安全研究人員擔(dān)心,殺毒產(chǎn)品中的關(guān)鍵性安全漏洞往往極易被發(fā)現(xiàn)及利用。
想象一下,如果貴公司的IT部門來電稱我們的工作站受到了入侵,我們必須立即停止正常業(yè)務(wù)運(yùn)作,這時(shí)大家肯定相當(dāng)憤怒:我們已經(jīng)順利通過了企業(yè)設(shè)置的安全培訓(xùn),也確定自己從來沒有打開過任何可疑的電子郵件附件或者點(diǎn)擊任何惡意鏈接; 另外,我們也清楚自己的企業(yè)擁有強(qiáng)大的修復(fù)策略并始終保持計(jì)算機(jī)上的軟件處于最新版本; 與此同時(shí),我們也絕不是那種會(huì)在工作時(shí)間內(nèi)瀏覽非工作類網(wǎng)站內(nèi)容的家伙。那么,到底是哪里出了問題?
幾天之后,一項(xiàng)驚人的結(jié)論被擺在我們面前——企業(yè)雇用的安全調(diào)查廠商調(diào)查出了事故的源頭:黑客利用到了被安裝在我們計(jì)算機(jī)上的企業(yè)殺毒程序中的某項(xiàng)缺陷,而該程序的作用恰恰是保護(hù)我們免遭攻擊侵害??v觀整個(gè)過程,攻擊者不過是向身為受害者的我們發(fā)送了一份郵件消息——而我們甚至根本沒有將其打開。
這種威脅場(chǎng)景聽起來可能有些牽強(qiáng),但需要強(qiáng)調(diào)的是,其絕對(duì)真實(shí)存在。根據(jù)漏洞研究人員對(duì)以往殺毒程序進(jìn)行的分析,這種攻擊活動(dòng)非常有可能成為現(xiàn)實(shí),甚至可能已經(jīng)在無聲無息中出現(xiàn)。一部分研究人員多年來一直在試圖發(fā)出警告,從而強(qiáng)調(diào)端點(diǎn)殺毒產(chǎn)品當(dāng)中關(guān)鍵性缺陷被發(fā)現(xiàn)及利用的便捷性與可行性。
自去年6月開始,研究人員就發(fā)現(xiàn)并報(bào)告了來自各類殺毒產(chǎn)品中的數(shù)十項(xiàng)嚴(yán)重缺陷,其相關(guān)廠商包括卡巴斯基實(shí)驗(yàn)室、ESET、Avast、AVG Technologies、英特爾Security(原McAfee)以及Malwarebytes等等。其中相當(dāng)一部分安全漏洞會(huì)允許攻擊者以遠(yuǎn)程方式在目標(biāo)計(jì)算機(jī)上執(zhí)行惡意代碼,進(jìn)而濫用殺毒產(chǎn)品自身提供的功能,最終在受影響系統(tǒng)中實(shí)現(xiàn)權(quán)限提升甚至壓制住其它第三方應(yīng)用中的反惡意防御機(jī)制。
其中一部分安全漏洞的利用方式甚至完全無需涉及用戶界面,使得目標(biāo)計(jì)算機(jī)創(chuàng)建蠕蟲病毒——即擁有自我傳播能力的惡意程序。在多數(shù)情況下,攻擊者傾向于單純向潛在受害者發(fā)送經(jīng)過精心設(shè)計(jì)的特定郵件消息,從而將惡意代碼注入至由此類設(shè)備訪問的合法網(wǎng)站或者通過U盤將惡意文件傳播到受害者的計(jì)算機(jī)當(dāng)中。
即將在未來全面襲來的攻擊活動(dòng)
有證據(jù)表明,對(duì)殺毒產(chǎn)品者攻擊的行為——特別是在企業(yè)迂闊發(fā)中——既具備可能性又具備可行性。一部分研究人員認(rèn)為,此類攻擊活動(dòng)也許已然發(fā)生,甚至殺毒產(chǎn)品廠商尚未意識(shí)到這一點(diǎn)——因?yàn)槭芎φ邤?shù)量仍然非常有限。
