互聯(lián)網(wǎng)企業(yè)將殺毒軟件帶向免費，安全企業(yè)靠賣殺毒軟件的日子越來越不好過。不久前賽門鐵克高管聲稱殺毒軟件已死，因為他認為傳統(tǒng)的殺毒軟件只能偵測到來自外界45%的攻擊，效果不佳。那么，殺毒軟件真的沒有用了嗎?安全企業(yè)應(yīng)該放棄殺毒軟件嗎?

　　傳統(tǒng)殺毒軟件已過時?

　　傳統(tǒng)的殺毒軟件基于特征碼檢測可疑的代碼程序，好幾年前就已經(jīng)過時了，需要快速變革。

　　賽門鐵克信息安全高級副總裁布萊恩·代伊接受媒體采訪時表示，殺毒軟件已死，殺毒軟件不再是賺錢的產(chǎn)品了。一時激起產(chǎn)業(yè)界的強烈爭辯。

　　傳統(tǒng)的殺毒軟件基于特征碼檢測可疑的代碼程序，通過比對黑名單來識別威脅。這種做法，確實在好幾年前就已經(jīng)過時了，因為現(xiàn)在很多復(fù)雜的攻擊手段都可以繞過殺毒軟件直接滲透到PC中，特別是通過社會工程的方式，犯罪分子誘導(dǎo)用戶打開不應(yīng)該打開的附件，點擊不應(yīng)該點擊的鏈接，屢屢得手，儼然形成了一條網(wǎng)絡(luò)犯罪的地下黑色產(chǎn)業(yè)鏈。

　　而且令情況更加復(fù)雜的是，安全廠商FireEye透露，在該公司探測到的所有惡意軟件中，有82%只會保持一個小時的活躍性，70%只會出現(xiàn)一次，因為惡意軟件作者經(jīng)常調(diào)整軟件代碼，以便繞過傳統(tǒng)殺毒軟件的掃描，這更使得殺毒軟件在探測和預(yù)防威脅上顯得軟弱無力。這樣一來，傳統(tǒng)的殺毒方式到了需要快速變革的時候了。

　　就在近日，金山安全提出“云+端+邊界”的安全模式，其CEO沈晨指出：“中國用戶需要加入邊界管理并引入云安全的新一代企業(yè)級反病毒軟件�！彼�認為，邊界管理是反病毒軟件必備的要素之一，沒有邊界管理的企業(yè)反病毒軟件將退市。

　　無獨有偶，其競爭對手360的董事長周鴻祎也曾表示，傳統(tǒng)黑名單模式已經(jīng)失效，未來的企業(yè)安全趨勢將是云計算+大數(shù)據(jù)，也就是采集企業(yè)網(wǎng)絡(luò)流量的完整數(shù)據(jù)，然后在云端進行建模，再對流量進行對比分析，這種方式會有效預(yù)防APT攻擊(高級持續(xù)性威脅)，同時通過建立白名單的方式及時捕獲未知威脅�？梢钥闯觯�360和金山一樣，也在思考如何面對傳統(tǒng)的殺毒方式失效后的網(wǎng)絡(luò)威脅。

　　沈晨告訴《中國電子報》記者，既依托強大的已知病毒防范能力，又結(jié)合成熟的白名單防御技術(shù)，從而形成終端安全的黑白雙控，這是目前首選的技術(shù)路徑。也只有這樣，才能徹底扭轉(zhuǎn)企業(yè)級網(wǎng)絡(luò)中病毒及未知危險大范圍泛濫的被動局面。

　　加入邊界管理的新型反病毒技術(shù)

　　邊界的思想是在程序和文件進入計算機前劃定一條嚴格的界限，在進入之后對其進行嚴密的監(jiān)控。

　　那么，何為邊界?如何通過邊界管理來改變傳統(tǒng)的殺毒模式?

