IDC VENDOE SPOTLIGHT

IDCVENDOESPOTLIGHT超越使用病毒碼的防毒方式：前懾性病毒保護2007年7月根據世界防病毒“2006.2010預測更新”和“2005BrianE.Burke供應商分析”改寫，IDC#204715ESET贊助主辦木馬、病毒、蠕蟲和不同類型的惡意軟體仍然是現今企業和公司所面對的昀嚴重的威脅。隨著入侵企業和公司網路的威脅數量和危害程度不斷地上升，企業和公司越來越需要具有前攝性的病毒偵測技術。有遠見的公司開始意識到，他們無法依靠僅基於病毒碼的防病毒技術。即時性的行為分析反病毒技術和啟發式演算法,正好彌補了只”基於病毒碼的反病毒”方法的不足。這次VENDORSPOTLIGHT調查了迅速演變的威脅環境和只”基於病毒碼的反病毒”方法在偵測未知威脅時的不足。本文著眼於保護企業和公司免受病毒入侵的先進反病毒技術，並談論ESET在這安全產品市場的中所充當的重要角色。新的威脅媒介不論是病毒、蠕蟲、間諜軟體或惡意軟體，它們的種類、數量和破壞性都在不斷增加，這讓所有的企業和公司都疲於自我保護。威脅的情況由惡作劇形式演變成以賺錢為目的的犯罪活動，並吸引了一批老練的駭客和犯罪組織加入。如今的駭客大多不會關心怎樣去破壞系統或是攻擊WEB伺服器。他們意識到的,是從公司或個人電腦中竊取機密的個人資訊或公司資料，並賣給非法推銷者和那些從事犯罪和欺詐的組織，從中牟利。這種被贏利驅使的動機導致大量攻擊的狡猾性、頻率和嚴重性都在不斷增加。數位環境威脅的改變，不僅表現在惡意軟體製造者的動機，還包括了他們的攻擊目標。曾經,攜帶病毒的郵件是那些尋求破壞或擾亂商業運轉的駭客們昀具吸引力的武器。但是，網路的快速發展，網頁取而代之成為更具威力的感染媒介。當許多組織對傳統攜帶病毒的郵件攻擊進行適度的防護時,網頁成為了駭客們另一個可以選擇的目標。在多數的情況下，出於金錢利益，駭客會找尋網頁瀏覽器和其它應用程式中的多個漏洞，來進行各種類型的惡意攻擊。基於網頁的威脅可以自動地繁殖，並通過“Drive-by”下載(一個被傳染的網頁，可以侵入網站訪客們的電腦，甚至訪客沒有點擊網頁上的任何東西)或通過從互聯網郵箱下載電子郵件和其它相似的技術。不斷增長的互聯網威脅能夠有效地應用這些技術，它們使間諜軟體、病毒、蠕蟲和其它惡意軟體蜂擁而出。通常駭客會使用老練而狡猾的技術攻擊網頁。它是一種目的性很強的攻擊，用於竊取金錢、身份或機密資訊。例如鍵盤鉤子,如果在個人電腦運行該程式,它能捕獲並傳送使用者的每個擊鍵資訊,從而允許駭客獲得密碼或其它與使用者身份相關的資訊。其中一種昀常見的,就是把Rootkits技術應用到惡意軟體的安裝，使惡意程式碼被隱藏，防止被使用者、管理員和安全軟體發現,從而偷取機密資料。而網頁攻擊的複雜性也在不斷增加。例如，其中一種網頁威脅技術，會使用加密技術來隱藏惡意程式碼，傳統的URL過濾和防病毒解決方案無法對它進行防預。這亦解釋了,為何間諜軟體網站的數量昀近不斷增加。根據IDC需求調查,病毒和其它惡意軟體仍然是所有大小企業的首要威脅(參見圖1)；間諜軟體是第二威脅。利用漏洞的ZeroDayAttack，使得全世界的企業都可能成為攻擊目標，更甚者，是該攻擊雖然流行但卻仍然很隱蔽。總括而言，至今由病毒、蠕蟲和木馬進行鬥爭而造成的資金和人力損耗，是難以估計的。在調查中,35%被訪者報告了他們的企業被成功攻擊,約有24%報告了他們的企業受到10次或以下的成功攻擊次數(參見圖2)。另外，來自大型企業的被訪者中，27%闡明,針對他們企業的成功攻擊有10次或以下。從圖2可以清楚看到，在過去12個月中，至少能對企業做出一次成功的攻擊。即使有1,000個嘗試被阻止，也不能彌補企業被攻擊一次所造成的商業損失。對網頁威脅劇增的關注,使人們對解決方案的需求不斷提升，如網頁過濾、網頁入侵預防、網頁防病毒和網頁防間諜軟體等。