找回密码
 注册
搜索
热搜: 超星 读书 找书
查看: 379|回复: 0

[【IT前沿】] 迈克菲误报印证恶意软件防御模式须改善

[复制链接]
发表于 2010-5-9 14:54:36 | 显示全部楼层 |阅读模式
上周迈克菲一个有误的DAT文件导致了误报,使得Windows XP系统崩溃,不得不进行大规模的清理。指责迈克菲是件很容易的事情,也可以炒掉一两个安全工程师作为替罪羊继续维持现状,然而这件事情却说明,恶意软件防御行业(不仅是迈克菲)需要加强\"军队\"的训练。

现有的模式就像一场战争,攻击者首先开火,只有在得到一些俘虏后我们才能防御类似攻击的发生。这种被动的基于特征的模式从本质来看就是错误的,实施和维护起来都是个累赘。类似迈克菲上周事件的情况没有定期发生是个很奇怪的事情。

根据赛门铁克网络安全威胁报告第十五期,赛门铁克仅去年一年就创建了2895802个新的恶意代码签名。相比于2008年,增长了71%,这个数字说明有史以来超过一半的恶意代码签名是赛门铁克创建的。甚至,赛门铁克确定了2.4亿个不同的新恶意程序,相对于2008年来说增长了100%。

赛门铁克发言人说:\"要知道赛门铁克每天制造超过20000个新的恶意代码签名,其他的安全厂商也面临着相同的处境,这很易于理解,但却不易于被人们接受,这就是迈克菲上周面临的境遇。\"

威胁研究机构Webroot公司的Andrew Brandt表示:\"如果能够更加主动,根据恶意软件作者可能做出的行动来创建签名,也会导致类似的情况,会出现更多的误报。关键是要对恶意软件做出警报和回应(这是快速发展的一个不变的状态),尽快地创建签名,在签名发出前做彻底的测试。毕竟,科学家在制作疫苗之前需要一个新的流感病毒株样本。这个比喻在这里也适用。\"

现在有太多的\"流感病毒\"需要我们制造疫苗来应对。

有两个办法。一是坚持以签名为基础的模式,但是把它应用于云中,而不是在单独的系统上。这就是Webroot公司的方向。 Brandt 解释道:\"将签名放入云端而不是放在终端,有着明显的优势。如果托管在云中的定义出现了可怕的错误,我们可以立即将其撤回,防止出现大规模的破坏,希望能减少受影响用户的数量。\"

赛门铁克的做法不同。赛门铁克安全响应部门主管Gerry Egan说:\"赛门铁克基于信誉的安全做法从根本上突破了想法,恶意文件不需要被捕获和分析就可进行防御。取而代之的是,以信誉为基础的安全的方式与谷歌如何对网页进行排名是类似的。谷歌的PageRank算法依赖庞大的人群来确定一个具体网页的价值。\"

他继续说:\"一个网页的好坏直接取决于多少其他的网页链接到该网页,以及每个链接都被看做是对该网页的一个'投票'。然而,投票率却不是唯一的标准。还会对该网页的受欢迎度进行分析。所有的这些信息经过计算给出一个网页在谷歌的排名。\"

以信誉为基础的做法还有另外一个好处。那就是不需要先拦截恶意软件的样本再进行防御,这就使得误报率降低,以及对个人计算机的速度和性能影响到最少。IT管理员也可以量身定制这种功能进行实施和强化制度。

基于签名的模式作为一种错误的恶意软件防御方法已经存在了20年。它表现良好,并在大多数情况下都令人满意。但是,由于恶意软件开发者太多太过敏捷,导致这种模式已经不能维持更长时间的高效。

威胁不断演变,所以我们的防御系统也一定要发展了。


(责任编辑:钼铁)
http://tech.ccidnet.com/art/234/20100507/2053693_1.html
网络安全需要不断完善和发展,网络上不断存在着一些威胁,防御系统一定要做好。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|网上读书园地

GMT+8, 2024-11-17 00:25 , Processed in 0.261771 second(s), 18 queries .

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表