陳宛綺
邁入 2009 年的第 4 季,許多防毒廠商已經摩拳擦掌,為 2010 年新版產品做上市準備。在這些新推出的防毒產品當中,加入哪些新的防護觀念與技術呢?讓我們一同來瞧瞧吧!
你知道犯罪問題最嚴重的地方在哪裡呢?紐約?不是。東京?也不是。答對了,就是在「網路」。根據統計,現在,在網路環境中,每 1/4 秒就會發生一起犯罪事件。賽門鐵克統計,在過去 12 個月我們阻擋的惡意程式的總數量高達 24 億,平均每個月都有 2 億個惡意程式出現;換句話說,在我們的四周,每分每秒都充斥著成千上萬的惡意程式。
病毒與防毒軟體的戰役已經打了數十載,隨著惡意程式的發展越來越快速,攻擊行為越來越複雜,病毒不但沒有消滅,卻越來越壯大,甚至還造就了龐大的地下經濟市場規模。
防毒軟體似乎是個輸家,永遠只能跟在病毒後面收拾殘局。確實,傳統的防護方式已經無法跟上新的病毒趨勢,因為有太多的未知病毒是傳統防毒軟體技術所無法偵測與防禦的。
但是,防毒軟體是不會就此認輸。各家防毒軟在 2010 的最新版本當中,紛紛使出必殺絕技,要來個絕地大反攻。我們就來瞧瞧這些最新版的防毒軟體採用了哪些新的技術。
本文目錄
必殺絕技一:雲端防毒
現況:未知病毒作怪 個資堪憂
未知惡意程式主要來自於網路,特別是時下熱門的 Web 2.0 社交型網站,已成為網路犯罪者與垃圾郵件業者的首要目標。根據 Websense Defensio 技術辨識出高達 95% 的部落格、聊天室與留言板回覆為垃圾訊息或惡意程式碼。除此之外,在諸多網路攻擊中,與資料竊取有關的惡意程式比率已達 37%,顯示資料外洩的問題仍須特別關注。
趨勢科技資深技術顧問戴燊也認為,新一代的資安防護必須要從資料外洩的角度著眼,因為現在的病毒不像過去會造成電腦當機或是停擺,而是偷偷地竊取資料,卻不會讓使用者發現電腦有任何異常;而惡意程式透過各種管道(網路、 USB 、電子郵件等)進入電腦之後,開啟後門,即可將個人資料、遊戲帳號等資料竊取出去。
賽門鐵克中國技術支持部首席解決方案顧問林育民表示,現在大量的惡意程式透過 Web 散播,對每一個瀏覽惡意網頁的使用者,都可以產生獨一無二的新變種,造成惡意程式數量大增,因此,傳統倚賴病毒特徵的偵測方法,已無法有效對抗這類新興威脅。
過去,防毒軟體不斷針對各式各樣的惡意程式撰寫病毒特徵碼,賽門鐵克光是在今年已經送出了 130 萬個威脅特徵,而且強調客戶端每 5 分鐘就自動更新一次病毒特徵碼,但是,這樣仍然無法遏止威脅,因為針對超新型病毒(一般稱之為未知病毒),防毒軟體仍是無法在第一時間即開發出病毒定義檔。
賽門鐵克軟體品保工程師王世煜表示,今天真正的威脅不是那 99% 已知的威脅,而是那些 1% 未知的惡意程式。
雲端運算+檔案信譽評等
因此,多家防毒業者認為,運用雲端運算技術能夠對抗未知病毒。不論是賽門鐵克、趨勢、卡巴斯基,在 2010 年的新版產品中都強調運用了雲端運算技術以及檔案信譽評等機制,來彌補傳統病毒特徵防禦的不足。
大致上來說,過去是利用黑名單,也就是利用病毒特徵碼比對的方式攔截惡意程式;此外,也會依據檔案來源、是否具有數位簽章等規則,來識別哪些檔案為安全、好的程式,並加入在白名單資料庫中,因此,掃毒引擎可以不需要再掃描這些可靠的程式,增加掃描的速度。
但是,在面對一些被修改過、「獨一無二」的未知檔案時,透過惡意程式特徵值與啟發式技術(從行為與屬性偵測的威脅),往往無法有效偵測得到。
因此,在雲端上透過社群的力量收集到龐大資料,透過檔案信譽評等與分析技術,將不在黑名單與白名單中的檔案,利用雲端運算能力與各種評比給分技術,判別出該未知檔案是好的還是壞的檔案。
如此一來,將部分黑名單、白名單移上雲端,除可為本機端病毒特徵碼進行瘦身,也能夠降低啟發式偵測技術的誤判率。但各家在雲端上的做法各有些許不同。
(…未完,更多精采內容請參閱網路資訊雜誌 215 期 10 月號)