|
||||
主動防御的出現
近些年來,人們由過去有病看病發展到定期體檢,預防為主的健康理念。而在信息安全領域在安全威脅防御方面的理念同樣發生著變化。『特征碼』識別病毒是目前殺毒軟件主要技術手段,但這一手段只能起到亡羊補牢的作用——只有某一段代碼被編制出來之後,纔能判斷這個代碼是不是病毒,纔能談到去檢測或清除這種病毒。殺毒軟件廠商只有發現並捕獲到新病毒後,纔有可能從病毒體中提取其特征值。這使得殺毒軟件對新病毒的防范始終滯後於病毒出現,就好比用戶被傳染流感生病之後不得不去醫院醫治。種種現象迫使安全廠商開始研發新的防御技術,主動防御也就誕生了!
主動防御技術的發展
主動防御已經推出了有兩年時間,一般意義上的『主動防御』,就是全程監視進程的行為,一旦發現『違規』行為,就通知用戶,或者直接終止進程。它就像私人醫生一樣,在別人傳染你病毒之前,主動防御技術會檢查對方是否有異樣,如『面色暗淡、精神恍惚』,但是並不是所有精神不好的人都帶有流感病毒。因此『主動防御』的誤判率是非常高的,主動防御廠商不得不把權限給用戶,讓用戶決定它到底有沒有帶有病毒,這樣容易使普通用戶很難依據『行為』來判斷程序是否有危害到系統,同時無休止的彈窗也讓用戶無比反感。就在主動防御技術走在瓶頸階段的時候,以微點為主的主動防御技術廠商不得不用開發白名單定制規則,來避免誤殺。主動防御比起普通殺軟防御技術具備一定的智能性,但也正是主動防御的智能性,讓黑客有了可乘之機。黑客可以利用黑名單,改變規則,繞過報警,對用戶系統安全造成威脅,但是無論如何主動防御的演變確實方便了很多。
什麼是主動免疫技術
近期一個新的防御技術也開始斬露頭角,就是下面我們要說的主動免疫技術。它是一種全新的免疫未知病毒和木馬防御技術,如果說主動防御是醫生,那通過權限設定來實現安全的主動免疫技術更像萬能免疫疫苗,可以說是病毒叢中過,片葉不沾身。但是主動免疫技術仍存在一定危險性,比如有些程序安裝時,必須用到管理員權限,這個時候針對每個應用程序的權限控制將比較繁瑣。如現在主推該技術的墨者安全專家,在運行一些未知需要管理員權限的程序時,需要用墨者的提權工具右鍵提權纔可以正常安裝,墨者官方也多次提醒用戶慎用此功能。
防御技術將走向主動免疫還是主動防御?
現在的主動防御,實際上是安全廠商在原有對安全技術方面上的一個延伸,『主動防御』被認為是資源訪問規則控制(HIPS)、資源訪問掃描、惡意行為分析引擎等多種技術的統稱。
它的功能彌補了傳統『特征碼查殺』技術對新病毒的滯後性。然而用戶眼中的主動防御,應該是可以自動實現對未知威脅的攔截和清除,就像免疫一樣。而主動免疫是國際前沿的反rootkit技術、自動識別白名單技術、超級權限管理技術的綜合體。比起主動防御來,主動免疫技術給未知程序釋放了一定空間,在未知的病毒和木馬還未進入或者接觸時,給用戶電腦打了『免疫』針,即便是這些有害程序進來,用戶也不可能被其侵害。主動免疫的技術不僅對病毒木馬的權限進行控制,同時對於其他未知程序將通過一些手段來滿足他們正常運行的權限。
無論是主動免疫,還是主動防御,我們都看到安全廠商由殺到防的轉型,來應付現今的病毒木馬超級繁殖的事態。隨著保障安全難度的進一步加大,用戶更希望安全企業加快研發和創新的步伐,真正實現『魔高一尺,道高一丈』的口號,而不是只在嘴皮子上下功夫!