不久前,信息安全解决方案提供商-卡巴斯基实验室在北京举行了中国区媒体发布会。北京卡巴斯基副总经理卢向京在与会现场以这样一个形象的比喻诠释了深刻的行业问题:防火墙与个人安全软件的区别非常类似于深宅大院的高墙与小区保安的区别。具体而言,深宅大院的高墙一旦建立,就可以保障安全了,住户不需要更多的维护操作,而小区保安,雇佣之后,如果没有持续的巡逻、安保,保安就形同虚设。安全软件也是如此,使用持续的后期服务,包括更新、漏洞与隐患的修复,才能真正确保用户的安全。
事实上,当今网络威胁所呈现的态势的确如此,“小区保安”对于用户来说已经不再关键,人们需要的是“深宅大院”的保护。据卡巴斯基实验室数据显示:2009年,恶意程序的复杂化程度显着提高。例如,过去恶意软件家族中携带rootkit功能的程序屈指可数,可在2009年,此类的程序不仅传播得更加广泛,还变得更加复杂,尤其是Sinowal(bootkit)、TDSS以及Clampi。
Sinowal(bootkit)最近的一次爆发,发生在2009年春季。由于它使用了最先进的bootkit技术,因此能够在系统中有效地伪装自己,使得大多数反病毒软件无法对其进行检测。并且,Sinowal还给反病毒公司瓦解僵尸网络命令控制中心的努力造成了很大的阻碍;另外一个恶意程序TDSS同时运用了两种极其复杂的技术:它可以感染Windows系统驱动,创建自己的虚拟文件系统,并在其中隐藏自己的恶意代码,它的出现可谓史无前例,因为这是第一种能够在这样一个级别渗透入系统的恶意软件;臭名昭着的Clampi病毒第一次出现是在2008年,它被设计为用来盗取特定在线银行系统中的账户数据。其变种于2009年出现,在技术上,它不仅比之前的版本结构更加复杂,采用了多模块结构,而且还在其创建的僵尸网络中使用了高度复杂的通讯架构,利用RSA算法来加密网络流量。Clapmi另一个显着的特点就是在通过本地网络传播时,会使用标准的Windows工具。这就给一些不能阻止“白名单程序”的反病毒解决方案带来了诸多的麻烦,从而使其失去对抗攻击的能力。
值得注意的是,这些威胁在互联网上的传播十分广泛。Sinowal和Clampi都达到了都达到了全球爆发的级别,而TDSS则造成了2009年最大规模的一次爆发。目前,已经存在具有高级文件感染技术以及rootkit功能的恶意软件。很多反病毒解决方案都无法清除这种恶意软件,无法恢复被此类恶意软件感染的系统。
卡巴斯基实验室认为,目前反病毒行业应对这种情况的方法只能是研发新的技术来增强保护能力:如不断强化反病毒中心处理威胁的能力(以及与此相关的 “云安全”反病毒技术)、开发新型的自动检测技术、部署新型的启发式扫描技术、虚拟化技术及行为分析技术。而网络用户真正需要的“深宅大院”则是一种综合性的解决方案--能够提供更深层次防御能力的全功能安全产品。