各國(guó)政府的情報(bào)機(jī)構(gòu)對(duì)于殺毒軟件中的缺陷一直抱有很大興趣。新聞網(wǎng)站The Intercept早在去年6月就報(bào)道稱,英國(guó)政府通信總部(簡(jiǎn)稱GCHQ)曾于2008年提出申請(qǐng),要求更改相關(guān)要求以允許該機(jī)構(gòu)對(duì)來自卡巴斯基實(shí)驗(yàn)室的殺毒產(chǎn)品進(jìn)行逆向工程并從中尋找薄弱環(huán)節(jié)。美國(guó)國(guó)家安全局亦致力于研究殺毒產(chǎn)品,從而規(guī)避其檢測(cè),該網(wǎng)站援引由愛德華斯諾登披露的部分國(guó)安局文件內(nèi)容稱。
某疑似由國(guó)家提供贊助的間諜活動(dòng)組織Careto——也稱The Mask——明確試圖利用卡巴斯基殺毒產(chǎn)品中的一項(xiàng)安全漏洞以回避檢測(cè)。該組織于2014年2月對(duì)歸屬于數(shù)百個(gè)政府機(jī)關(guān)及私營(yíng)機(jī)構(gòu)的計(jì)算機(jī)設(shè)備進(jìn)行了入侵,影響范圍跨越超過30個(gè)國(guó)家。
盡管這里提到的主要是利用殺毒軟件中的安全漏洞規(guī)避檢測(cè)的例子,但事實(shí)上受感染殺毒產(chǎn)品遭遇遠(yuǎn)程代碼執(zhí)行狀況的案例也時(shí)有發(fā)生,甚至有某些特定中間商會(huì)通過不受監(jiān)管的地下市場(chǎng)對(duì)此類漏洞進(jìn)行大量出售。
去年意大利監(jiān)控廠商Hacking Team有大量郵件泄露,其中一份文檔顯示某家名為Vulnerabilities Brokerage International的機(jī)構(gòu)出售大量漏洞信息。這份文檔列出了一系列針對(duì)多種殺毒產(chǎn)品的權(quán)限提升、信息泄露以及繞過檢測(cè)機(jī)制等安全漏洞,其中某個(gè)ESET NOD32殺毒軟件中的遠(yuǎn)程代碼執(zhí)行漏洞被標(biāo)記為“已售出”狀態(tài)。
根據(jù)入侵檢測(cè)方案供應(yīng)商Vectra公司首席安全官兼安全研究企業(yè)IOActive公司前任首席技術(shù)官Gunter Ollmann的說法,這種狀況在過去十年中一直存在。目前已經(jīng)有多家廠商專門對(duì)來自不同國(guó)家的主流桌面殺毒產(chǎn)品者逆向工程,從而滿足客戶們的具體要求,他在電子郵件采訪當(dāng)中解釋稱。他們還會(huì)對(duì)現(xiàn)有惡意軟件者逆向設(shè)計(jì),從而保證其具備對(duì)已受感染系統(tǒng)的劫持能力,他表示。
根據(jù)Ollmann的解釋,中國(guó)奇虎360殺毒產(chǎn)品當(dāng)中的一項(xiàng)遠(yuǎn)程安全漏洞在美國(guó)及歐洲的情報(bào)機(jī)構(gòu)處能夠賣出數(shù)萬美元的價(jià)格。
“從國(guó)家的角度來看,從事這種勾當(dāng)顯然不是什么光彩的事,所以其會(huì)將目標(biāo)范圍進(jìn)行嚴(yán)格控制與精心挑選,”Ollmann指出。
如果來自美國(guó)與歐洲的情報(bào)機(jī)構(gòu)對(duì)此類安全漏洞抱有興趣,那么無疑俄羅斯、中國(guó)以及其它網(wǎng)絡(luò)力量自然也已經(jīng)涉入其中。事實(shí)上,中國(guó)與俄羅斯的網(wǎng)絡(luò)間諜集團(tuán)已經(jīng)多次證明了自己的強(qiáng)大能夠以及對(duì)流應(yīng)用內(nèi)未知漏洞的敏感嗅覺,因此利用同樣的技能從殺毒產(chǎn)品中尋求漏洞自然也非難事。
