【 3月31日外电头条】首先,让我们给反病毒保护应用下个定义。简单地说,就是指用来防止恶意软件感染计算机的软件。如果你们认同这个定义的话,我便要问上一问,为什么安装了反病毒应用的计算机仍然会被感染?
为了进一步探讨这个问题,我邀请了NSS实验室的总裁Rick Moy,下面是对他的采访:
“NSS实验室执行专业的、独立的安全产品评估,协助终端用户针对他们的环境选择正确的安全产品。”这是NSS实验室关于自己的介绍。我最初了解NSS实验室是为了做一篇关于浏览器抵御恶意软件的报道。那时起,Rick和我就反病毒进行过很多次有趣的探讨。
TechRepublic:你提到过恶意软件有两种类型:攻击用户和攻击机器。你能解释一下吗?
Moy:从高处看,恶意软件可以按照执行方式分成这两类:
攻击用户:欺骗用户下载并且执行包含恶意软件的假音频视频文件以及盗版软件。在这种情况下,用户是最薄弱的一环。
攻击计算机:攻击者利用用户不知道的软件漏洞,例如将浏览器带有漏洞的用户引诱到恶意网站,在那里通常会直接安装恶意软件,所有的操作都无需用户交互。
TechRepublic:你还提到恶意软件通常有三个部件,每一个都针对着不同的方面,这很有趣,希望你阐述一下。
Moy:比如最近的Operation Aurora攻击就是一个很好的例子。它包括所有的三个阶段,Vulnerability、Exploit和Payload。它们经常混淆,但分清它们对于理解如何有效阻止攻击是很重要的。
Vulnerability:指软件代码中的bug,这些漏洞会让产品受到攻击,例如一个缓冲区溢出。
Exploit:这是为了攻击应用中的Vulnerability而特意编写的代码序列,比如对缓冲区溢出的攻击。一个Exploit可以隐藏在受感染的网站伏击访问计算机,或从另一台计算机远程攻击。
Payload:是指在应用的漏洞被攻破之后装载的恶意内容。Payload就是在目标计算机上执行的操作,例如在硬盘上写一个木马下载器,或者返回一个反向shell。
这张图显示了每一阶段的攻击相对数量。
终端安全产品应该更加侧重于漏洞保护,而不是在恶意的payload身后追逐。这是因为漏洞的数量要少的多,因此更易于管理。
TechRepublic:反病毒软件企业都说他们的产品能够防范恶意软件,而你觉得用户有些被误导了,这能否请你解释一下?
Moy:在2009年年底,我们对我们网站的500名访客进行了调查,结果发现有46%的人认为他们安装的反病毒软件能够百分之百的阻止威胁。但主要的安全厂商的扫描数据却显示,有超过30%装有反病毒产品的计算机还是感染了某种病毒。这个数据说明恶意软件还远远没有得到控制。
TechRepublic:也就是说一台受保护的计算机稍不注意就会被感染,而这个危险人们还意识不到,你认为问题出在哪儿?
Moy:我们是打一场对比悬殊的战斗,坏人的力量比好人大得多。作为防守方,我们需要观注和防范一切可能的攻击途径。但作为攻击方的网络罪犯只需要找到一个系统漏洞就可以击败我们。
展望将来,软件开发者必须编写更安全的代码,减少漏洞的数量。用户也必须要加强对自己的教育,更频繁的打补丁。
TechRepublic:我一直这样认为:只要让操作系统和应用软件跟上最新的升级,那就不会出现问题。照此说并非是这样,你的意见呢?
Moy:虽然给应用打上最新的补丁是很重要的,但这无法保证你的安全。补丁只是写给那些已知的问题。但网络罪犯正在不断地开发和探索那些尚未被安全社区发现的新的攻击点,比如零日攻击,除非分析人员能够提前判断到问题出在哪里,否则网络罪犯们总有机会。
TechRepublic:对于反病毒软件的前景你似乎比较乐观,怎样才能改进的更有效呢?
