互聯(lián)網(wǎng)企業(yè)將殺毒軟件帶向免費(fèi)，安全企業(yè)靠賣殺毒軟件的日子越來越不好過。不久前賽門鐵克高管聲稱殺毒軟件已死，因?yàn)樗�認(rèn)為傳統(tǒng)的殺毒軟件只能偵測到來自外界45%的攻擊，效果不佳。那么，殺毒軟件真的沒有用了嗎?安全企業(yè)應(yīng)該放棄殺毒軟件嗎?

　　傳統(tǒng)殺毒軟件已過時(shí)?

　　傳統(tǒng)的殺毒軟件基于特征碼檢測可疑的代碼程序，好幾年前就已經(jīng)過時(shí)了，需要快速變革。

　　賽門鐵克信息安全高級(jí)副總裁布萊恩·代伊接受媒體采訪時(shí)表示，殺毒軟件已死，殺毒軟件不再是賺錢的產(chǎn)品了。一時(shí)激起產(chǎn)業(yè)界的強(qiáng)烈爭辯。

　　傳統(tǒng)的殺毒軟件基于特征碼檢測可疑的代碼程序，通過比對黑名單來識(shí)別威脅。這種做法，確實(shí)在好幾年前就已經(jīng)過時(shí)了，因?yàn)楝F(xiàn)在很多復(fù)雜的攻擊手段都可以繞過殺毒軟件直接滲透到PC中，特別是通過社會(huì)工程的方式，犯罪分子誘導(dǎo)用戶打開不應(yīng)該打開的附件，點(diǎn)擊不應(yīng)該點(diǎn)擊的鏈接，屢屢得手，儼然形成了一條網(wǎng)絡(luò)犯罪的地下黑色產(chǎn)業(yè)鏈。

　　而且令情況更加復(fù)雜的是，安全廠商FireEye透露，在該公司探測到的所有惡意軟件中，有82%只會(huì)保持一個(gè)小時(shí)的活躍性，70%只會(huì)出現(xiàn)一次，因?yàn)閻阂廛浖�作者�?jīng)常調(diào)整軟件代碼，以便繞過傳統(tǒng)殺毒軟件的掃描，這更使得殺毒軟件在探測和預(yù)防威脅上顯得軟弱無力。這樣一來，傳統(tǒng)的殺毒方式到了需要快速變革的時(shí)候了。

　　就在近日，金山安全提出“云+端+邊界”的安全模式，其CEO沈晨指出：“中國用戶需要加入邊界管理并引入云安全的新一代企業(yè)級(jí)反病毒軟件�！彼�認(rèn)為，邊界管理是反病毒軟件必備的要素之一，沒有邊界管理的企業(yè)反病毒軟件將退市。

　　無獨(dú)有偶，其競爭對手360的董事長周鴻祎也曾表示，傳統(tǒng)黑名單模式已經(jīng)失效，未來的企業(yè)安全趨勢將是云計(jì)算+大數(shù)據(jù)，也就是采集企業(yè)網(wǎng)絡(luò)流量的完整數(shù)據(jù)，然后在云端進(jìn)行建模，再對流量進(jìn)行對比分析，這種方式會(huì)有效預(yù)防APT攻擊(高級(jí)持續(xù)性威脅)，同時(shí)通過建立白名單的方式及時(shí)捕獲未知威脅�？梢钥闯�，360和金山一樣，也在思考如何面對傳統(tǒng)的殺毒方式失效后的網(wǎng)絡(luò)威脅。

　　沈晨告訴《中國電子報(bào)》記者，既依托強(qiáng)大的已知病毒防范能力，又結(jié)合成熟的白名單防御技術(shù)，從而形成終端安全的黑白雙控，這是目前首選的技術(shù)路徑。也只有這樣，才能徹底扭轉(zhuǎn)企業(yè)級(jí)網(wǎng)絡(luò)中病毒及未知危險(xiǎn)大范圍泛濫的被動(dòng)局面。

　　加入邊界管理的新型反病毒技術(shù)

　　邊界的思想是在程序和文件進(jìn)入計(jì)算機(jī)前劃定一條嚴(yán)格的界限，在進(jìn)入之后對其進(jìn)行嚴(yán)密的監(jiān)控。

　　那么，何為邊界?如何通過邊界管理來改變傳統(tǒng)的殺毒模式?

　　邊界的思想是在程序和文件進(jìn)入計(jì)算機(jī)前劃定一條嚴(yán)格的界限，在進(jìn)入之后對其進(jìn)行嚴(yán)密的監(jiān)控。有研究表示，超過90%的安全威脅，都是從應(yīng)用終端的邊界進(jìn)入。這些邊界包括互聯(lián)網(wǎng)下載、移動(dòng)設(shè)備拷貝、郵件傳輸、即時(shí)通信傳送、網(wǎng)絡(luò)共享等。