甚至一部分殺毒產(chǎn)品供應(yīng)商廣泛認(rèn)為,專門針對(duì)殺毒產(chǎn)品進(jìn)行的攻擊活動(dòng)具備很高的可行性——盡管截至目前尚無此類事件出現(xiàn)。
“在我們的2016年預(yù)測(cè)當(dāng)中,我們特別提到針對(duì)安全研究人員與安全廠商的攻擊活動(dòng)很可能成為信息安全領(lǐng)域的未來發(fā)展趨勢(shì); 但是,我們認(rèn)為這類活動(dòng)不太可能表現(xiàn)為廣泛攻擊,”卡巴斯基實(shí)驗(yàn)室反惡意軟件研究項(xiàng)目負(fù)責(zé)人Vyacheslav Zakorzhevsky在采訪郵件當(dāng)中表示。“舉例來說,安全研究人員可能會(huì)通過受感染研究工具遭遇攻擊,而且由于一切軟件皆存在著安全漏洞,因此安全軟件本身也很可能在一定程度上成為受影響目標(biāo)。”
殺毒軟件供應(yīng)商Bitdefender公司亦在郵件當(dāng)中表示,針對(duì)商戰(zhàn)安全項(xiàng)目的指向性攻擊活動(dòng)“顯然具備可行性”,但這類活動(dòng)很可能針對(duì)的是企業(yè)環(huán)境而非普通消費(fèi)者。
滲透測(cè)試人員也早已意識(shí)到殺毒產(chǎn)品當(dāng)中所存在的可乘之機(jī)。某位效力于一家大型技術(shù)企業(yè)的安全研究人員指出,他的團(tuán)隊(duì)常常會(huì)在滲透測(cè)試工作當(dāng)中嘗試?yán)脷⒍竟芾矸?wù)器中的安全漏洞,因?yàn)榇祟惙?wù)器擁有覆蓋全部商戰(zhàn)系統(tǒng)的高權(quán)限,且可被作為企業(yè)網(wǎng)絡(luò)內(nèi)部的橫向移動(dòng)平臺(tái)。他不愿透露自己的姓名,因?yàn)樗墓椭鞑⑽磁鷾?zhǔn)其對(duì)此事發(fā)表評(píng)論。
對(duì)企業(yè)殺毒管理服務(wù)器加以利用的作法已經(jīng)被列入Hacking Team所泄露出的漏洞經(jīng)紀(jì)國(guó)際公司產(chǎn)品清單,亦可從某些公共漏洞數(shù)據(jù)庫(kù)中找到。
殺毒方案供應(yīng)商似乎并不擔(dān)心針對(duì)其消費(fèi)級(jí)產(chǎn)品的潛在攻擊活動(dòng)。在大多數(shù)情況下,研究人員認(rèn)為這種攻擊活動(dòng)不太可能出現(xiàn),因?yàn)榈湫偷木W(wǎng)絡(luò)犯罪團(tuán)伙有著其它更受歡迎的攻擊目標(biāo)選項(xiàng),例如Flash Player、Java、Silverlight、IE或者微軟Office。
然而,這類普及度極廣的應(yīng)用程序的開發(fā)商們近年也已經(jīng)開始想辦法緩解其產(chǎn)品遭遇攻擊的可能性。而隨著更多用戶將產(chǎn)品升級(jí)至更新、更具保護(hù)能力的版本,攻擊者們可能被迫尋求新的利用目標(biāo)。因此,未來針對(duì)殺毒產(chǎn)品的攻擊活動(dòng)可能開始面向由數(shù)千萬甚至數(shù)億普通用戶所使用的常規(guī)產(chǎn)品,特別是在網(wǎng)絡(luò)犯罪分子開始將魔爪伸向未知——也就是零日安全漏洞領(lǐng)域之后。事實(shí)上,這類情況此前已經(jīng)出現(xiàn)過。
但單純立足于當(dāng)下,企業(yè)在殺毒產(chǎn)品方面所面臨的攻擊風(fēng)險(xiǎn)仍然要遠(yuǎn)高于普通消費(fèi)者,特別是那些頻繁遭受網(wǎng)絡(luò)間諜活動(dòng)侵?jǐn)_的敏感行業(yè)。
