在過去幾年中��,我們的計算機受到了前所未有的攻擊��,惡意軟件正變得越來越聰明�����,越來越強大�����。我們不禁要想,在未來的互聯(lián)網(wǎng)世界里�����,防病毒軟件還是不是拼圖的一部分?
安全從來沒有存在于PC世界
在以前的很長一段時期里�,我們今天所說的安全性問題根本不存在于PC世界。防病毒軟件的出現(xiàn)并不是為了幫助早期的操作系統(tǒng)和軟件抵御什么攻擊����,而更多地是解決使用者自己的失誤。它們單獨工作��,很少與網(wǎng)絡(luò)連接��。在那時�,除了極少數(shù)像1988年11月的莫里斯蠕蟲等幾乎沒有什么惡意軟件能夠造成嚴(yán)重的威脅。
然而隨著網(wǎng)絡(luò)連接和下載的盛行���,惡意軟件也開始流行普及。這時的防病毒程序演變成普遍性的系統(tǒng)保護套件���,監(jiān)視和守衛(wèi)著一切從網(wǎng)絡(luò)到磁盤的活動���。
問題是這些防病毒解決方案對系統(tǒng)資源的消耗是可怕的�����。一臺PC可能會因此變得更安全����,但人們無法忍受它以一半的速度運行���。更糟糕的是這些程序創(chuàng)造出的虛假安全感���,人們經(jīng)常在日常更新后就放松了警惕,并因此遭受了攻擊�。
限制權(quán)限終于出現(xiàn)
保護機制的重大變化是加入了用戶權(quán)限。一個程序在默認(rèn)情況下不能夠隨意改變系統(tǒng)的任何配置��。如果要修改系統(tǒng)設(shè)置���,必須擁有管理員的權(quán)限���。
Linux、OS X和NT版本的Windows(NT�、2000、XP和以上)都設(shè)置了這種權(quán)限限制。但是直到最近�����,這種權(quán)限功能仍然不能很好的發(fā)揮作用:比如在Windows中大多數(shù)人都會以管理員的身份登錄��,這是因為如果不這樣就太麻煩了����。有太多的Windows應(yīng)用程序在編寫時仍然假設(shè)它們可以改變一切,直到Vista和User Account Control出現(xiàn)之后����,情況才發(fā)生了變化:Windows程序員現(xiàn)在開始養(yǎng)成了不使用root權(quán)限運行的習(xí)慣。
惡意軟件的殺手锏:零日攻擊
如果操作系統(tǒng)處于完全沒有bug的環(huán)境中�����,這時限制用戶權(quán)限可能是個相對安全的辦法�����。但不幸的是�����,bug沒法不存在����,這為惡意軟件的制造者們提供了探索那些新的沒來得及打上補丁的漏洞的機會,比如臭名昭著的“零日攻擊”�����。近期發(fā)現(xiàn)的OS X內(nèi)核缺陷也同時強調(diào)了這一點:有人完全可以通過這樣的漏洞繞過權(quán)限機制�,直接寫入內(nèi)核空間。
在零日攻擊之外��,更多的問題是在最終用戶仍然有許多漏洞長期沒有打上補丁����,并最終可能為壞人敞開大門。正如51CTO此前曾經(jīng)介紹過的�����,網(wǎng)絡(luò)安全企業(yè)Qualys的研究發(fā)現(xiàn)行業(yè)中打補丁的時間一般是30天����。而諷刺的是最長時間得不到修補的軟件正是那些最廣泛使用的:微軟Office、Windows Server 2003����、Sun Java和Adobe Acrobat����。
白名單真的有效嗎?
在系統(tǒng)安全性中的一個相對較新的方法是白名單��,也就是預(yù)先定義好允許運行的程序目錄��。白名單能夠非常嚴(yán)厲的對待任何運行的程序��,這使它能在本地防御中良好的對抗例如keylogger等惡意軟件���。但如51CTO.com安全頻道此前報道�,有觀點認(rèn)為�����,白名單可能會影響殺毒軟件市場�。
白名單中比較難辦的問題是需要創(chuàng)建和維護列表,這和黑名單一樣���。但好的一面是白名單比黑名單往往要小得多����,更易于維護,也直接有效����。例如Windows中的Group Policy可以基于文件路徑等設(shè)置白名單��。
另一種方法是由第三方維護白名單�����,例如使用卡巴斯基實驗室預(yù)先創(chuàng)建的白名單���,只裝載和運行那些“好”的軟件���。本地用戶當(dāng)然也可以添加自己需要的已知的常規(guī)應(yīng)用。
追溯保護價值何在?
如果反病毒的概念需要擴大到包括一般性的“系統(tǒng)保護”�����,那么它現(xiàn)在還應(yīng)該包括如何從災(zāi)難中恢復(fù)���,或者怎樣容納災(zāi)難��。
容納災(zāi)難可以用“沙箱”的方法實現(xiàn)����,允許任何下載或安裝的軟件運行在一個虛擬的空間中,并且分析其行為�。沙箱操作在目前確實幫助提高了安全性,而從長遠來看��,它最好發(fā)展成為一個成熟的平臺��,而不再作為一項附加應(yīng)用�。
災(zāi)難恢復(fù)方法是假定事情可能出錯,但可以輕松地進行恢復(fù)����。Vista和Windows 7或者OS X的全系統(tǒng)鏡像可以提供很大的援助,結(jié)合沙箱技術(shù)能夠更加有效����。
針對惡意軟件的最好的長期解決方案需要基于平臺完成,盡管目前軟件的復(fù)雜性使目前還不太可能搭建起一個統(tǒng)一的安全平臺����,這樣的平臺不可能十全十美,但可以達到更高程度的安全性�,通過不斷的嚴(yán)格內(nèi)外部改進。而最有用的臨時性解決方案仍然會來自第三方���,但需要改變的老觀念是“掃描一切行動”���,它在解決問題的同時帶來了更多的麻煩�����。
也許,防病毒軟件沒有死���,而會改變形狀以適應(yīng)時代的要求�����,它將會發(fā)展成為主流計算的補充方案��,繼續(xù)幫助我們防范各種威脅���。
相關(guān)推薦:
網(wǎng)絡(luò)工程:Untangle路由器如何建立安全的VPN 網(wǎng)絡(luò)工程:安全防忽悠之安全網(wǎng)關(guān)趨勢分析