　　金山安全專家關(guān)成雷告訴《中國電子報(bào)》記者，雖然之前傳統(tǒng)的企業(yè)殺毒軟件已經(jīng)在嘗試研究邊界防御的技術(shù)，通過掃描+進(jìn)程監(jiān)控的方式達(dá)成對邊界的控制，但是由于邊界對象不明確、單點(diǎn)執(zhí)行、功能之間無有效協(xié)同等缺點(diǎn)，因此導(dǎo)致了傳統(tǒng)企業(yè)殺毒軟件在技術(shù)上早已不能應(yīng)對終端邊界的復(fù)雜形勢。這樣一來，一旦某臺(tái)電腦被病毒感染，將可能導(dǎo)致整個(gè)網(wǎng)絡(luò)內(nèi)所有終端PC感染病毒。

　　因此，金山安全提出對邊界進(jìn)行精細(xì)化智能管理，一是控邊界，對邊界來源進(jìn)行細(xì)分，當(dāng)程序進(jìn)入電腦時(shí)，通過對外界程序進(jìn)入電腦的監(jiān)控、檢查，在病毒尚未運(yùn)行時(shí)即可被判定為安全或不安全，讓病毒程序沒有執(zhí)行的機(jī)會(huì)，實(shí)現(xiàn)前置主動(dòng)防御。

　　二是持續(xù)行為監(jiān)控，當(dāng)文件經(jīng)過入口監(jiān)控進(jìn)入環(huán)境后，通過增加進(jìn)程監(jiān)控、注冊表監(jiān)控、驅(qū)動(dòng)監(jiān)控、聯(lián)動(dòng)防御云等方式，對其行為等綜合安全性進(jìn)行判斷，確保未知、定向攻擊、間接白文件利用等威脅手法入侵環(huán)境。

　　三是文件管理，通過對海量信息的采集、分析、關(guān)聯(lián)、匯聚和統(tǒng)一處理，實(shí)時(shí)輸出分析報(bào)告，便于事后分析與決策。此外，選配動(dòng)靜態(tài)鑒定器后還將具有強(qiáng)大的灰文件處理能力。

　　對于這種管控方式，關(guān)成雷打了個(gè)形象的比喻：“企業(yè)網(wǎng)絡(luò)就好比一個(gè)小區(qū)，對于進(jìn)入小區(qū)的所有人、車、物件，讓保安來判斷是否是可信任的，如果是可信任的，就放進(jìn)來，這便是白名單;如果有記錄是犯過事的，就進(jìn)入黑名單;如果是可疑的，就放到灰名單，對之分析比對，及時(shí)發(fā)現(xiàn)可疑點(diǎn)并遏制�！�

　　殺毒軟件仍有利可圖

　　反病毒軟件仍然是部署最多的、價(jià)值和效能最高的企業(yè)內(nèi)外網(wǎng)安全防護(hù)產(chǎn)品。

　　事實(shí)上，現(xiàn)在的中國安全市場，殺毒軟件日薄西山，江民、瑞星等老牌企業(yè)在經(jīng)歷了360免費(fèi)殺毒軟件的阻擊之后，日顯頹勢。金山殺毒則拆分成兩個(gè)公司——獵豹移動(dòng)和金山安全，前者側(cè)重個(gè)人網(wǎng)絡(luò)安全，后者專注于企業(yè)級(jí)安全市場。

　　在360的免費(fèi)模式將個(gè)人殺毒軟件市場沖殺得七零八落之時(shí)，金山安全認(rèn)為殺毒軟件仍可盈利。沈晨向《中國電子報(bào)》記者表示，反病毒軟件技術(shù)和相關(guān)產(chǎn)品之前被嚴(yán)重低估。截至目前，反病毒軟件仍然是部署最多的、價(jià)值和效能最高的企業(yè)內(nèi)外網(wǎng)安全防護(hù)產(chǎn)品;反病毒技術(shù)仍然是截至目前已知并在大規(guī)模應(yīng)用的安全防護(hù)產(chǎn)品的技術(shù)和應(yīng)用基礎(chǔ)。

　　關(guān)成雷認(rèn)為，企業(yè)反病毒市場的新一代產(chǎn)品，將有四大缺一不可的判斷基準(zhǔn)，分別是：是否以邊界管理的應(yīng)用，有效實(shí)現(xiàn)邊界管控和文件追溯，達(dá)成前置主動(dòng)防御;是否以虛擬化的技術(shù)，實(shí)現(xiàn)對云計(jì)算、云桌面的完美支持;是否以黑白雙控的模式，有效達(dá)成掃“灰”打“黑”，清理死角;是否以混合云的模式，借助云端動(dòng)態(tài)響應(yīng)，并支持內(nèi)外網(wǎng)混合部署。

　　基于這樣的標(biāo)準(zhǔn)，金山安全在不久前推出了終端防護(hù)優(yōu)化系統(tǒng)V8.0增值版。而去年下半年，以個(gè)人安全市場為主的360突然對外宣布了幾款企業(yè)級(jí)安全產(chǎn)品。不過自發(fā)布會(huì)之后，360并沒有在企業(yè)級(jí)市場的進(jìn)一步動(dòng)作。隨著中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的成立，主流的信息安全廠商以大數(shù)據(jù)、云計(jì)算的新技術(shù)模式求新求變，并積極加緊布局企業(yè)安全市場，以應(yīng)對新型安全威脅帶來的挑戰(zhàn)。