入侵殺毒產(chǎn)品難度極低
殺毒軟件是由人類所創(chuàng)造,而人類總會(huì)犯錯(cuò)誤。當(dāng)然,我們不可能要求此類程序完全不存在任何bug,但正常來講殺毒產(chǎn)品中的安全缺陷較其它軟件類型要更少,其利用難度也相應(yīng)更高一些。
我們也有理由認(rèn)為各企業(yè)成為IT安全行業(yè)中的組成部分,包括嚴(yán)格遵循安全編程指南以在自家產(chǎn)品當(dāng)中實(shí)現(xiàn)常見的反漏洞防御機(jī)制,并定期執(zhí)行代碼審計(jì)與漏洞測(cè)試。
然而遺憾的是,以上觀點(diǎn)只是我們的一廂情愿——殺毒業(yè)界的實(shí)際情況并非如此。
殺毒程序需要有能夠?qū)碜远喾N來源的數(shù)據(jù)及文件類型進(jìn)行檢查,具體包括網(wǎng)頁(yè)、電子郵件、本地文件系統(tǒng)、網(wǎng)絡(luò)共享信息、USB接入存儲(chǔ)設(shè)備乃至更多。這些殺毒產(chǎn)品亦由大量組件所構(gòu)成,旨在實(shí)現(xiàn)多層級(jí)保護(hù)效果:負(fù)責(zé)攔截網(wǎng)絡(luò)流量的驅(qū)動(dòng)程序、負(fù)責(zé)與瀏覽器及郵件客戶端相集成的插件、圖形用戶界面、執(zhí)行基于簽名、行為以及云環(huán)境的殺毒引擎掃描子系統(tǒng)等等。
對(duì)于安全研究人員來說,這種豐富的功能與定位意味著龐大的攻擊面,也就是說攻擊者能夠以多種方式從其中找到大量潛在漏洞代碼。另外,在對(duì)殺毒軟件進(jìn)行審視時(shí),我們會(huì)發(fā)現(xiàn)其中有大量代碼擁有極高的運(yùn)行權(quán)限,而這一直是安全研究人員應(yīng)該盡可能避免的作法。
研究結(jié)果顯示,殺毒產(chǎn)品會(huì)提供“易于被利用的攻擊面,并顯著增加目標(biāo)遭受針對(duì)性攻擊的機(jī)率,”谷歌公司安全研究員Tavis Ormandy在去年9月的一篇博文當(dāng)中指出。在這篇文章中,他同時(shí)對(duì)自己在過去幾個(gè)月內(nèi)所發(fā)現(xiàn)的殺毒軟件漏洞做出了分析。“出于這個(gè)原因,各安全產(chǎn)品供應(yīng)商有責(zé)任盡可能提升安全開發(fā)標(biāo)準(zhǔn),從而最大程度降低其軟件造成危害的可能性。”
自去年6月以來,Ormandy先后從來自ESET、卡巴斯基實(shí)驗(yàn)室、AVG以及Avast等廠商的殺毒產(chǎn)品當(dāng)中發(fā)現(xiàn)并報(bào)告了超過25種安全漏洞。而在此之前,他還曾經(jīng)從Sophos以及微軟的產(chǎn)品中發(fā)現(xiàn)類似的安全缺陷。
Ormandy所發(fā)現(xiàn)的大部分安全缺陷源自對(duì)文件及數(shù)據(jù)的解析操作,而這也是歷史上此類漏洞的一種慣有來源。
“未來,我們將看到更多殺毒軟件拆包工具、模擬器以及沙箱解析方案,從而保證其無需以SYSTEM權(quán)限加以運(yùn)行,”Ormandy指出。“Chromium沙箱屬于開源項(xiàng)目且為眾多主流產(chǎn)品所使用。請(qǐng)不要坐等網(wǎng)絡(luò)蠕蟲將矛頭指向我們的產(chǎn)品,或者執(zhí)行面向用戶的針對(duì)性攻擊,馬上行動(dòng)將沙箱機(jī)制加入到各位的發(fā)展路線圖中來。”
Ormandy并不是第一位對(duì)殺毒產(chǎn)品中缺少沙箱等安全應(yīng)對(duì)機(jī)制,且各組件以系統(tǒng)級(jí)別權(quán)限加以運(yùn)行這一現(xiàn)狀發(fā)出警告的專家。
