觀察：防毒軟體的時代是不是快結束了？

ZDNet新聞專區：Robert Vamosi 2008/07/22 13:41:03 過去幾個月來，我不斷聽到某些知名的安全界人士，告訴我他們正考慮完全捨棄防毒軟體的保護。他們尚未真正實行，但這些人認為，用一個特別的應用軟體掃瞄和移除惡意軟體的時代即將結束。惡意軟體已經改變，但搜尋、驅逐它們的應用軟體卻一成不變。

 
我們今天所知的防毒程式，是以20年前的樣式比對技術。在過去的米開朗基羅病毒時代，甚至最近的Netsky病毒，樣式比對都發揮效用，但順序比對每一個單獨的電腦檔案與已知的惡意軟體既耗時又落伍。2007年，賽門鐵克偵測到超過10億個病毒，其中三分之二是當年新生的病毒。載入10億個新簽名檔，或甚至其中百分之一，都是非常龐大的工作。

 
因此軟體商開始規劃2009年（和之後）的心策略。這些作法與簽名檔資料庫正好相反—稱為白名單（whitelisting）。樣式比對就像是列出黑名單，白名單則是另一個極端：只允許受信任的檔案在個人電腦中執行。

 
那就是賽門鐵克執行長John Thompson在今年的RSA大會上所說的：「如果惡意軟體的成長速度持續超越合法軟體，白名單這類技術（也就是辨認和只允許好東西進入）將變得非常迫切。」他對白名單技術的說明其實不多，但大家都認為Thompson已明確指出未來的方向。
 
白名單究竟有多可靠？其實我們早在幾年前就開始使用這種防禦方式。為了更瞭解這類技術的運作方式，我訪問了麻州Bit9公司的策略長Tom Murphy。

 
Bit9這幾年都在構建一個名為Global Software Registry（全球軟體註冊，簡稱GSR）的系統，編錄「已知有益」和「已知有害」的應用軟體和檔案。Murphy說Bit9使用三種方法--MD5、SHA1和OMAC，製作一個特別的檔案雜匯，確定該檔案不會有其他意外的作用。截至目前，這份目錄僅用在Bit9的企業產品，但他們已和Kaspersky簽約，2009年就會用在該公司的桌面安全產品上。
 
Bit9不是唯一，SecureWave的Sanctuary、Savant Protection和DriveSentry，都有企業用的白名單技術。有趣的是，Google、微軟和賽門鐵克這些大公司，現在也開始注意白名單技術。

 
這又讓我們回到防毒軟體。如果管理數百萬個防毒簽名檔非常吃力，世上的「清白」檔案何其多？只要想想目前所有的軟體版本，更別提那些產品創造出的檔案數量。白名單的缺點，也是主要的爭議，是所有的清白檔案遠多於壞檔案。目前，要在桌面使用白名單檔案是不切實際的。
 
趨勢科技（若想要投入白名單領域）認為自己有答案。過去幾年來，趨勢在全球各地設立伺服器，以便延續其「軟體即服務」（簡稱SaaS）企業系統的服務。趨勢科技執行長陳怡樺表示，現在是把SaaS帶到桌面的時間。桌面的SaaS不會下載所有的簽名檔，而是呼叫「雲端」伺服器，從那裡取得結果。

 
別搞錯，趨勢還是使用防毒簽名檔資料庫。陳怡樺說，這種方式比逐一比對各個惡意軟體更快。的確，雖然每個程序間的差別只是幾毫秒，幾千個檔案加起來，還是省下不少時間。因此，掃毒程序從PC改至雲端執行，並迅速取得結果。另一個好處，陳怡樺說，是新範本可立即取得，並迅速獲得評估。她估計，趨勢科技可在15分鐘內建立一個未知威脅的新簽名檔。

 
15分鐘也是賽門鐵克的新口號。該公司的消費者產品管理副總Tom Powledge表示，2009年的Norton產品更輕巧、更快，部分原因是他們丟棄了多個過去版本的簽名檔資料庫，也不會掃瞄每一個檔案。2009年的產品將建立一個信任索引，也就是確認某些檔案（如照片或MP3）清白無虞，除非檔案有變更，否則不會再掃瞄。他提供的圖表顯示，一台主機內大約70％的檔案都是可信任的，只有30％被主動掃瞄。

 
如同趨勢科技，Norton也在試驗更快速的新惡意軟體反應機制。Powledge說Norton不是每15分鐘，而是每兩分鐘即可更新一次。比起其他防毒軟體商每小時或每天更新的服務，這是極大的進步。

 
有鑑於趨勢和賽門鐵克對傳統防毒軟體所做的改善，防毒軟體還是無法躲過被時代洪流淹沒的命運嗎？答案是肯定的。我問Murphy，白名單在某些企業是否足以取代傳統的防毒軟體保護，他的回答非常婉轉：「如果（顧客）認為他們可以控制整個環境，有些顧客已經移除了主機內的防毒軟體。」

 
我還是不相信白名單是正確的方向，但我知道，企業領域的安全解決方案確實會向下擴散到桌面領域。（陳智文譯）