一项合作化服务，用以提升信息交换的效率，加强互联网安全”。如果提交的文件被认为是恶意的，其细节将被推送到所有订阅该服务的企业处，因此，可以将其认为是一种早期化、有效的威胁分享机制。

然而这种检查主要依赖于特征签名引擎，而我们知道它们只是传统反恶意软件流程的一部分。单独来看，测试的结果是误导人的。当然，VirusTotal一直对此描述准确。尽管如此，在过去的几年里，一些新兴反恶意软件企业毫不犹豫地借助VirusTotal的结果证明传统产业已经辜负了客户。

VirusTotal也提供了一个API，订阅者可以将自家系统和VirusTotal数据库进行整合。因此，发现了可疑文件的反恶意软件厂商可以通过VirusTotal自动进行检查，并将结论当成自己得出的，返回给客户。

而AMTSO的出现正逢其时。反恶意软件测试非常艰难。仅仅进行静态比对很容易让不同产品之间产生差距。AMTSO则竭尽全力让测试方法对所有人来说都公平。但它存在一个巨大弱点：它几乎完全由反恶意软件厂商和反恶意软件测试机构组成。有些人因此指责它是反恶意软件厂商俱乐部，仅仅致力于维持现状。

问题

以上就是分析这次VirusTotal政策变化的背景信息。毫无疑问，该平台的服务以前被一些企业滥用过。来自ESET公司的大卫·赫利 (David Harley) 解释称：“企业很容易通过订阅该服务获得其他人的劳动成果，而不用分享自己获取的信息。VirusTotal发出的信息很明确，他们十分清楚自己数据正在通过几个途径被滥用。”

独立安全专家格雷汉姆·克鲁雷 (Graham Cluley) 解释了自己的担心：“本质上看，一些新兴厂商在吃免费蛋糕。他们的‘下一代’安全产品建立在其它安全厂商勤奋工作的基础上，而没有对安全社区贡献任何东西。”只要将自己的产品接到VirusTotal的API上，就能有效地将VirusTotal用作自己的检测引擎。“更在伤口上撒盐的是，一些公司还会批评其它安全厂商的技术过于’传统’，而他们实际上就在免费利用着这些检测结果！”

尽管目标可能是防止滥用，事实则也有不足。VirusTotal的两项新要求：在VirusTotal中整合侦查扫描器、获取AMTSO认证均有效地将真正优秀的新兴反恶意软件企业拒之门外。

如果不是反恶意软件企业Malwarebytes董事会成员、AMTSO亚历克斯·艾克贝瑞 (Alex Ecklberry) 的一篇博文，这起事件还不会在几个小时内爆炸。他说，“反病毒企业再也不会看到自己的劳动成果被一些看上去很酷炫、通过随便许诺什么‘下一代’终端或者其它此类胡说八道融到数百万美金，还批判着知识产权被他们偷走的厂商的那些初创企业窃取了。现在，我们有可能真的看到他们的产品到底是怎么做出来的。因为如果没有VirusTotal这根拐杖，依赖它的那些公司的检测率将受到打击。”

在艾克贝瑞的博文下，Cognition公司技术总监、联合创始人卡尔·哥特布 (Carl Gottlieb) 写道：“其后，他和另外几位评论者点出了Cylance、Palo Alto Networks、CrowdStrike正是‘随便许诺’的厂商中的成员，实际上正在窃取在VirusTotal上默默贡献的厂商的知识产权。”哥特布的评论非常支持新兴厂商，但为了保持透明性，我们需要指出的是他的公司正是新兴厂商Cylance的大分销商。

战线

战线现在很清晰了：传统反恶意软件产业站在一起，对抗新兴反恶意软件产业。传统产业完全支持VirusTotal；新兴产业面对针对他们技术手段的指控相当震惊。传统产业方面，PandaLabs技术总监刘易斯·科隆斯 (Luis Corrons) 说，反恶意软件厂商正日渐关心一个事实：后来者正竭尽全力利用VirusTotal，同时却传递了‘清晰的市场信号’，他们说‘反病毒已死，我们比传统反病毒好得多’，但他们正在沾自己称之为活死人的产业的便宜。”