2014年,一位名為Joxean Koret的安全研究人員就曾發(fā)現(xiàn)14款殺毒產(chǎn)品及其掃描引擎中存在著遠(yuǎn)程與本地可利用安全缺陷。他給出的建議與Ormandy大致相同。
根據(jù)Koret的說明,殺毒行業(yè)至少應(yīng)當(dāng)采取權(quán)限隔離以及沙箱機(jī)制等技術(shù)手段提供較高的安全水平,同時(shí)也需要盡可能對(duì)殺毒產(chǎn)品本身進(jìn)行保護(hù)。
目前有很多此類程序中存在著可被中間人攻擊所利用的漏洞,因?yàn)樗鼈儾⑽词褂肧SL/TLS進(jìn)行通信,而其下載的各組件往往亦不具備簽名。它們沒有采用任何現(xiàn)代瀏覽器所廣泛擁有的反漏洞機(jī)制,也沒有使用模擬方式掃描可執(zhí)行文件或者選擇內(nèi)存安全語言,他通過郵件告訴我們。
更糟糕的是,有證據(jù)表明很多殺毒產(chǎn)品甚至根本沒有針對(duì)安全缺陷進(jìn)行過適合的合規(guī)審計(jì),Koret表示。“舉例來說,著眼于Tavis Ormandy所發(fā)現(xiàn)的各安全漏洞,我們明顯可以發(fā)現(xiàn)其從未對(duì)軟件本身進(jìn)行過審計(jì),因?yàn)榇祟惏踩┒赐耆梢栽诿恐芤淮蔚墓潭ㄔu(píng)估過程中被審計(jì)工具所發(fā)現(xiàn)。”
為了避免潛在的擴(kuò)散可能性,殺毒軟件廠商應(yīng)當(dāng)盡可能降低產(chǎn)品運(yùn)行所采用的權(quán)限級(jí)別,添加沙箱敏感性功能并確保其代碼擁有理想的安全水平與成熟度,漏洞情報(bào)企業(yè)Risk Based Security(簡(jiǎn)稱RBS)公司首席研究官Carsten Eiram指出。
自2010年1月1日開始,已被正式報(bào)告的安全軟件與設(shè)備內(nèi)安全漏洞已經(jīng)多達(dá)1773個(gè)——其中2015年曝出的有372個(gè),而且大部分都可通過輸入篡改的方式被實(shí)際利用,RBS公布的數(shù)據(jù)顯示。
“安全供應(yīng)商應(yīng)當(dāng)承擔(dān)起提高安全編碼標(biāo)準(zhǔn)的責(zé)任,”Eiram表示。“從安全產(chǎn)品解析功能中發(fā)現(xiàn)這么多安全漏洞確實(shí)令人覺得非常尷尬,因?yàn)檫@長(zhǎng)久以來一直被視為主要安全威脅之一。而當(dāng)上述解析功能以SYSTEM權(quán)限運(yùn)行時(shí),其造成的后果自然更加嚴(yán)重。”
在大多數(shù)情況下,殺毒軟件供應(yīng)商往往認(rèn)為沙箱機(jī)制并不適用于殺毒產(chǎn)品,因?yàn)檫@會(huì)對(duì)性能造成一定影響。一部分廠商甚至宣稱,他們會(huì)采取其它一些可行方式——例如降低運(yùn)行權(quán)限、執(zhí)行路由安全評(píng)估并開發(fā)出其它能夠?qū)崿F(xiàn)等同于沙箱之效果的技術(shù)方案。
賽門鐵克公司正致力于降低其產(chǎn)品及服務(wù)的攻擊面。根據(jù)該公司的說法,其方案旨在以盡可能低的權(quán)限級(jí)別運(yùn)行安全組件,從而降低攻擊活動(dòng)的實(shí)現(xiàn)可能性。
而根據(jù)卡巴斯基實(shí)驗(yàn)室的說法,實(shí)際解決安全漏洞的復(fù)雜程度要遠(yuǎn)比單純使用某種技術(shù)手段更高。該公司推出了一系列技術(shù)成果,并宣稱其能夠?yàn)榭蛻魩碜罾硐氲谋Wo(hù)效果。舉例來說,其使用多種機(jī)器學(xué)習(xí)算法以使用公司收集到的大規(guī)模安全情報(bào)與專業(yè)知識(shí)。
