在当今的网络生活中,“零日攻击”一词以很高的频率出现在我们的视野。那么什么是“零日攻击”?ESET NOD32又是如何应对“零日攻击”的?
“零日攻击”其实并不神秘,它是指恶意软件利用操作系统或应用软件的某些未被开发商知晓的或未及时修补的漏洞发起攻击。对于像Windows这样被广泛应用的操作系统,零日攻击常常带来不可估量的损失,因而它被认为是众多安全威胁中最令人担忧的一个。
此前,利用微软RPC漏洞进行传播的“冲击波“蠕虫,在不到12小时的时间内,有上千家企业网络陷入瘫痪状态,全球80%的Windows系统用户都受到了不同程度的影响。而最近,利用微软ANI光标漏洞的恶意程序,在用户浏览网页时植入用户系统,盗取了上万用户的各种游戏帐号和密码。
针对零日攻击,防病毒领域提出了“零日防护”的概念。所谓“零日防护”,就是安全产品能够在威胁爆发之前将其遏制在萌芽状态。很多用户的电脑上都安装了防病毒软件并保持更新,可是在面对“零日攻击”的时候还是显得不堪一击,其根本在于没有真正做到“零日防护”。
传统的杀毒软件依赖病毒特征库来识别病毒。当出现了一个新的病毒,防病毒软件公司在收集到病毒样本后提取特征码,并添加到病毒特征库中去,通过更新之后该公司的产品就有了对该病毒的查杀能力。
举例来说,一个病毒制造者制造出了一个病毒A,这个病毒被K公司添加进了病毒库。不久之后病毒制造者对病毒A进行了修改,产生变种A1,K公司的防病毒产品无法侦测到变种A1,因此K公司又将A1作为新病毒添加进了病毒库,出现了变种A2也是相同的情况。因而对于变种A1和A2,K公司的防病毒软件会有一个不能侦测的空档期,如果此时变种A1或A2的出现爆发感染,安装了K公司防病毒产品的电脑后就会陷入危险的境地。
讽刺的是,许多反病毒产品都将其具有庞大的病毒库作为宣传的卖点之一。我们应该知道,依赖病毒库的特征码检测的“零日防护”能力等于零。也就是说,就算其病毒库再大,对“零日攻击”也是无能为力的。
作为全球领先的安全服务提供商的ESET 公司认为,恶意软件的防护必须要在其对计算机造成影响前实时地进行,只有这种防护才能被称为“零日防护”。那些时刻等待着病毒特征库更新的防毒软件会给攻击打开一扇窗,稍不留神就有可能造成灾难性的后果。
(图)
因此,为了实现真正的“零日防护”,作为ESET公司旗舰产品的ESET NOD32防病毒软件采用了“TreatSense”检测技术。该技术使用了业界最为成熟和稳定的启发式行为检测,它能分析应用软件的执行过程来判断是否存在恶意企图。如果一个新出现的病毒B和已知的病毒A有类似的行为,ESET NOD32就能自动判定这个病毒B是已知病毒A的变种,在病毒库更新之前就能对其进行有效侦测出并拦截,这就彻底消除了零日攻击的威胁。
在2007年5月Anti-Virus Comparative的权威测试中,把ESET NOD32封闭了3个月不更新病毒库之后,NOD32还是侦测到了68%的新病毒。相比之下,有的防病毒产品只查到了不到10%的新病毒,这是非常可怕的。这些产品的无法实现“零日防护”,使用它们的用户在面对“零日攻击”时系统会有极大的可能遭到病毒破坏。
对于不断出现的各种安全威胁,如果说依靠病毒库的防病毒产品是在亡羊补牢的话,那么ESET NOD32的“零日防护”就是未雨绸缪。虽然古人有云“亡羊补牢,犹未晚矣”,然而“零日攻击”所造成的损失常常是难以挽回的。我们相信,真正的安全应是源自未雨绸缪,而有了ESET NOD32的“零日防护”就能让用户泰然自若地面对“零日攻击”。
网友评论