互聯(lián)網(wǎng)企業(yè)將殺毒軟件帶向免費(fèi)，安全企業(yè)靠賣(mài)殺毒軟件的日子越來(lái)越不好過(guò)。不久前賽門(mén)鐵克高管聲稱(chēng)殺毒軟件已死，因?yàn)樗�認(rèn)為傳統(tǒng)的殺毒軟件只能偵測(cè)到來(lái)自外界45%的攻擊，效果不佳。那么，殺毒軟件真的沒(méi)有用了嗎?安全企業(yè)應(yīng)該放棄殺毒軟件嗎?

　　傳統(tǒng)殺毒軟件已過(guò)時(shí)?

　　傳統(tǒng)的殺毒軟件基于特征碼檢測(cè)可疑的代碼程序，好幾年前就已經(jīng)過(guò)時(shí)了，需要快速變革。

　　賽門(mén)鐵克信息安全高級(jí)副總裁布萊恩·代伊接受媒體采訪(fǎng)時(shí)表示，殺毒軟件已死，殺毒軟件不再是賺錢(qián)的產(chǎn)品了。一時(shí)激起產(chǎn)業(yè)界的強(qiáng)烈爭(zhēng)辯。

　　傳統(tǒng)的殺毒軟件基于特征碼檢測(cè)可疑的代碼程序，通過(guò)比對(duì)黑名單來(lái)識(shí)別威脅。這種做法，確實(shí)在好幾年前就已經(jīng)過(guò)時(shí)了，因?yàn)楝F(xiàn)在很多復(fù)雜的攻擊手段都可以繞過(guò)殺毒軟件直接滲透到PC中，特別是通過(guò)社會(huì)工程的方式，犯罪分子誘導(dǎo)用戶(hù)打開(kāi)不應(yīng)該打開(kāi)的附件，點(diǎn)擊不應(yīng)該點(diǎn)擊的鏈接，屢屢得手，儼然形成了一條網(wǎng)絡(luò)犯罪的地下黑色產(chǎn)業(yè)鏈。

　　而且令情況更加復(fù)雜的是，安全廠(chǎng)商FireEye透露，在該公司探測(cè)到的所有惡意軟件中，有82%只會(huì)保持一個(gè)小時(shí)的活躍性，70%只會(huì)出現(xiàn)一次，因?yàn)閻阂廛浖�作者�?jīng)常調(diào)整軟件代碼，以便繞過(guò)傳統(tǒng)殺毒軟件的掃描，這更使得殺毒軟件在探測(cè)和預(yù)防威脅上顯得軟弱無(wú)力。這樣一來(lái)，傳統(tǒng)的殺毒方式到了需要快速變革的時(shí)候了。

　　就在近日，金山安全提出“云+端+邊界”的安全模式，其CEO沈晨指出：“中國(guó)用戶(hù)需要加入邊界管理并引入云安全的新一代企業(yè)級(jí)反病毒軟件�！彼�認(rèn)為，邊界管理是反病毒軟件必備的要素之一，沒(méi)有邊界管理的企業(yè)反病毒軟件將退市。

　　無(wú)獨(dú)有偶，其競(jìng)爭(zhēng)對(duì)手360的董事長(zhǎng)周鴻祎也曾表示，傳統(tǒng)黑名單模式已經(jīng)失效，未來(lái)的企業(yè)安全趨勢(shì)將是云計(jì)算+大數(shù)據(jù)，也就是采集企業(yè)網(wǎng)絡(luò)流量的完整數(shù)據(jù)，然后在云端進(jìn)行建模，再對(duì)流量進(jìn)行對(duì)比分析，這種方式會(huì)有效預(yù)防APT攻擊(高級(jí)持續(xù)性威脅)，同時(shí)通過(guò)建立白名單的方式及時(shí)捕獲未知威脅�？梢钥闯�，360和金山一樣，也在思考如何面對(duì)傳統(tǒng)的殺毒方式失效后的網(wǎng)絡(luò)威脅。

　　沈晨告訴《中國(guó)電子報(bào)》記者，既依托強(qiáng)大的已知病毒防范能力，又結(jié)合成熟的白名單防御技術(shù)，從而形成終端安全的黑白雙控，這是目前首選的技術(shù)路徑。也只有這樣，才能徹底扭轉(zhuǎn)企業(yè)級(jí)網(wǎng)絡(luò)中病毒及未知危險(xiǎn)大范圍泛濫的被動(dòng)局面。

　　加入邊界管理的新型反病毒技術(shù)

　　邊界的思想是在程序和文件進(jìn)入計(jì)算機(jī)前劃定一條嚴(yán)格的界限，在進(jìn)入之后對(duì)其進(jìn)行嚴(yán)密的監(jiān)控。

　　那么，何為邊界?如何通過(guò)邊界管理來(lái)改變傳統(tǒng)的殺毒模式?