“盡管使用‘沙箱’方案似乎是種更為簡(jiǎn)單的辦法,但其存在著諸多嚴(yán)重缺點(diǎn),包括影響性能、執(zhí)行效率以及兼容性,”卡巴斯基公司的Zakorzhevsky解釋稱。
英特爾Security/McAfee公司則表示當(dāng)?shù)弥嬖谀稠?xiàng)潛在問題時(shí),其會(huì)立即進(jìn)行調(diào)查以驗(yàn)證其有效性、性質(zhì)以及嚴(yán)重程度,并據(jù)此制定修復(fù)策略。
我想可能沒有人會(huì)質(zhì)疑殺毒軟件廠商對(duì)安全缺陷的發(fā)現(xiàn)速度以及盡快發(fā)布修復(fù)補(bǔ)丁的能力。事實(shí)上,其中一些廠商擁有驚人的響應(yīng)速度,其產(chǎn)品在配置中也默認(rèn)提供自動(dòng)更新設(shè)計(jì)。然而真正的問題在于,相當(dāng)一部分安全缺陷類型其實(shí)自開發(fā)階段起就一直存在于此類產(chǎn)品當(dāng)中。
賽門鐵克與英特爾Security雙方都拒絕解決與沙箱技術(shù)相關(guān)的具體問題、殺毒產(chǎn)品面臨攻擊行為的可能性、此類產(chǎn)品在檢測(cè)目標(biāo)攻擊時(shí)的具體成效或者其它安全研究人員們所提出的批評(píng)意見。
殺毒方案供應(yīng)商Bitdefender公司指出,谷歌公司推出的類沙箱解決方案不太可能成為安全產(chǎn)品中的有效技術(shù)選項(xiàng)。“反惡意軟件解決方案每秒都需要攔截?cái)?shù)千個(gè)系統(tǒng)事件并對(duì)其進(jìn)行沙箱處理,這會(huì)給系統(tǒng)整體帶來可觀的性能影響,甚至遠(yuǎn)遠(yuǎn)超出操作系統(tǒng)供應(yīng)商的可容忍限度。”
Bitdefender公司同時(shí)宣稱,其大部分產(chǎn)品組件——例如反惡意引擎主動(dòng)威脅控制子系統(tǒng)——已經(jīng)以等同于當(dāng)前所登錄用戶的權(quán)限水平加以運(yùn)行,且正在利用代理進(jìn)程來限制其中以系統(tǒng)權(quán)限運(yùn)行的組件數(shù)量——包括該公司的消費(fèi)級(jí)產(chǎn)品。
在企業(yè)級(jí)產(chǎn)品方面,該公司開發(fā)出了一套名為Gravity Zone的解決方案,允許管理員在網(wǎng)絡(luò)上的不同設(shè)備運(yùn)行掃描服務(wù),而非像過去那樣面向端點(diǎn)——另外,其最近還推出了HVMI(即基于虛擬機(jī)管理程序的內(nèi)存審查)技術(shù),能夠通過在操作系統(tǒng)之外部署Type 1虛擬機(jī)管理程序的方式徹底對(duì)反惡意解決方案加以隔離。
“這類隔離機(jī)制能夠?qū)⒎磹阂庖嫱瑀ootkit或者其它運(yùn)行在用戶環(huán)境下的漏洞區(qū)分開來,”該公司強(qiáng)調(diào)稱。
Avast公司并沒有就此做出評(píng)論,而Malwarebytes、AVG以及ESET等廠商則明確拒絕在本文發(fā)布之前給出回應(yīng)——雖然我們提供了充足的反應(yīng)時(shí)間。
風(fēng)險(xiǎn)與回報(bào)
由殺毒產(chǎn)品所帶來的規(guī)模可觀且易被利用的攻擊面在與針對(duì)性攻擊相結(jié)合之后,又帶來了新的問題:我們是否有必要在企業(yè)環(huán)境之下安裝此類保護(hù)程序?