赛门铁克“支持新政策，并相信它们会用互相帮助的手段提升VirusTotal生态系统的健康性和有效性。”

趋势科技也支持新政策，表示“这次改动是对趋势科技和其它贡献者诉求的一次响应，我们看到越来越多的企业并没有真的为VirusTotal贡献什么，却从真正的贡献者提供的数据和分析中受益。 ”

F-Secure公司锡安·苏利文 (Sean Sullivan) 对媒体表示，“这对反病毒产业而言是个好兆头。至少，它能够限制那些自称为反病毒的虚假宣传。”

传统反恶意软件产业的大多数成员都怀疑’下一代’安全产品一旦失去VirusTotal API免费调用的支持，检测率将急剧下滑。

针锋相对地，新兴产业则十分担心自己的好名声会被败坏。一些厂商甚至认为这次事件背后存在“阴谋”。属于新兴反恶意软件厂商的SentinelOne公司CEO托莫·温加滕 (Tomer Weingarten) 在本周三的一篇博文中称：“这种激进的推广手段自然会让很多人认为这次改动是一起由传统反病毒厂商精心策划的阴谋，SentinelOne、Crowdstrike和Palo Alto Networks等公司的崛起让他们感觉到了威胁。这究竟是不是一起精心策划的事件，我们可能永远也无法弄清楚。”

Palo Alto Networks在公司博客上发布了一篇声明，表示一切都没有改变：“Palo Alto Networks的客户和客户们使用的防御服务均没有受到影响。VirusTotal将继续为订阅者提供访问所有文件样本的权限，包括Palo Alto Networks。这没有改变我们和VirusTotal的合作方式。”

在发给媒体的电子邮件中，Palo Alto Networks进一步解释称：“我们的确需要VirusTotal API获取样本，但VirusTotal近期的政策变化不会影响Palo Alto Networks，因为我们不依赖VirusTotal返回的判定来确认文件恶意与否。因此，这次改动中将判定结果从API中移除不会影响我们从VirusTotal上获取样本、确定恶意性、创造特征签名以保护客户的能力。”

就Palo Alto Networks而言，VirusTotal和反病毒产业似乎毫无疑问地精心策划了此次事件，它们感觉到无法坐视其研究结果被用于诽谤中伤自己。因此，它们将准入门槛调高了。VirusTotal和AMTSO都是处于传统厂商教廷牢牢控制中的平台。要求在VirusTotal上注册侦查扫描引擎，外加获取AMTSO认证将极有效地将新兴企业排除在体系之外。

下一步

VirusTotal在给媒体的电子邮件回复中说：“这次升级可以让安全社区因每个作出贡献的人而更加健壮。我们欢迎任何形式的贡献者和技术，只要能为社区增加价值。此次改动不代表VirusTotal提供的服务受到影响，我们相信，通过此次改动，社区将变得更加健康、健壮。”

与此同时，一位发言人解释称：“如果使用VirusTotal安全厂商拥有公开化的反病毒引擎或URL恶意软件搜索引擎，都应当将其侦查器提交到VirusTotal的公有界面，以获得API账户的访问权限，并获取带有反病毒结果的分布流。”因此，简而言之，如果你不参与到在线恶意软件搜索中，就无法访问API。

要想让此生效，需要得到传统和新兴反恶意软件产业的共同承认。将VirusTotal作为市场宣传标尺的行为应当停止了，那些宣传“反病毒已死”的厂商也应该停手。传统反病毒厂商应当积极寻找将“下一代”产品整合进VirusTotal社区的方式。双方都被用户需要着，因为没有任何一种技术能解决所有威胁。在分层防御中，双方没有理由不协同合作。

但这一情景是否能在未来实现，尚待讨论。短期来看，VirusTotal的新政策只是加剧了传统和新兴反恶意软件产业之间的对抗情绪。