Moy:在一些很明确的地方反病毒产品可以改进的更好。在我们最近对Operation Aurora 攻击的一项研究中,我们发现7种反病毒产品中的6种没有能够阻止漏洞的变种。而且,它们在检测恶意payload的成绩也参差不齐。
安全产品应该进一步发展,提供更好的基于漏洞的保护。企业信誉服务是可以减少最终用户风险的关键技术,但并非所有的厂商都在使用。最后,安全厂商应该接受更多的现实世界测试和第三方服务,这样才能推动产品的质量和创新。
TechRepublic:你提到NSS实验室使用不同的方法测试安全产品,能告诉我们为什么这样做更好呢?
Moy:随着互联网的发展,现在病毒的传播速度达到了新的水平,传统的测试技术已经无法达到要求了。因此,NSS实验室开发了“Live in-the-cloud”测试框架,模拟平均的用户体验。这种新的测试方法的重点是针对目前在互联网上活跃的病毒,我们会每隔几小时就做一次测试,这使我们能够测量厂商需要多长时间才能提供保护。
厂家的产品测试只是为了验证产品可以做什么,但更重要的是要找到它不能做什么,为了发现这些,我们的工程师也几乎在做和黑客同样的事,现在我们已经帮助过许多世界知名的安全企业改进了它们的产品。
最后的思考
在这次采访中,Rick Moy提出的三点意见跃然而出:
1. 防守方必须保护所有可能的攻击途径,但坏人只需要一个漏洞。
2. 终端安全产品应更侧重于漏洞保护。
3. 测试安全产品应该采取模拟平均用户体验的方式。
对我来说,这三条简单的意见说明了问题的所在,也正是我们需要做的。你觉得呢?
原文:作者:
【编辑推荐】
如何预防网络漏洞产生
软件和系统无法避免会出现漏洞。 一说起漏洞,有人就会感到气愤,认为被坑了。 其实不然,漏洞的产生是不可避免的。 有了漏洞,我们就应该去补救。 本文就以漏洞的形成与防治为题,简单的为大家介绍。 漏洞的形成大型软件、系统的编写,并不是一两个人就能完成的,而是需要许许多多程序员共同完成。 那么,他们是怎么工作的呢?他们是将一个软件或系统分成若干板块,分工编写,然后再汇总,测试。 最后,修补,发布。 有人或许会问,为什么最后要修补呢?其实,这就是一个重要的环节。 前面讲到要讲软件、系统分成若干板块,分工编写。 问题就出在分工编写这个环节:世界上总找不到思维一样的人,所以有时不免会出现种种问题,且不说“几不管”的中间地带,就是在软件汇总时,为了测试方便,程序员总会留有后门;在测试以后再进行修补……这些后门,如果一旦疏忽(或是为某种目的故意留下),或是没有发现,软件发布后自然而然就成了漏洞。 还值得一提的就是若干板块之间的空隙,这里很容易出现连程序员的都没想到的漏洞!还有,“几不管”地带,也正是漏洞的温床!如果,在软件发布前没能及时发现,就为不法之徒提供了便利。 漏洞的另一形成温床就是网络协议!网络协议有TCP、UDP、ICMP、IGMP等。 其实,他们本来的用途是好的,但却被别人用于不乏的活动:例如,ICMP本来是用于寻找网络相关信息,后来却被用于网络嗅探和攻击;TCP本来是用于网络传输,后来却被用于泄漏用户信息……漏洞的温床实在太多了,有时并不能完全怪程序员,因为有些东西连他们也无能为力啊!漏洞的防治有了漏洞就要补!否则,日后的受害者可能就是自己。 例如,微软就是著名的漏洞王!他同时也是著名的补丁王!有这样一句话:微软的补丁,谁人能及!Windows实在太大,太复杂了,所以漏洞多也是可以原谅的。 