主动防御发展史
主动防御的出现
近些年来,人们由过去有病看病发展到定期体检,预防为主的健康理念。而在信息安全领域在安全威胁防御方面的理念同样发生着变化。“特征码”识别病毒是目前杀毒软件主要技术手段,但这一手段只能起到亡羊补牢的作用--只有某一段代码被编制出来之后,才能判断这个代码是不是病毒,才能谈到去检测或清除这种病毒。杀毒软件厂商只有发现并捕获到新病毒后,才有可能从病毒体中提取其特征值。这使得杀毒软件对新病毒的防范始终滞后于病毒出现,就好比用户被传染流感生病之后不得不去医院医治。种种现象迫使安全厂商开始研发新的防御技术,主动防御也就诞生了!
主动防御技术的发展
主动防御已经推出了有两年时间,一般意义上的“主动防御”,就是全程监视进程的行为,一旦发现“违规”行为,就通知用户,或者直接终止进程。它就像私人医生一样,在别人传染你病毒之前,主动防御技术会检查对方是否有异样,如“面色暗淡、精神恍惚”,但是并不是所有精神不好的人都带有流感病毒。 因此“主动防御”的误判率是非常高的,主动防御厂商不得不把权限给用户,让用户决定它到底有没有带有病毒,这样容易使普通用户很难依据“行为”来判断程序是否有危害到系统,同时无休止的弹窗也让用户无比反感。就在主动防御技术走在瓶颈阶段的时候,以微点为主的主动防御技术厂商不得不用开发白名单定制规则,来避免误杀。主动防御比起普通杀软防御技术具备一定的智能性,但也正是主动防御的智能性,让黑客有了可乘之机。黑客可以利用黑名单,改变规则,绕过报警,对用户系统安全造成威胁,但是无论如何主动防御的演变确实方便了很多。
图1微点判超级巡警为未知木马
主动免疫技术
什么是主动免疫技术
近期一个新的防御技术也开始斩露头角,就是下面我们要说的主动免疫技术。它是一种全新的免疫未知病毒和木马防御技术,如果说主动防御是医生,那通过权限设定来实现安全的主动免疫技术更像万能免疫疫苗,可以说是病毒丛中过,片叶不沾身。但是主动免疫技术仍存在一定危险性,比如有些程序安装时,必须用到管理员权限,这个时候针对每个应用程序的权限控制将比较繁琐。如现在主推该技术的墨者安全专家,在运行一些未知需要管理员权限的程序时,需要用墨者的提权工具右键提权才可以正常安装,墨者官方也多次提醒用户慎用此功能。
图2.墨者安全专家右键提权运行
防御技术将走向主动免疫还是主动防御?
现在的主动防御,实际上是安全厂商在原有对安全技术方面上的一个延伸,“主动防御”被认为是资源访问规则控制(HIPS)、资源访问扫描、恶意行为分析引擎等多种技术的统称,
它的功能弥补了传统“特征码查杀”技术对新病毒的滞后性。然而用户眼中的主动防御,应该是可以自动实现对未知威胁的拦截和清除,就像免疫一样。而主动免疫是国际前沿的反rootkit技术、自动识别白名单技术、超级权限管理技术的综合体。比起主动防御来,主动免疫技术给未知程序释放了一定空间,在未知的病毒和木马还未进入或者接触时,给用户电脑打了“免疫”针,即便是这些有害程序进来,用户也不可能被其侵害。主动免疫的技术不仅对病毒木马的权限进行控制,同时对于其他未知程序将通过一些手段来满足他们正常运行的权限。
无论是主动免疫,还是主动防御,我们都看到安全厂商由杀到防的转型,来应付现今的病毒木马超级繁殖的事态。随着保障安全难度的进一步加大,用户更希望安全企业加快研发和创新的步伐,真正实现“魔高一尺,道高一丈”的口号,而不是只在嘴皮子上下功夫!
网友评论