部分研究人員質(zhì)疑端點(diǎn)殺毒產(chǎn)品在應(yīng)對(duì)高復(fù)雜性及高針對(duì)性惡意程序時(shí)的實(shí)際作用,特別是那些來自網(wǎng)絡(luò)間諜集團(tuán)的攻擊手段。在他們看來,與由其帶來的風(fēng)險(xiǎn)相比,端點(diǎn)殺毒產(chǎn)品帶來的回報(bào)實(shí)在太過有限,特別是對(duì)于那些處于經(jīng)常遭遇針對(duì)性攻擊侵?jǐn)_的行業(yè)之內(nèi)的企業(yè)而言。
“在我看來,殺毒軟件產(chǎn)品只適合用于保護(hù)那些小型企業(yè)以及家庭用戶,”Koret指出。“殺毒產(chǎn)品無法檢測(cè)到那些未知的威脅——無論具體是什么。殺毒產(chǎn)品的檢測(cè)功能往往流于形式,而且大多數(shù)惡意軟件開發(fā)人員都會(huì)在發(fā)布其惡意代碼之前首先在主流產(chǎn)品中進(jìn)行測(cè)試,”他解釋道。
而作為端點(diǎn)殺毒產(chǎn)品的長(zhǎng)期反對(duì)者,Ollmann認(rèn)為安全保護(hù)方案越來越多被內(nèi)置于操作系統(tǒng)當(dāng)中的趨勢(shì)將使得這種獨(dú)立產(chǎn)品形式最終過時(shí)。
事實(shí)上,即使是在當(dāng)下,部分殺毒軟件供應(yīng)商也需要侵入操作系統(tǒng)安全機(jī)制,從而保證自己的產(chǎn)品能夠如設(shè)計(jì)思路般正常運(yùn)行——這也進(jìn)一步證明了其對(duì)系統(tǒng)的破壞能力,他補(bǔ)充稱。
作為此類狀況的一項(xiàng)實(shí)例,最近以色列數(shù)據(jù)泄露預(yù)防企業(yè)enSilo公司報(bào)告稱,來自英特爾Security、卡巴斯基實(shí)驗(yàn)室以及AVG等廠商的產(chǎn)品中存在一項(xiàng)安全漏洞,能夠禁用操作系統(tǒng)內(nèi)置反漏洞防御機(jī)制對(duì)其它應(yīng)用的保護(hù)。
這些殺毒產(chǎn)品會(huì)為用戶模式的讀取、寫入與執(zhí)行權(quán)限分配一個(gè)內(nèi)存頁(yè),而具體權(quán)限則同Adobe Reader以及網(wǎng)絡(luò)瀏覽器等其它應(yīng)用相關(guān)聯(lián),enSilo公司的研究人員在一篇博文當(dāng)中解釋稱。這有可能使得攻擊者得以繞過Windows系統(tǒng)中的安全防御機(jī)制,例如面向第三方應(yīng)用程序的地址空間布局隨機(jī)化(簡(jiǎn)稱ASLR)以及數(shù)據(jù)執(zhí)行預(yù)防(簡(jiǎn)稱DEP),從而幫助自身更輕松地利用這些應(yīng)用中所存在的安全漏洞。
Eiram還進(jìn)一步強(qiáng)調(diào)稱,殺毒產(chǎn)品已經(jīng)沒有立足之地。當(dāng)然,他認(rèn)為相當(dāng)一部分用戶——包括家庭用戶以及企業(yè)環(huán)境內(nèi)用戶——仍然需要具備一定程度的操作保護(hù)手段,例如避免下載高風(fēng)險(xiǎn)軟件或者點(diǎn)擊惡意鏈接。
端點(diǎn)殺毒程序確實(shí)能夠降低此類基礎(chǔ)性威脅。然而殺毒產(chǎn)品本身帶來的攻擊風(fēng)險(xiǎn)是否更加嚴(yán)重?這取決于此類威脅的具體類型以及所安裝殺毒產(chǎn)品的整體安全水平,他指出。