更何况,全世界最精锐的黑客部队的也喜欢将矛头直指Windows,可悲啊!补漏洞方法主要有两类:一、本身补救。 这种补漏洞方法主要是靠厂商的补丁或者是禁用某项服务来补救。 也就是说,靠软件或系统本身来补救。 二、借助补救。 这种补漏洞方法主要是靠第三者完成,就是靠别的软件来进行补救。 我们用得最广泛的就是反病毒软件和网络防火墙。 软件的补救必须要有目的的补救,不能盲目的补。 在补救前,我们可以借助别的软件来测试。 例如,查找网络漏洞,可以用嗅探器;查找反病毒软件的查毒漏洞,可以通过网络上提供的病毒压缩包等。 漏洞是客观存在的,它是随软件和系统的产生的,是不可避免的。 关键就在于补救,补救得好,软件或系统的性能将大大提高!努力吧,同志们。
如何反病毒入侵电脑
由于计算机病毒的传播方式多种多样,又通常具有一定的隐蔽性,因此,首先应提高全民对计算机病毒的防范意识,在计算机的使用过程中应注意下几点:(1)尽量不使用盗版或来历不明的软件。 (2)备份硬盘引区和主引导扇区数据,经常对重要的数据进行备份。 (3)养成经常用杀毒软件检查硬盘和每一张外来盘的良好习惯。 (4)杀毒软件应定期升级,一般间隔时间最好不超过一个月。 (5)安装了实时监控防病毒软件,当然这也不是一劳永逸的方法,防病毒软件不一定对所有的病毒都有效,而且病毒的更新速度也很快。 (6)随时注意计算机的各种异常现象,一旦发现,应立即用杀毒软件仔细检查。 杀毒软件是预防病毒感染的有效工具,应尽量配备多套杀毒软件,因为每个杀毒软件都有各自的特点。 (7)有些病毒的传播途径主要是通过电子邮件,被称为“邮件病毒”。 它们一般是通过邮件中“附件”夹带的方法进行扩散,你运行了该附件中的病毒程序,就使你的计算机染毒。 所以,不要轻易打开陌生人来信中的附件文件。 查杀率1:瑞星杀毒软件(289) 2:江民杀毒软件(267)3:金山毒霸(251) 4:安铁诺防病毒(250) 5:光华反病毒(223)6:北信源VRV (195)防御率1:江民杀毒软件 2:安铁诺防病毒3:瑞星杀毒软件 4:金山毒霸 5:光华反病毒 6:北信源VRV .总体分析排名1:江民杀毒软件 2:瑞星杀毒软件 3:金山毒霸 4:安铁诺防病毒 5:光华反病毒 6:北信源VRV
怎么反木马病毒
杀木马就用金山清理专家;他的功能很实用;1.健康指数综合评分系统只需要轻松一键,即可全面诊断您的电脑健康状况,帮助你提高电脑的免疫力,轻松处理系统问题,2.防网页挂马功能保护IE浏览器,避免您在上网的时候,被木马利用漏洞侵入你的电脑。 3.精确打击—采用bootclean技术精确打击—采用bootclean技术,定点清除顽固恶意软件和木马,解决能查不能杀的难题。 4.文件在线分析和安全检测。 帮您在线分析程序的安全性,即时反馈分析结果;超好用的未知程序上传功能,让您享受贴身的安全服务。 5.系统修复和优化检测并下载系统漏洞补丁,加强系统本身安全性,减少感染病毒木马的风险。 6.查杀恶意软件彻底查杀数百款恶意软件、广告软件及隐蔽软件等,独创插件信任列表管理,避免误删除自己喜爱的有益插件。 7.安全百宝箱包含文件粉碎器,LSP修复工具,历史痕迹清理,垃圾文件清理等安全实用小工具。 8.提供木马病毒查杀工具 ;优秀杀毒软件推介,提供最新的安全资讯;热门专杀工具下载。 金山清理专家网址;
发表评论