但傳統的安全解決方案基於為每個已知威脅開發一個特徵碼，而偏偏現今許多惡意軟體攻擊都使用了不同的加密技術、惡意軟體捆綁技術和其它方法來逃避傳統的解決方案，在特徵碼準備好之前傳染數量龐大的個人電腦。這證明了即時、前攝性安全防護來完善傳統安全解決方案的逼切性。但現有的反應式安全解決方案在防護已知威脅中仍有著重要的地位，因為一些威脅仍然在肆虐或是在保持休眠狀態，等待預定或偶然的觸發事件重新發動攻擊。所以，要有效地保護電腦免攻擊，企業需要能夠補足現有反應式安全解決方案的防病毒技術--攝性安全防護。基於特徵的防惡意軟體與啟發式(Heuristic-Based)防惡意軟體的對比正如前文所述,前攝性病毒偵測技術的需求日益增加，因為網頁的威脅擺脫了傳統的病毒技術，而且病毒大多是“未知的”或企業未必能在病毒入侵前即時更新病毒程式碼。不同於依靠使用者傳播被傳染檔的傳統病毒,這些新的“捆綁”威脅可以自動傳播。在家庭和企業中，被病毒感染的電腦總在掃描網頁和局域網中其它有漏洞的電腦時，將病毒傳染它們。這意味它們的傳播完全不需要使用者的介入和操作。當今的惡意軟體之所以能夠迅速蔓延，就是因為它們能經常在防病毒廠商發佈相應的病毒特徵碼之前，避開桌面電腦和伺服器中的傳統防毒軟體進行傳播。被捆綁的威脅通常可以通過Point-solutionsecuritysystem解決,所以,IDC相信，這種情形將會強烈地推動“分層安全（layeredsecurity）”方式的發展,該方式能更好的與捆綁型威脅交戰。前攝、基於行為分析並使用啟發式方法，則會愈來愈成為分層安全架構的重要需求。同樣，網站依靠各種各樣的嵌入程式如Java和ActiveX控制項，來打造他們獨特的外觀和感覺。當網站被使用者瀏覽時，這些程式能夠自動地運行並感染瀏覽該網頁的用戶。許多公司阻止Java程式通過他們的防火牆，但不幸地，這種做法可能同時間限制重要的合法Java程式。即時行為分析技術使用先進的啟發式識別，當被下載的代碼進入網路時，對其分析。所有代碼的特徵都會被即時審查，確定會否對系統造成安全威脅。任何入侵公司安全性原則的代碼都會在閘道被攔截，同時，在螢幕上向終端使用者發出警告。安全性原則威脅包括：企圖刪除檔、打開網路連接和修改註冊表。即時行為分析使公司允許信任的網頁應用程式或服務進入公司網路，並掃描所有其它網頁內容是否包含惡意行為。這種方法允許信任內容自由進入網路，而所有其它“未知”內容在能夠運行之前對其進行檢查。關於ESETESET，已成立17年，其美國總部設在聖達戈、加利福尼亞，為全球企業和消費者提供安全防護軟體。公司的旗艦產品是NOD32防毒軟體系統，該產品可提供即時安全保護，免受已知和未知的病毒、間諜軟體、rootkits和其它惡意軟體侵害。NOD32提供快速和進的安全保護，卻佔用很少的系統資源和昀小的系統影響。比其他防病毒產品贏得了更多的VirusBulletin100獎項。NOD32被認為不僅僅是防病毒產品，它的設計保護了使用者受到病毒、間諜軟體、廣告軟體、木馬、蠕蟲、rootkits和網路釣魚的攻擊，是一個統一的防威脅系統。NOD32使用以下的模組來提供對多傳染媒介的威脅防護：檔即時監控(AMON)常駐記憶體的掃描器，它會自動的掃描電腦將要訪問的檔。NOD32手動掃描器（按使用者要求進行掃描）,可以選擇要掃描的檔和磁碟分割。也可以排程一個閒置時間自動掃描。網路監控器（IMON）常駐於記憶體，在Winsock的等級來防止惡意程式碼進入電腦，它會掃描網頁(HTTP)、以及POP3電子郵件協定.電子郵件監控器（EMON）一個輔助的模組，通過MAPI介面與電子郵件用戶端軟體協同工作，比如MicrosoftOutlookMicrosoftExchange。MSOffice文件監控器（DMON）通過監視微軟提供的API，在打開微軟Office檔時首先檢測檔是否被感染(包括在IE上打開辦公檔)。NOD32的核心就是ESET公司的前懾ThreatSense技術，約93%的零天防護都可以在其釋放之前就被NOD32主動式的ThreatSense技術攔截。