反惡意軟件早已不再是簡單的簽名匹配，現(xiàn)在的反惡意軟件技術(shù)添加了很多新的檢測技術(shù)。企業(yè)應(yīng)該重新考慮如何選擇反惡意軟件……

為了選出最佳反惡意軟件，你必須了解威脅、如何檢測威脅以及相關(guān)產(chǎn)品如何修復(fù)感染。反惡意軟件早已不再是簡單的簽名匹配，現(xiàn)在的反惡意軟件添加了很多新的檢測技術(shù)來確定軟件程序是否為惡意以及是否可以在設(shè)備上執(zhí)行。在我們討論選擇最佳反惡意軟件的主要考慮因素之前，讓我們先來看看惡意軟件編寫者使用的戰(zhàn)術(shù)，他們的戰(zhàn)術(shù)讓檢測工作非常具有挑戰(zhàn)性。

防病毒（AV）技術(shù)源自一個非常簡單的想法：如果代碼是不好的，就阻止它。因此，防病毒廠商懷揣著一個“壞東西”的大名單，并將每個進入設(shè)備的文件與這個清單進行比較。另一方面，攻擊者們的對策是稍微改變每一個惡意文件，讓每個文件都很接近，但并不完全類似于已知的壞文件。這是簡單的逃避檢測的方法。對此，供應(yīng)商們分發(fā)數(shù)百萬的新簽名到每個設(shè)備，很顯然，這種戰(zhàn)略和業(yè)務(wù)模式并不能擴展。

然后，業(yè)界開始嘗試一種積極的安全模式，即對授權(quán)軟件程序建立白名單。如果軟件沒有被授權(quán)，將無法運行。這種方法能夠很好地阻止惡意軟件（它不可能出現(xiàn)在白名單中），但這嚴(yán)重影響了可用性。用戶將需要非常頻繁地加載軟件，如果他們想要使用的軟件不在白名單中，他們會感到很懊惱。

黑名單模式不能進行擴展，而白名單模式無法讓用戶接受。因此，該行業(yè)不得不從頭來過，重新考慮惡意軟件的運作方式以確定最佳檢測方法。

惡意軟件的基本要素

所有惡意軟件的基本元素是一個文件，這個文件首先會執(zhí)行，隨后做壞事。反惡意軟件的作用是在它們做壞事之前檢測出這些文件。鑒于惡意軟件編寫者能混淆壞文件，檢測不能再相信文件看起來像什么；而應(yīng)該評估“每個文件做什么”。

要明確，查找已知惡意文件仍然是有用的，但這并不能擴展到每個設(shè)備上，所以反惡意軟件供應(yīng)商利用云計算來記錄保存數(shù)十億文件（軟件哈希）。每個設(shè)備上的反惡意軟件代理檢查文件的“信譽”來確定1）之前他們是否看過它2）是否是惡意文件。

阻止已知惡意文件，而已知合法文件則允許執(zhí)行。那么，當(dāng)你遇到從未見過的文件呢？這正是下一代反惡意軟件發(fā)揮作用的地方。代理發(fā)送未知文件到服務(wù)來分析該文件，通過在隔離環(huán)境來執(zhí)行該文件來查找是否存在惡意因素。然后，該服務(wù)會發(fā)回一份“裁決”到設(shè)備以允許或阻止該文件。

很顯然，在這個過程中存在一定的延遲性，在得到明確判斷之前，你可以確定是否讓未知文件通過（這樣做存在風(fēng)險）或者隔離該文件。任何沒有利用這種基于云的反惡意軟件技術(shù)都無法阻止今天的攻擊。#p#

在哪里檢測惡意軟件

大多數(shù)業(yè)內(nèi)人士已經(jīng)習(xí)慣認(rèn)為反惡意軟件需要直接在終端設(shè)備上運行?；诤弦?guī)要求，很多企業(yè)被迫采用這種部署模式，即在每個Windows設(shè)備上運行反惡意軟件。隨著Mac和Linux加速進入企業(yè)桌面和數(shù)據(jù)中心，反惡意軟件也需要考慮這些平臺的惡意軟件檢測。但是要記住，MacOSX和Linux的底層架構(gòu)能夠比WindowsXP更好地阻止惡意軟件。

虛擬化的出現(xiàn)讓選擇最佳反惡意軟件技術(shù)更加復(fù)雜化。考慮一下，如果虛擬設(shè)備上運行的每個客戶機運行一個反惡意軟件代理，你將需要在相同硬件上反反復(fù)復(fù)運行相同的代碼，這違背了虛擬化的目的。所以，反惡意軟件供應(yīng)商現(xiàn)在優(yōu)化其引擎來運行在單個客戶機（或在管理程序內(nèi)），并與虛擬化環(huán)境通信以確保虛擬機資源得到優(yōu)化。

回到盡可能阻止惡意文件靠近外圍的想法，反惡意軟件應(yīng)該被部署在更靠近入口點的位置--在企業(yè)外圍或者云服務(wù)內(nèi)。檢查惡意軟件最方便的地方是在web或者電子郵件安全網(wǎng)關(guān)或者云服務(wù)。由于電子郵件和Web仍然是主要攻擊對象，通常這都是第一個部署的位置。

還有一些新的設(shè)備，我們一直稱其為基于網(wǎng)絡(luò)的惡意軟件檢測，這種檢測方法查看所有進入的網(wǎng)絡(luò)流量，并對進入網(wǎng)絡(luò)的文件進行分析，這與我們上面描述端點部署類似—確保具有攻擊特征的文件無法進入。

處理辦法

當(dāng)你發(fā)現(xiàn)惡意文件時應(yīng)該怎么做？這時候，你需要結(jié)合其他已經(jīng)部署的系統(tǒng)/控制。所以你尋找的最佳反惡意軟件技術(shù)需要能夠與這些系統(tǒng)或設(shè)備互操作，因為你的網(wǎng)絡(luò)設(shè)備需要阻止/隔離可能被感染的設(shè)備。你還需要確保警報發(fā)送到報告控制界面，反惡意軟件管理系統(tǒng)、SIEM/日志管理產(chǎn)品、或幫助臺系統(tǒng)來啟動修復(fù)過程。

盡管你付出了最大努力來進行檢測，但如果你遭受惡意軟件感染，通常最佳反惡意軟件技術(shù)都有清理設(shè)備的功能。在控制界面中，你只需要點擊一個按鈕，設(shè)備就會被修復(fù)。隨著惡意軟件變得更加復(fù)雜和“惡毒”，清理成了一場必敗之仗。惡意攻擊者都會設(shè)法留下一些惡意軟件的殘存來確保再次感染。所以，企業(yè)應(yīng)該反復(fù)進行清理。你明明可以進行多次清理，為什么只清理一次呢？

因此，我們現(xiàn)在建議重新鏡像被感染的設(shè)備。雖然這種方法通常會導(dǎo)致數(shù)據(jù)丟失，并且給用戶帶來不便，但鑒于再次感染的高風(fēng)險，我們認(rèn)為確保惡意軟件已被根除更加重要。