【51CTO 3月31日外電頭條】首先，讓我們給反病毒保護(hù)應(yīng)用下個(gè)定義。簡單地說，就是指用來防止惡意軟件感染計(jì)算機(jī)的軟件。如果你們認(rèn)同這個(gè)定義的話，我便要問上一問，為什么安裝了反病毒應(yīng)用的計(jì)算機(jī)仍然會被感染？

為了進(jìn)一步探討這個(gè)問題，我邀請了NSS實(shí)驗(yàn)室的總裁Rick Moy，下面是對他的采訪：

“NSS實(shí)驗(yàn)室執(zhí)行專業(yè)的、獨(dú)立的安全產(chǎn)品評估，協(xié)助終端用戶針對他們的環(huán)境選擇正確的安全產(chǎn)品。”這是NSS實(shí)驗(yàn)室關(guān)于自己的介紹。我最初了解NSS實(shí)驗(yàn)室是為了做一篇關(guān)于瀏覽器抵御惡意軟件的報(bào)道。那時(shí)起，Rick和我就反病毒進(jìn)行過很多次有趣的探討。

TechRepublic：你提到過惡意軟件有兩種類型：攻擊用戶和攻擊機(jī)器。你能解釋一下嗎？

Moy：從高處看，惡意軟件可以按照執(zhí)行方式分成這兩類：

攻擊用戶：欺騙用戶下載并且執(zhí)行包含惡意軟件的假音頻視頻文件以及盜版軟件。在這種情況下，用戶是最薄弱的一環(huán)。

攻擊計(jì)算機(jī)：攻擊者利用用戶不知道的軟件漏洞，例如將瀏覽器帶有漏洞的用戶引誘到惡意網(wǎng)站，在那里通常會直接安裝惡意軟件，所有的操作都無需用戶交互。

TechRepublic：你還提到惡意軟件通常有三個(gè)部件，每一個(gè)都針對著不同的方面，這很有趣，希望你闡述一下。

Moy：比如最近的Operation Aurora攻擊就是一個(gè)很好的例子。它包括所有的三個(gè)階段，Vulnerability、Exploit和Payload。它們經(jīng)?；煜智逅鼈儗τ诶斫馊绾斡行ё柚构羰呛苤匾?。

Vulnerability：指軟件代碼中的bug，這些漏洞會讓產(chǎn)品受到攻擊，例如一個(gè)緩沖區(qū)溢出。

Exploit：這是為了攻擊應(yīng)用中的Vulnerability而特意編寫的代碼序列，比如對緩沖區(qū)溢出的攻擊。一個(gè)Exploit可以隱藏在受感染的網(wǎng)站伏擊訪問計(jì)算機(jī)，或從另一臺計(jì)算機(jī)遠(yuǎn)程攻擊。

Payload：是指在應(yīng)用的漏洞被攻破之后裝載的惡意內(nèi)容。Payload就是在目標(biāo)計(jì)算機(jī)上執(zhí)行的操作，例如在硬盤上寫一個(gè)木馬下載器，或者返回一個(gè)反向shell。

這張圖顯示了每一階段的攻擊相對數(shù)量。

終端安全產(chǎn)品應(yīng)該更加側(cè)重于漏洞保護(hù)，而不是在惡意的payload身后追逐。這是因?yàn)槁┒吹臄?shù)量要少的多，因此更易于管理。

TechRepublic：反病毒軟件企業(yè)都說他們的產(chǎn)品能夠防范惡意軟件，而你覺得用戶有些被誤導(dǎo)了，這能否請你解釋一下？

Moy：在2009年年底，我們對我們網(wǎng)站的500名訪客進(jìn)行了調(diào)查，結(jié)果發(fā)現(xiàn)有46％的人認(rèn)為他們安裝的反病毒軟件能夠百分之百的阻止威脅。但主要的安全廠商的掃描數(shù)據(jù)卻顯示，有超過30%裝有反病毒產(chǎn)品的計(jì)算機(jī)還是感染了某種病毒。這個(gè)數(shù)據(jù)說明惡意軟件還遠(yuǎn)遠(yuǎn)沒有得到控制。

TechRepublic：也就是說一臺受保護(hù)的計(jì)算機(jī)稍不注意就會被感染，而這個(gè)危險(xiǎn)人們還意識不到，你認(rèn)為問題出在哪兒？