其昀優化的引擎可以進行高級偵測和快速掃描，同時擁有昀小的性能影響。NOD32主要使用組合語言編寫，因為其在所有防病毒軟體中擁有昀快的速度表現，NOD32獲了許多獎項。根據VirusBulletin，NOD32能夠比其競爭產品快34倍。NOD32節約記憶體和硬碟上的資源，讓它們為更重要的應用服務，本軟體只有11M，平均佔用23M的記憶體(根據檢測狀態會有變化)。Threatsense每次更新（包括啟發式邏輯和病毒碼碼）通常都只有20KB到50KB左右。NOD32容易配置且擁有集中化的管理和報表功能。對於大型企業，我們提供了強大的遠端分散式的網路管理，管理員可以集中部署、安裝、監測和管理成千上萬的NOD32工作站和伺服器。其寬廣的產品線可以提供對Windows、Linux、Novell和MSDOS等不同平臺機器的保護。機遇與挑戰憑著NOD32及其即時行為分析能力，ESET做了一項大膽測試，接受前攝安全防護的病毒測試。絕大多數機構和組織都同意IDC的看法,它們需要具有前攝性的安全解決方案才能與新威脅進行抗衡。因為它們根本無法承受特徵碼發佈前可能會感染病毒的風險。IDC相信ESET面臨的昀大挑戰是：病毒防護是廣泛部署的安全技術，橫跨所有規模的機構和組織都對此有不同程度的需求，只有很少的“綠地”可以讓ESET進入。在桌面電腦領域，如何用NOD32替換現有的防病毒解決方案使讓許多機構組織都感到頭疼。ESET必須繼續教育那些組織和機構，如今對企業的保護，遠比傳統基於特徵碼的防病毒解決方案可以處理的年代更為複雜。隨著威脅環境不斷的改變以及互聯網的急速發展,“零日（zero-day）”傳染發生,企業要不停的努力才能應對無窮無盡的網路攻擊。IDC認為，行為分析工具是一個優秀的防護方式，能夠滿足大多企業的前攝性防護需求。但同時間,我們建議,行為分析會是整體安全分析的其一部分。這可使前攝性防護和傳統反應式安全防護互相補足。結論IDC相信，病毒防護市場將繼續從單一防毒防護演變成威脅防護安全套裝,並將轉變成更加全面的網路安全解決方案。IDC需求調查結果清楚地顯示，所有的組織和機構都希望使用中央管理控制用戶，方便統一管理、策略和報告。而且IDC認為,即時行為分析技術（如先進的啟發法）與傳統基於特徵碼的防病毒技術的綜合，將更準確的偵測已知和未知的威脅。IDC預測全世界防病毒市場將會從2005年的43億增長到2010年的73億，代表11%的複合年增長率。在某種程度上，ESET將會應對本文所描述的挑戰，並加強防病毒領域，通過改善行為保護以及增加防火牆和反垃圾郵件(antispam)保護來創造一個統一的威脅防護安全套裝。從而，使公司保持一個良好的數碼環境。Version2Limited總公司-香港科學園香港新界沙田香港科學園科技大道西八號西翼三樓三零七室SalesHotline:(852)28938860SupportHotline:(852)28938186Fax:(852)2893-8214關於本出版物本出版物由IDCGo-to-MarketServices發行。文中提及的觀點、分析和研究結果摘自IDC執行和獨立地出版的更加詳細的研究和分析,除非署名具體供應商贊助者。IDCGo-to-MarketServices使得IDC內容以多種版式被眾多公司發行。許可發佈IDC內容並不代表獲許可人的觀點和認可。版權與制約任何將IDC資訊或參考用作做廣告、新聞發佈或促銷產品，需要預先從IDC獲得書面同意。為了請求被允許,請與GMS資訊線聯繫：508-988-7610或gms@idc.com.。翻譯或者地方化此檔需要從IDC獲得一個另外的執照。更多關於IDC的資訊,請查看。更多關於IDCGMS的資訊,請查看。全球性總部:5Speen街道Framingham,MA01701美國P.508.872.8200F.508.935.4015