您现在的位置是:首页 > IT基础架构 > 网络与安全 >

全解析企业反病毒保护:AV签名值得吗?

2011-03-21 17:00:00作者: 来源:

摘要许多企业长期以来都是依靠基于签名的防病毒技术保护自身免受信息安全威胁的侵害。很多时候,杀毒软件一直是并且现在还是许多公司唯一拥有的反恶意软件手段,这无意中给公司带来了风险。 ...

许多企业长期以来都是依靠基于签名的防病毒技术保护自身免受信息安全威胁的侵害。很多时候,杀毒软件一直是并且现在还是许多公司唯一拥有的反恶意软件手段,这无意中给公司带来了风险。

期望防毒软件能够保护一个系统远离所有类型的威胁已经不再合理(即便曾经合理过)。作为数量众多且前所未见的病毒类型,蠕虫病毒及其他恶意软件还在增长;传统的基于签名的防毒软件已经跟不上病毒的步伐,常常被病毒绕过,导致了更多的感染。一些防毒软件要么成为病毒的直接攻击目标,要么给用户使用带来严重的问题。

病毒和恶意软件的升级迫使安全厂商在其核心的防毒软件中添加新的保护措施——如云查杀,以加强反恶意软件的能力;同时企业们也正在设法阻止日益增多的病毒以及针对企业的定向攻击。在这篇文章中,我们将要讨论,继续为防毒软件套件花钱是否值得,或者企业们是否应该尝试一下其他类型的能够减轻安全威胁的技术。

谁该关心杀毒软件?

首先,是那些并没有意识到基于签名的杀毒软件查杀性能越来越差的人。咨询公司Cyveillance去年报告说,根据他们对十多个流行的反恶意软件的测试,发现这些软件平均只能检测不到20%的新出现的恶意攻击。这意味着,随着僵尸网络的增加,对敏感数据和网上银行的攻击越来越多,每一家企业都应该重新评估杀毒软件是否还值得付出金钱和成本去管理。

通常,将杀毒软件作为保护系统的全面策略的一部分是一个好主意,且并不一定要使用基于签名的防毒产品。许多更加高级的杀毒软件,如基于行为检测的、或基于云查杀和云增强的,能够提供更大的安全保障。企业应该小心评估和测试先进的杀毒软件,确保这些软件可以集成到现有的安全策略中,并且对整个系统来说足够成熟稳定。因为和传统的杀毒软件相比,采用新技术的杀毒软件还不够成熟。

有些人认为只是桌面系统才需要杀毒软件,但是许多服务器也需要杀毒软件,以便对客户端系统进行持续的保护——例如文件服务器可能会允许没有保护措施的客户端下载服务器上可能已被感染的文件——同时还需要提供措施来保护服务器本身。过去,企业们花了大量的金钱在杀毒软件上,但是,以后他们应该考虑将部分钱用于构建别的保护措施,同时保持对杀毒软件一定程度的使用。底线就是,如果你的杀毒软件没有起到保护服务器和客户端的效果,那么就考虑更换杀毒软件或者换一种保护措施。

 
企业还可以做什么?

大多数企业会发现他们应该采取一种更加综合的方法,作为仅使用杀毒软件的补充,以增强系统防护,并建立一个多层次、有纵深的安全体系。考虑到处于更加陈旧状态的AV签名,这将特别有用。

当涉及到企业的病毒防护时,白名单、灰名单以及沙箱等技术对众所周知的主机安全非常重要。全面补丁管理、防火墙、IDS/IPS等这些主机安全措施,一般的企业都应该已经具备。白名单的意思是预先定义允许在某一系统上运行的程序名单并阻止名单之外的所有程序的运行,这种方法可以防止多种类型的恶意软件。灰名单与白名单有点类似,但是,就如它的名字所暗指的那样,灰名单没有白名单那么严格。灰名单技术对不在名单内的可执行文件的签名和行为进行安全检查,以确定其是否属于恶意软件;安全检查可以是基于云服务的,能够及时跟进最新的查杀项目。如果被检查的程序没有被确定为恶意的,那么就允许运行。沙箱技术将可执行文件放入与主机系统隔离的环境中运行,如果该文件是恶意的,那么就可以防止它感染主机系统。上述所有技术,或者任何一个,都可以为系统带来更强大的安全防护。

其他一些技术如全盘加密和虚拟化(虚拟化技术如果用于安全防护,将与沙箱技术类似)等,也可以用于在不同场景下对系统进行保护。全盘加密技术可在系统关机被盗的情况下保护你的数据;虚拟化技术则是将未授信的代码或程序放置在独立的虚拟机上运行,而不是在主系统上,大大减少了恶意软件利用漏洞影响底层系统的可能,从而能够减少系统风险。一些对安全性能有严格要求的公司可能还希望拥有端口控制(这样可以控制允许被接入系统的设备的种类)或者能够控制数据拷贝目的地的DLP产品。

对杀毒软件进行评估,确定哪些安全防护手段是必要的,这个建议适用于所有的系统,不管是何种操作系统或硬件,而且也包括智能手机平台以及其他非传统的终端设备。但你要记住:并不是所有系统都需要所有种类的保护,保护措施要与系统的具体要求相适宜。例如,不接触敏感数据的系统就不需要全盘加密;如果一台服务器不允许客户端用DNS等易传播恶意软件的协议进行连接的话,它甚至都不需要安装防恶意软件。这些建议都假设操作系统已得到很好的保护、用户没有以管理员身份登录,并且用户都具有基本的安全防范意识。

结论

宣告基于签名的杀毒软件的死亡是毫无根据的,但是该类软件已处于危险期,必须加以改变并适应新一波针对特定目标的攻击浪潮。现在所谓的杀毒软件最终也会像其他类型的软件一样,被满足市场需要的新的软件所替代。如果一个企业还没有仔细评估过关于杀毒软件的立场,那么是时候考虑未来的需求,然后再对那些满足要求的软件或保护措施进行投资了。


(本文不涉密)
责任编辑:

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们