评论：杀毒软件时代是不是快结束了？

关键词： 赛门铁克 恶意软件 趋势科技 杀毒软件

CNET科技资讯网7月25日国际报道 过去几个月来，我不断听到某些知名的安全界人士，告诉我他们正考虑完全舍弃杀毒软件的保护。他们尚未真正实行，但这些人认为，用一个特别的应用软体扫瞄和移除恶意软件的时代即将结束。恶意软件已经改变，但搜索、驱逐它们的应用软件却一成不变。

我们今天所知的防毒程序，是以20年前的样式比对技术。在过去的米开朗基罗病毒时代，甚至最近的Netsky病毒，样式比对都发挥效用，但顺序比对每一个单独的电脑档案与已知的恶意软件既耗时又落伍。2007年，赛门铁克侦测到超过10亿个病毒，其中三分之二是当年新生的病毒。载入10亿个新签名档，或甚至其中百分之一，都是非常庞大的工作。

因此软件厂商开始规划2009年（和之后）的心策略。这些作法与签名档资料库正好相反—称为白名单（whitelisting）。样式比对就像是列出黑名单，白名单则是另一个极端：只允许受信任的档案在个人电脑中执行。

那就是赛门铁克首席执行官John Thompson在今年的RSA大会上所说的：如果恶意软件的增长速度持续超越合法软件，白名单这类技术（也就是识别和只允许好东西进入）将变得非常迫切。他对白名单技术的说明其实不多，但大家都认为Thompson已明确指出未来的方向。

白名单究竟有多可靠？其实我们早在几年前就开始使用这种防御方式。为了更了解这类技术的运作方式，我访问了麻州Bit9公司首席策略官Tom Murphy。

Bit9这几年都在构建一个名为Global Software Registry（全球软件注册，简称GSR）的系统，编录“已知有益”和“已知有害”的应用软件和档案。Murphy说Bit9使用三种方法--MD5、SHA1和OMAC，制作一个特别的档案杂汇，确定该档案不会有其他意外的作用。截至目前，这份目录仅用在Bit9的企业产品，但他们已和Kaspersky签约，2009年就会用在该公司的桌面安全产品上。

Bit9不是唯一，SecureWave的Sanctuary、Savant Protection和DriveSentry，都有企业用的白名单技术。有趣的是，Google、微软和赛门铁克这些大公司，现在也开始注意白名单技术。

这又让我们回到杀毒软件。如果管理数百万个杀毒签名档非常吃力，世上的清白档案何其多？只要想想目前所有的软件版本，更别提那些产品创造出的档案数量。白名单的缺点，也是主要的争议，是所有的清白档案远多于坏档案。目前，要在桌面使用白名单档案是不切实际的。

趋势科技（若想要投入白名单领域）认为自己有答案。过去几年来，趋势在全球各地设立服务器，以便延续其软件即服务（简称SaaS）企业系统的服务。趋势科技CEO陈怡桦表示，现在是把SaaS带到桌面的时间。桌面的SaaS不会下载所有的签名档，而是呼叫“云端”服务器，从那里取得结果。

别搞错，趋势还是使用杀毒签名档资料库。陈怡桦说，这种方式比逐一比对各个恶意软件更快。的确，虽然每个程序间的差别只是几毫秒，几千个档案加起来，还是省下不少时间。因此，扫毒程序从PC改至云端执行，并迅速取得结果。另一个好处，陈怡桦说，是新范本可立即取得，并迅速获得评估。她估计，趋势科技可在15分钟内建立一个未知威胁的新签名档。

15分钟也是赛门铁克的新口号。该公司消费者产品管理副总Tom Powledge表示，2009年的Norton产品更轻巧、更快，部分原因是他们丢弃了多个过去版本的签名档资料库，也不会扫瞄每一个档案。2009年的产品将建立一个信任索引，也就是确认某些档案（如照片或MP3）清白无虞，除非档案有变更，否则不会再扫瞄。他提供的图表显示，一台主机内大约70％的档案都是可信任的，只有30％被主动扫瞄。

如同趋势科技，Norton也在试验更快速的新恶意软件反应机制。Powledge说Norton不是每15分钟，而是每两分钟即可更新一次。比起其他杀毒软件厂商每小时或每天更新的服务，这是极大的进步。

有鉴于趋势和赛门铁克对传统杀毒软件所做的改善，杀毒软件还是无法躲过被时代洪流淹没的命运吗？答案是肯定的。我问Murphy，白名单在某些企业是否足以取代传统的杀毒软件保护，他的回答非常婉转：如果（顾客）认为他们可以控制整个环境，有些顾客已经移除了主机内的杀毒软件。

我还是不相信白名单是正确的方向，但我知道，企业领域的安全解决方案确实会向下扩散到桌面领域。（Robert Vamosi）