　　邊界的思想是在程序和文件進入計算機前劃定一條嚴格的界限，在進入之后對其進行嚴密的監(jiān)控。有研究表示，超過90%的安全威脅，都是從應(yīng)用終端的邊界進入。這些邊界包括互聯(lián)網(wǎng)下載、移動設(shè)備拷貝、郵件傳輸、即時通信傳送、網(wǎng)絡(luò)共享等。

　　金山安全專家關(guān)成雷告訴《中國電子報》記者，雖然之前傳統(tǒng)的企業(yè)殺毒軟件已經(jīng)在嘗試研究邊界防御的技術(shù)，通過掃描+進程監(jiān)控的方式達成對邊界的控制，但是由于邊界對象不明確、單點執(zhí)行、功能之間無有效協(xié)同等缺點，因此導(dǎo)致了傳統(tǒng)企業(yè)殺毒軟件在技術(shù)上早已不能應(yīng)對終端邊界的復(fù)雜形勢。這樣一來，一旦某臺電腦被病毒感染，將可能導(dǎo)致整個網(wǎng)絡(luò)內(nèi)所有終端PC感染病毒。

　　因此，金山安全提出對邊界進行精細化智能管理，一是控邊界，對邊界來源進行細分，當(dāng)程序進入電腦時，通過對外界程序進入電腦的監(jiān)控、檢查，在病毒尚未運行時即可被判定為安全或不安全，讓病毒程序沒有執(zhí)行的機會，實現(xiàn)前置主動防御。

　　二是持續(xù)行為監(jiān)控，當(dāng)文件經(jīng)過入口監(jiān)控進入環(huán)境后，通過增加進程監(jiān)控、注冊表監(jiān)控、驅(qū)動監(jiān)控、聯(lián)動防御云等方式，對其行為等綜合安全性進行判斷，確保未知、定向攻擊、間接白文件利用等威脅手法入侵環(huán)境。

　　三是文件管理，通過對海量信息的采集、分析、關(guān)聯(lián)、匯聚和統(tǒng)一處理，實時輸出分析報告，便于事后分析與決策。此外，選配動靜態(tài)鑒定器后還將具有強大的灰文件處理能力。

　　對于這種管控方式，關(guān)成雷打了個形象的比喻：“企業(yè)網(wǎng)絡(luò)就好比一個小區(qū)，對于進入小區(qū)的所有人、車、物件，讓保安來判斷是否是可信任的，如果是可信任的，就放進來，這便是白名單;如果有記錄是犯過事的，就進入黑名單;如果是可疑的，就放到灰名單，對之分析比對，及時發(fā)現(xiàn)可疑點并遏制�！�

　　殺毒軟件仍有利可圖

　　反病毒軟件仍然是部署最多的、價值和效能最高的企業(yè)內(nèi)外網(wǎng)安全防護產(chǎn)品。

　　事實上，現(xiàn)在的中國安全市場，殺毒軟件日薄西山，江民、瑞星等老牌企業(yè)在經(jīng)歷了360免費殺毒軟件的阻擊之后，日顯頹勢。金山殺毒則拆分成兩個公司——獵豹移動和金山安全，前者側(cè)重個人網(wǎng)絡(luò)安全，后者專注于企業(yè)級安全市場。

　　在360的免費模式將個人殺毒軟件市場沖殺得七零八落之時，金山安全認為殺毒軟件仍可盈利。沈晨向《中國電子報》記者表示，反病毒軟件技術(shù)和相關(guān)產(chǎn)品之前被嚴重低估。截至目前，反病毒軟件仍然是部署最多的、價值和效能最高的企業(yè)內(nèi)外網(wǎng)安全防護產(chǎn)品;反病毒技術(shù)仍然是截至目前已知并在大規(guī)模應(yīng)用的安全防護產(chǎn)品的技術(shù)和應(yīng)用基礎(chǔ)。

　　關(guān)成雷認為，企業(yè)反病毒市場的新一代產(chǎn)品，將有四大缺一不可的判斷基準(zhǔn)，分別是：是否以邊界管理的應(yīng)用，有效實現(xiàn)邊界管控和文件追溯，達成前置主動防御;是否以虛擬化的技術(shù)，實現(xiàn)對云計算、云桌面的完美支持;是否以黑白雙控的模式，有效達成掃“灰”打“黑”，清理死角;是否以混合云的模式，借助云端動態(tài)響應(yīng)，并支持內(nèi)外網(wǎng)混合部署。

　　基于這樣的標(biāo)準(zhǔn)，金山安全在不久前推出了終端防護優(yōu)化系統(tǒng)V8.0增值版。而去年下半年，以個人安全市場為主的360突然對外宣布了幾款企業(yè)級安全產(chǎn)品。不過自發(fā)布會之后，360并沒有在企業(yè)級市場的進一步動作。隨著中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的成立，主流的信息安全廠商以大數(shù)據(jù)、云計算的新技術(shù)模式求新求變，并積極加緊布局企業(yè)安全市場，以應(yīng)對新型安全威脅帶來的挑戰(zhàn)。