人們應(yīng)當(dāng)認(rèn)真考慮怎樣的安全軟件真正適合自己的環(huán)境,特別是其中是否具備他們最為需要的功能。殺毒產(chǎn)品買家亦應(yīng)當(dāng)檢查自己的現(xiàn)有選項(xiàng),了解它們能夠快速應(yīng)對(duì)與自身產(chǎn)品相關(guān)的安全漏洞,同時(shí)通過供應(yīng)商安全記錄審查了解這些缺陷的具體類型及嚴(yán)重程度,Eirams建議稱。
“人們不該出于更安全的印象而盲目安裝安全軟件,”他表示。“實(shí)際情況并非如此。”
“我們永遠(yuǎn)不能低估惡意軟件在復(fù)雜性層面的發(fā)展速度與前進(jìn)步伐,”卡巴斯基公司的Zakorzhevsky指出。“但與此同時(shí),我也不同意殺毒產(chǎn)品毫無效果這種說法。在出現(xiàn)一套能夠檢測(cè)出全部高復(fù)雜性威脅以及針對(duì)性攻擊活動(dòng)的解決方案之前,殺毒軟件仍是保護(hù)業(yè)務(wù)并對(duì)普通惡意軟件進(jìn)行過濾與阻斷的整體安全戰(zhàn)略中的必要組成部分。”
一項(xiàng)多層次戰(zhàn)略應(yīng)當(dāng)將傳統(tǒng)殺毒軟件同下一代保護(hù)工具、情報(bào)共享、安全服務(wù)、IT專業(yè)技能培訓(xùn)以及路由安全性評(píng)估等方案相結(jié)合,同時(shí)適用于軟件、硬件以及應(yīng)用程序本身,而這也是我們能夠降低企業(yè)及個(gè)人數(shù)據(jù)泄露機(jī)率的惟一可行方案,他表示。
Bitdefender公司承認(rèn),有時(shí)候殺毒產(chǎn)品確實(shí)會(huì)漏掉一些惡意軟件樣本,但他們表示這種狀況在全部威脅事件當(dāng)中只占約1%比例。
“因此,這最終還是要?dú)w結(jié)為對(duì)攻擊可能性的過濾與排查——這項(xiàng)工作基于已知安全漏洞或者已知惡意軟件的變種特征——而后將反惡意解決方案同安全意識(shí)培養(yǎng)計(jì)劃作為相互補(bǔ)充,”該公司指出。
能夠在高風(fēng)險(xiǎn)環(huán)境下實(shí)現(xiàn)或者取代殺毒程序的技術(shù)方案正是應(yīng)用程序白名單機(jī)制,其只允許預(yù)先經(jīng)過批準(zhǔn)的應(yīng)用程序在計(jì)算機(jī)上運(yùn)行。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所最近鼓勵(lì)用戶使用這種已經(jīng)被默認(rèn)內(nèi)置在部分操作系統(tǒng)當(dāng)中的保護(hù)機(jī)制,甚至發(fā)布了與之相關(guān)的推薦用法指南。
網(wǎng)絡(luò)邊界的保護(hù)對(duì)于捍衛(wèi)企業(yè)環(huán)境免受內(nèi)部與外部威脅方面亦非常重要,例如阻止數(shù)據(jù)泄露嘗試。不過,用戶在思想意識(shí)層面不應(yīng)先入為主地認(rèn)定網(wǎng)絡(luò)級(jí)安全設(shè)備不存在安全漏洞。事實(shí)上,安全研究人員在過去幾年中已經(jīng)發(fā)現(xiàn)相當(dāng)一部分此類產(chǎn)品存在漏洞,其中一部分甚至在不受監(jiān)管的地下市場(chǎng)中進(jìn)行公開出售。
原文標(biāo)題:Antivirus software could make your company more vulnerable