“殺毒軟件已死”的說法已有數(shù)年，但殺毒軟件卻依然波瀾不驚地保護(hù)著各種計(jì)算機(jī)網(wǎng)絡(luò)和操作系統(tǒng)的安全。

賽門鐵克信息安全高級(jí)副總裁布萊恩·戴伊（Brian Dye）今年年初宣告，提供系統(tǒng)保護(hù)的殺毒軟件已經(jīng)死亡。鑒于他在殺毒界的地位，這個(gè)斷論的確引起業(yè)界各方面的重視。

不過，盡管殺毒軟件的有效性近年來一直在不斷衰退，筆者認(rèn)為對(duì)殺毒軟件進(jìn)行死刑宣判還是不靠譜的。

當(dāng)然，隨著惡意軟件復(fù)雜性的不斷增長，僅使用基于特征的殺毒軟件作系統(tǒng)保護(hù)，必定有些力不從心。目前幾乎有一半以上的威脅，殺毒軟件都阻止不了，而且領(lǐng)先的殺毒軟件企業(yè)也一直在引導(dǎo)人們，讓大家理解，僅僅安裝那些基于特征庫的殺毒軟件是不夠的。

今年六月，一份面向300名信息安全專業(yè)人士對(duì)殺毒軟件滿意度進(jìn)行的一項(xiàng)調(diào)查顯示，85%的人都不相信殺毒軟件可以阻止針對(duì)特定目標(biāo)的攻擊，比如高級(jí)持續(xù)性威脅（APT）和網(wǎng)絡(luò)釣魚。此外，殺毒軟件對(duì)于零日漏洞更是無可奈何。

但在當(dāng)今威脅四伏的環(huán)境中，基于特征的殺毒軟件對(duì)于系統(tǒng)安全仍然做著重大的貢獻(xiàn)。如果你去任何一家到處部署著殺毒軟件的企業(yè)說，“殺毒軟件已死，把它們都從系統(tǒng)中刪除吧”，可以想像，有多少人會(huì)像殺毒軟件對(duì)待病毒一樣的對(duì)待你。

在系統(tǒng)保護(hù)中，阻止威脅只是防病毒工作的一部分。除了對(duì)病毒進(jìn)行阻止，殺毒軟件還要對(duì)病毒進(jìn)行清理，將它們從系統(tǒng)中清除。如果說當(dāng)前殺毒軟件的架構(gòu)和能力就是殺毒行業(yè)的未來，那肯定不對(duì)，但這與“殺毒軟件已死”是兩回事。

而且，將殺毒軟件限定為基于病毒庫的殺毒技術(shù)也是不全面的。實(shí)際上，現(xiàn)在的殺毒軟件應(yīng)該說是具備了多種防護(hù)手段的，反惡意軟件的工具。而那些只基于特征庫來殺毒的防病毒軟件，在本世紀(jì)初就已經(jīng)開始消亡了。

具有惡意軟件防御能力的殺毒軟件在企業(yè)中仍然并將繼續(xù)得到重用，其效用甚至和最新的在線防御平臺(tái)，如漏洞防御系統(tǒng)一樣強(qiáng)大。殺毒軟件廠商現(xiàn)在應(yīng)該做的是提供一個(gè)完整的端到端解決方案，而本來只做漏洞防御系統(tǒng)的供應(yīng)商反倒需要在他們的系統(tǒng)中添加惡意軟件檢測和修復(fù)功能。

說到這里，我們回過頭來再看看“殺毒軟件已死”的由來。早在2006年，某個(gè)調(diào)查機(jī)構(gòu)發(fā)布了一份題為《殺毒軟件已死》的報(bào)告。該報(bào)告聲稱，殺毒軟件將被“使用白名單清除惡意軟件的工具所取代。”的確，白名單確實(shí)在某些環(huán)境中得到了有效的應(yīng)用，但它也有著明顯的缺點(diǎn)。

對(duì)于某些可控的系統(tǒng)環(huán)境，如零售終端、工業(yè)制造和醫(yī)療系統(tǒng)等，白名單的確是一個(gè)不錯(cuò)的解決方案。但在終端用戶環(huán)境中的時(shí)候，因?yàn)榻K端用戶會(huì)不斷地向他們的設(shè)備中添加應(yīng)用程序，以至維護(hù)成本太高而最終無法持續(xù)。

簡而言之，對(duì)于服務(wù)器、數(shù)據(jù)中心，或可控的系統(tǒng)環(huán)境，白名單是一個(gè)非常好的解決方案，但對(duì)于使用傳統(tǒng)臺(tái)式機(jī)、筆記本電腦等終端設(shè)備的用戶，則面臨沒完沒了的名單維護(hù)問題，這是一個(gè)大麻煩。

針對(duì)殺毒軟件無法應(yīng)對(duì)復(fù)雜威脅的批評(píng)并不是最近才有的。一些殺毒軟件本身就包含漏洞，實(shí)際上讓安裝了這些殺毒軟件的系統(tǒng)更容易受到攻擊。這是因?yàn)闅⒍拒浖姆啦《疽嫱ǔ６家韵到y(tǒng)的最高權(quán)限運(yùn)行，這也意味著攻擊者可能使用的權(quán)限。而且為了處理所有的文件類型，殺毒軟件會(huì)調(diào)用文件格式解析器，而文件格式解析器又是一個(gè)可能的漏洞發(fā)源地。

但不管怎樣，殺毒軟件并不是批評(píng)者口中所說的那樣不堪。

殺毒軟件在過去五年里已經(jīng)得到了進(jìn)化并可以提供更多的防護(hù)。例如，殺毒軟件不僅增加了更多的啟發(fā)式功能，使它可以更有效地應(yīng)對(duì)不明特征的威脅，而且也可以阻擋各種惡意軟件，如rootkit、遠(yuǎn)程訪問木馬（RAT）、鍵盤記錄器、間諜軟件、廣告軟件、乃至“可能不必要的應(yīng)用程序”。殺毒軟件甚至還可以保護(hù)用戶免受包括電子郵件、社交媒體和通過網(wǎng)絡(luò)傳播的文件等各種惡意軟件載體的威脅。

網(wǎng)絡(luò)攻擊在數(shù)量上和復(fù)雜性上將持續(xù)增長，殺毒軟件也將一直會(huì)是用戶和組織大型安全解決方案中應(yīng)對(duì)網(wǎng)絡(luò)攻擊的的一個(gè)組成部分。

殺毒軟件不會(huì)死，死的是止步不前的技術(shù)，固步自封的思想。此為是。