首页 > 信息安全 > 正文

杀毒软件可能令企业用户陷入更大危机

2016-01-14 10:39:19  来源:51CTO

摘要:自去年6月开始,研究人员就发现并报告了来自各类杀毒产品中的数十项严重缺陷,其相关厂商包括卡巴斯基实验室、ESET、Avast、AVG Technologies、英特尔Security(原McAfee)以及Malwarebytes等等。
关键词: 杀毒软件
 
  风险与回报
 
  由杀毒产品所带来的规模可观且易被利用的攻击面在与针对性攻击相结合之后,又带来了新的问题:我们是否有必要在企业环境之下安装此类保护程序?
 
  部分研究人员质疑端点杀毒产品在应对高复杂性及高针对性恶意程序时的实际作用,特别是那些来自网络间谍集团的攻击手段。在他们看来,与由其带来的风险相比,端点杀毒产品带来的回报实在太过有限,特别是对于那些处于经常遭遇针对性攻击侵扰的行业之内的企业而言。
 
  “在我看来,杀毒软件产品只适合用于保护那些小型企业以及家庭用户,”Koret指出。“杀毒产品无法检测到那些未知的威胁——无论具体是什么。杀毒产品的检测功能往往流于形式,而且大多数恶意软件开发人员都会在发布其恶意代码之前首先在主流产品中进行测试,”他解释道。
 
  而作为端点杀毒产品的长期反对者,Ollmann认为安全保护方案越来越多被内置于操作系统当中的趋势将使得这种独立产品形式最终过时。
 
  事实上,即使是在当下,部分杀毒软件供应商也需要侵入操作系统安全机制,从而保证自己的产品能够如设计思路般正常运行——这也进一步证明了其对系统的破坏能力,他补充称。
 
  作为此类状况的一项实例,最近以色列数据泄露预防企业enSilo公司报告称,来自英特尔Security、卡巴斯基实验室以及AVG等厂商的产品中存在一项安全漏洞,能够禁用操作系统内置反漏洞防御机制对其它应用的保护。
 
  这些杀毒产品会为用户模式的读取、写入与执行权限分配一个内存页,而具体权限则同Adobe Reader以及网络浏览器等其它应用相关联,enSilo公司的研究人员在一篇博文当中解释称。这有可能使得攻击者得以绕过Windows系统中的安全防御机制,例如面向第三方应用程序的地址空间布局随机化(简称ASLR)以及数据执行预防(简称DEP),从而帮助自身更轻松地利用这些应用中所存在的安全漏洞。
 
  Eiram还进一步强调称,杀毒产品已经没有立足之地。当然,他认为相当一部分用户——包括家庭用户以及企业环境内用户——仍然需要具备一定程度的操作保护手段,例如避免下载高风险软件或者点击恶意链接。
 
  端点杀毒程序确实能够降低此类基础性威胁。然而杀毒产品本身带来的攻击风险是否更加严重?这取决于此类威胁的具体类型以及所安装杀毒产品的整体安全水平,他指出。
 
  人们应当认真考虑怎样的安全软件真正适合自己的环境,特别是其中是否具备他们最为需要的功能。杀毒产品买家亦应当检查自己的现有选项,了解它们能够快速应对与自身产品相关的安全漏洞,同时通过供应商安全记录审查了解这些缺陷的具体类型及严重程度,Eirams建议称。
 
  “人们不该出于更安全的印象而盲目安装安全软件,”他表示。“实际情况并非如此。”
 
  “我们永远不能低估恶意软件在复杂性层面的发展速度与前进步伐,”卡巴斯基公司的Zakorzhevsky指出。“但与此同时,我也不同意杀毒产品毫无效果这种说法。在出现一套能够检测出全部高复杂性威胁以及针对性攻击活动的解决方案之前,杀毒软件仍是保护业务并对普通恶意软件进行过滤与阻断的整体安全战略中的必要组成部分。”
 
  一项多层次战略应当将传统杀毒软件同下一代保护工具、情报共享、安全服务、IT专业技能培训以及路由安全性评估等方案相结合,同时适用于软件、硬件以及应用程序本身,而这也是我们能够降低企业及个人数据泄露机率的惟一可行方案,他表示。
 
  Bitdefender公司承认,有时候杀毒产品确实会漏掉一些恶意软件样本,但他们表示这种状况在全部威胁事件当中只占约1%比例。
 
  “因此,这最终还是要归结为对攻击可能性的过滤与排查——这项工作基于已知安全漏洞或者已知恶意软件的变种特征——而后将反恶意解决方案同安全意识培养计划作为相互补充,”该公司指出。
 
  能够在高风险环境下实现或者取代杀毒程序的技术方案正是应用程序白名单机制,其只允许预先经过批准的应用程序在计算机上运行。美国国家标准与技术研究所最近鼓励用户使用这种已经被默认内置在部分操作系统当中的保护机制,甚至发布了与之相关的推荐用法指南。
 
  网络边界的保护对于扞卫企业环境免受内部与外部威胁方面亦非常重要,例如阻止数据泄露尝试。不过,用户在思想意识层面不应先入为主地认定网络级安全设备不存在安全漏洞。事实上,安全研究人员在过去几年中已经发现相当一部分此类产品存在漏洞,其中一部分甚至在不受监管的地下市场中进行公开出售。
 
  原文标题:Antivirus software could make your company more vulnerable

第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:pingxiaoli

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。