杀毒软件时代是不是快结束了？

longlong9

过去几个月来，某些知名的安全界人士，他们正考虑完全舍弃“杀毒软件”的保护。他们尚未真正实行，他们认为，用一个特别的应用软体扫瞄，和移除恶意软件的时代即将结束！

恶意软件已经改变，但搜索、驱逐它们的应用软件却一成不变。 我们今天所知的防毒程序，是以 20
年前的样式比对技术。在过去的“米开朗基罗病毒”时代，甚至最近的　 Netsky
病毒，样式比对都发挥效用，但顺序比对每一个单独的电脑档案与已知的恶意软件，既耗时又落伍。　

2007 年，『赛门铁克』侦测到超过 10 亿个病毒，其中三分之二是当年新生的病毒。载入 10
亿个新签名档，或甚至其中百分之一，都是非常庞大的工作。

因此，软件厂商开始规划 2009 年（和之后）的新策略。这些作法，与签名档资料库正好相反
：称为“白名单”（whitelisting）。样式比对就像是列出黑名单，白名单则是另一个极端 ─
只允许受信任的档案，在个人电脑中执行。

那就是赛门铁克首席执行官 John Thompson ，在今年的 RSA
大会上所说的：『如果，恶意软件的增长速度持续超越合法软件，白名单这类技术（也就是识别和只允许好东西进入）将变得非常迫切。』他对白名单技术的说明其实不多，但大家都认为
Thompson ，已明确指出未来的方向。

白名单究竟有多可靠？其实，我们早在几年前就开始使用这种防御方式，为了更了解这类技术的运作方式，我们访问了麻州 Bit9 公司首席策略官
Tom Murphy。

Bit9 这几年，都在构建一个名为： Global Software Registry（全球软件注册，简称
GSR）的系统，编录【已知有益】和【已知有害】的应用软件和档案。

Murphy 说 Bit9 使用三种方法 -- MD5、SHA1 和
OMAC，制作一个特别的档案杂汇，确定该档案，不会有其他意外的作用。截至目前这份目录仅用在 Bit9 的企业产品，但他们已和
Kaspersky 签约，2009 年，就会用在该公司的桌面安全产品上。

Bit9 不是唯一！SecureWave 的Sanctuary、Savant Protection 和
DriveSentry，都有企业用的白名单技术。有趣的是，Google、微软和赛门铁克这些大公司，现在也开始注意白名单技术。

这又让我们回到杀毒软件，如果管理数百万个杀毒签名档非常吃力，世上的清白档案何其多？只要想想目前所有的软件版本，更别提那些产品创造出的档案数量。白名单的缺点也是主要的争议：所有的清白档案远多于坏档案。目前，要在桌面使用白名单档案是不切实际的。

『趋势科技』（若想要投入白名单领域）认为自己有答案。过去几年来，趋势在全球各地设立服务器，以便延续其软件即服务（简称
SaaS）企业系统的服务。趋势科技 CEO 「陈怡桦」表示，现在是把 SaaS 带到桌面的时间，桌面的 SaaS
不会下载所有的签名档，而是呼叫“云端”服务器，从那里取得结果。

别搞错，趋势还是使用杀毒签名档资料库。陈怡桦说：『这种方式，比逐一比对各个恶意软件更快。』的确，虽然每个程序间的差别只是几毫秒，几千个档案加起来还是省下不少时间。因此，扫毒程序从
PC 改至云端执行，并迅速取得结果。另一个好处，陈怡桦说：『是新范本可立即取得，并迅速获得评估。』她估计，趋势科技可在 15
分钟内，建立一个未知威胁的新签名档。

15 分钟，也是赛门铁克的新口号。该公司消费者产品管理副总 Tom Powledge 表示：2009 年的 Norton
产品更轻巧、更快，部分原因是，他们丢弃了多个过去版本的签名档资料库，也不会扫瞄每一个档案。2009
年的产品将建立一个信任索引，也就是确认某些档案（如照片或
MP3）清白无虞，除非档案有变更，否则不会再扫瞄。他提供的图表显示：一台主机内，大约 70％ 的档案都是可信任的，只有 30％
被主动扫瞄。

如同趋势科技，Norton 也在试验更快速的新恶意软件反应机制。Powledge 说：『 Norton 不是每 15 分钟，而是每 2
分钟即可更新一次。』比起其他杀毒软件厂商，每小时或每天更新的服务，这是极大的进步！

有鉴于趋势，和赛门铁克对传统杀毒软件所做的改善，杀毒软件，还是无法躲过被时代洪流淹没的命运吗？答案是“肯定”的。我们问
Murphy：『白名单在某些企业，是否足以取代传统的杀毒软件保护？』

Murphy 的回答非常婉转：『如果（顾客）认为他们可以控制整个环境，有些顾客，已经移除了主机内的杀毒软件。』
企业领域的安全解决方案，确实会向下扩散到桌面领域。