Moy：我們是打一場對比懸殊的戰(zhàn)斗，壞人的力量比好人大得多。作為防守方，我們需要觀注和防范一切可能的攻擊途徑。但作為攻擊方的網(wǎng)絡(luò)罪犯只需要找到一個(gè)系統(tǒng)漏洞就可以擊敗我們。

展望將來，軟件開發(fā)者必須編寫更安全的代碼，減少漏洞的數(shù)量。用戶也必須要加強(qiáng)對自己的教育，更頻繁的打補(bǔ)丁。

TechRepublic：我一直這樣認(rèn)為：只要讓操作系統(tǒng)和應(yīng)用軟件跟上最新的升級，那就不會出現(xiàn)問題。照此說并非是這樣，你的意見呢？

Moy：雖然給應(yīng)用打上最新的補(bǔ)丁是很重要的，但這無法保證你的安全。補(bǔ)丁只是寫給那些已知的問題。但網(wǎng)絡(luò)罪犯正在不斷地開發(fā)和探索那些尚未被安全社區(qū)發(fā)現(xiàn)的新的攻擊點(diǎn)，比如零日攻擊，除非分析人員能夠提前判斷到問題出在哪里，否則網(wǎng)絡(luò)罪犯們總有機(jī)會。

TechRepublic：對于反病毒軟件的前景你似乎比較樂觀，怎樣才能改進(jìn)的更有效呢？

Moy：在一些很明確的地方反病毒產(chǎn)品可以改進(jìn)的更好。在我們最近對Operation Aurora 攻擊的一項(xiàng)研究中，我們發(fā)現(xiàn)7種反病毒產(chǎn)品中的6種沒有能夠阻止漏洞的變種。而且，它們在檢測惡意payload的成績也參差不齊。

安全產(chǎn)品應(yīng)該進(jìn)一步發(fā)展，提供更好的基于漏洞的保護(hù)。企業(yè)信譽(yù)服務(wù)是可以減少最終用戶風(fēng)險(xiǎn)的關(guān)鍵技術(shù)，但并非所有的廠商都在使用。最后，安全廠商應(yīng)該接受更多的現(xiàn)實(shí)世界測試和第三方服務(wù)，這樣才能推動產(chǎn)品的質(zhì)量和創(chuàng)新。

TechRepublic：你提到NSS實(shí)驗(yàn)室使用不同的方法測試安全產(chǎn)品，能告訴我們?yōu)槭裁催@樣做更好呢？

Moy：隨著互聯(lián)網(wǎng)的發(fā)展，現(xiàn)在病毒的傳播速度達(dá)到了新的水平，傳統(tǒng)的測試技術(shù)已經(jīng)無法達(dá)到要求了。因此，NSS實(shí)驗(yàn)室開發(fā)了“Live in-the-cloud”測試框架，模擬平均的用戶體驗(yàn)。這種新的測試方法的重點(diǎn)是針對目前在互聯(lián)網(wǎng)上活躍的病毒，我們會每隔幾小時(shí)就做一次測試，這使我們能夠測量廠商需要多長時(shí)間才能提供保護(hù)。

廠家的產(chǎn)品測試只是為了驗(yàn)證產(chǎn)品可以做什么，但更重要的是要找到它不能做什么，為了發(fā)現(xiàn)這些，我們的工程師也幾乎在做和黑客同樣的事，現(xiàn)在我們已經(jīng)幫助過許多世界知名的安全企業(yè)改進(jìn)了它們的產(chǎn)品。

最后的思考

在這次采訪中，Rick Moy提出的三點(diǎn)意見躍然而出：

1. 防守方必須保護(hù)所有可能的攻擊途徑，但壞人只需要一個(gè)漏洞。

2. 終端安全產(chǎn)品應(yīng)更側(cè)重于漏洞保護(hù)。

3. 測試安全產(chǎn)品應(yīng)該采取模擬平均用戶體驗(yàn)的方式。

對我來說，這三條簡單的意見說明了問題的所在，也正是我們需要做的。你覺得呢？

【51CTO.com譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處?！?/p>

原文：Is there hope for antivirus programs? 作者：Michael Kassner

1. 黑客公司年獲利近兩億 將惡意軟件變成印鈔機(jī)
2. Pwn2Own2010第一天:iPhone被攻破 漏洞涉及Safari
3. 黑客日薪一萬二 IT企業(yè)受苦難