　　邊界的思想是在程序和文件進(jìn)入計(jì)算機(jī)前劃定一條嚴(yán)格的界限，在進(jìn)入之后對(duì)其進(jìn)行嚴(yán)密的監(jiān)控。有研究表示，超過(guò)90%的安全威脅，都是從應(yīng)用終端的邊界進(jìn)入。這些邊界包括互聯(lián)網(wǎng)下載、移動(dòng)設(shè)備拷貝、郵件傳輸、即時(shí)通信傳送、網(wǎng)絡(luò)共享等。

　　金山安全專(zhuān)家關(guān)成雷告訴《中國(guó)電子報(bào)》記者，雖然之前傳統(tǒng)的企業(yè)殺毒軟件已經(jīng)在嘗試研究邊界防御的技術(shù)，通過(guò)掃描+進(jìn)程監(jiān)控的方式達(dá)成對(duì)邊界的控制，但是由于邊界對(duì)象不明確、單點(diǎn)執(zhí)行、功能之間無(wú)有效協(xié)同等缺點(diǎn)，因此導(dǎo)致了傳統(tǒng)企業(yè)殺毒軟件在技術(shù)上早已不能應(yīng)對(duì)終端邊界的復(fù)雜形勢(shì)。這樣一來(lái)，一旦某臺(tái)電腦被病毒感染，將可能導(dǎo)致整個(gè)網(wǎng)絡(luò)內(nèi)所有終端PC感染病毒。

　　因此，金山安全提出對(duì)邊界進(jìn)行精細(xì)化智能管理，一是控邊界，對(duì)邊界來(lái)源進(jìn)行細(xì)分，當(dāng)程序進(jìn)入電腦時(shí)，通過(guò)對(duì)外界程序進(jìn)入電腦的監(jiān)控、檢查，在病毒尚未運(yùn)行時(shí)即可被判定為安全或不安全，讓病毒程序沒(méi)有執(zhí)行的機(jī)會(huì)，實(shí)現(xiàn)前置主動(dòng)防御。

　　二是持續(xù)行為監(jiān)控，當(dāng)文件經(jīng)過(guò)入口監(jiān)控進(jìn)入環(huán)境后，通過(guò)增加進(jìn)程監(jiān)控、注冊(cè)表監(jiān)控、驅(qū)動(dòng)監(jiān)控、聯(lián)動(dòng)防御云等方式，對(duì)其行為等綜合安全性進(jìn)行判斷，確保未知、定向攻擊、間接白文件利用等威脅手法入侵環(huán)境。

　　三是文件管理，通過(guò)對(duì)海量信息的采集、分析、關(guān)聯(lián)、匯聚和統(tǒng)一處理，實(shí)時(shí)輸出分析報(bào)告，便于事后分析與決策。此外，選配動(dòng)靜態(tài)鑒定器后還將具有強(qiáng)大的灰文件處理能力。

　　對(duì)于這種管控方式，關(guān)成雷打了個(gè)形象的比喻：“企業(yè)網(wǎng)絡(luò)就好比一個(gè)小區(qū)，對(duì)于進(jìn)入小區(qū)的所有人、車(chē)、物件，讓保安來(lái)判斷是否是可信任的，如果是可信任的，就放進(jìn)來(lái)，這便是白名單;如果有記錄是犯過(guò)事的，就進(jìn)入黑名單;如果是可疑的，就放到灰名單，對(duì)之分析比對(duì)，及時(shí)發(fā)現(xiàn)可疑點(diǎn)并遏制。”

　　殺毒軟件仍有利可圖

　　反病毒軟件仍然是部署最多的、價(jià)值和效能最高的企業(yè)內(nèi)外網(wǎng)安全防護(hù)產(chǎn)品。

　　事實(shí)上，現(xiàn)在的中國(guó)安全市場(chǎng)，殺毒軟件日薄西山，江民、瑞星等老牌企業(yè)在經(jīng)歷了360免費(fèi)殺毒軟件的阻擊之后，日顯頹勢(shì)。金山殺毒則拆分成兩個(gè)公司——獵豹移動(dòng)和金山安全，前者側(cè)重個(gè)人網(wǎng)絡(luò)安全，后者專(zhuān)注于企業(yè)級(jí)安全市場(chǎng)。

　　在360的免費(fèi)模式將個(gè)人殺毒軟件市場(chǎng)沖殺得七零八落之時(shí)，金山安全認(rèn)為殺毒軟件仍可盈利。沈晨向《中國(guó)電子報(bào)》記者表示，反病毒軟件技術(shù)和相關(guān)產(chǎn)品之前被嚴(yán)重低估。截至目前，反病毒軟件仍然是部署最多的、價(jià)值和效能最高的企業(yè)內(nèi)外網(wǎng)安全防護(hù)產(chǎn)品;反病毒技術(shù)仍然是截至目前已知并在大規(guī)模應(yīng)用的安全防護(hù)產(chǎn)品的技術(shù)和應(yīng)用基礎(chǔ)。

　　關(guān)成雷認(rèn)為，企業(yè)反病毒市場(chǎng)的新一代產(chǎn)品，將有四大缺一不可的判斷基準(zhǔn)，分別是：是否以邊界管理的應(yīng)用，有效實(shí)現(xiàn)邊界管控和文件追溯，達(dá)成前置主動(dòng)防御;是否以虛擬化的技術(shù)，實(shí)現(xiàn)對(duì)云計(jì)算、云桌面的完美支持;是否以黑白雙控的模式，有效達(dá)成掃“灰”打“黑”，清理死角;是否以混合云的模式，借助云端動(dòng)態(tài)響應(yīng)，并支持內(nèi)外網(wǎng)混合部署。

　　基于這樣的標(biāo)準(zhǔn)，金山安全在不久前推出了終端防護(hù)優(yōu)化系統(tǒng)V8.0增值版。而去年下半年，以個(gè)人安全市場(chǎng)為主的360突然對(duì)外宣布了幾款企業(yè)級(jí)安全產(chǎn)品。不過(guò)自發(fā)布會(huì)之后，360并沒(méi)有在企業(yè)級(jí)市場(chǎng)的進(jìn)一步動(dòng)作。隨著中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的成立，主流的信息安全廠(chǎng)商以大數(shù)據(jù)、云計(jì)算的新技術(shù)模式求新求變，并積極加緊布局企業(yè)安全市場(chǎng)，以應(yīng)對(duì)新型安全威脅帶來(lái)的挑戰(zhàn)。