據美國《紐約時報》網絡版近日刊登署名為尼科爾·佩爾羅斯（Nicole Perlroth）的文章指出，在病毒種類不斷猛增的今天，殺毒行業卻亂象叢生。不僅程序員在利益的驅使下監守自盜，而且整個殺毒產業也面臨著內在反應被動的難題。為此，各大傳統安全軟件公司和初創企業都在探索新的殺毒模式，以主動應對潛在的安全威脅。

[[59302]]

數據安全公司Imperva首席技術官阿米凱·舒爾曼（騰訊科技配圖）

以下是文章內容全文：

殺毒產業亂象

反病毒產業有一條骯臟的潛規則：他們的產品通常并不能抵御病毒的攻擊。

消費者和企業每年都要花費數十億美元用于購買殺毒軟件。但專業人士指出，這些殺毒軟件很少能夠抵御新型電腦病毒的攻擊，因為病毒開發者們的反應非常迅速。這也促使一批創業公司和其他企業紛紛探索新措施，提升電腦的安全性。

美國諾維斯特風險投資公司（Norwest Venture Partners）的風投資本家馬修·霍華德（Matthew D. Howard）指出：“病毒開發者總會努力保持對殺毒產業的領先優勢，而且他們要領先一步也并不困難。”諾維特風險投資此前曾經為思科制定過網絡安全戰略。

電腦病毒過去曾經是數字惡作劇愛好者們自身興趣的產物。但在2004年到2006年間，犯罪分子發現他們可以利用病毒軟件盈利，從此新病毒的數量就開始以幾何倍數增長。2000年，全球被發現的新病毒數量還不到100萬個，其中的多數病毒都是由業余愛好者開發的。然而根據德國反病毒產品測試研究機構AV-Test公布的數據顯示，在2010年，全球被發現的新病毒數量猛增至4,900萬個。

雖然反病毒產業也保持著快速的發展勢頭，但專業人士指出其發展速度跟不上病毒軟件產業的增速。當殺毒軟件可以抵御新病毒的攻擊時，往往已經為時過晚。因為此時黑客早已經進行完破壞活動而逃之夭夭，他們或者盜取公司的交易秘密，或者刪除數據，抑或清空消費者的銀行賬戶。

總部位于美國加州紅杉市的數據安全公司Imperva與以色列理工學院（Technion-Israel Institute of Technology）的學生共同進行的一項最新研究也證明了這一點。Imperva 首席技術官（CTO）阿米凱·舒爾曼（Amichai Shulman）和一組研究人員收集并分析了82種新電腦病毒，并在40多種殺毒軟件產品中進行了測試。盡管這些殺毒產品多數都來自微軟、賽門鐵克（Symantec）、McAfee和卡巴斯基（Kaspersky）等全球知名公司，但其初始探測率仍不到5%。

平均來看，殺毒產品差不多要用一個月的時間才能升級一次探測方法，并識別出新病毒。具有諷刺意味的是，其中探測率最高的兩款產品——Avast和Emsisoft——反而是免費使用的，他們會鼓勵用戶花錢購買額外的功能。美國市場研究公司Gartner估計，2011年，全球消費者和企業用戶在殺毒軟件上的花費高達74億美元，約占全年安全軟件總花費177億美元的一半。

風險投資公司KPCB專門關注安全領域投資的合伙人泰德?施萊因（Ted Schlein）指出：“現有的自我保護方式已經失去功效。上述研究只是再次證明了這一點而已。探測病毒的整體理念早已混亂。”

內在反應被動性

導致這一問題的部分原因就是殺毒產品與內在的反應被動性。正如醫學研究人員必須首先研究病毒，然后才能開發出疫苗一樣，殺毒軟件開發商同樣要首先獲取電腦病毒，然后對其進行分析，并探測它的特征（獨有編碼），然后才能編寫殺毒程序。

這一過程至少需要幾個小時，最長甚至可達幾年時間。例如，卡巴斯基今年5月發現了一種名為Flame的復雜病毒，該病毒從大約5年前就開始一直竊取電腦數據。

安全服務提供商F-Secure首席研究員米科·海波尼（Mikko Hypponen）將Flame稱作是殺毒軟件行業的“一次慘痛失敗”。在Flame被發現后，海波尼在美國科技雜志《連線》網絡版上撰文稱：“我們本應該做得更好，但我們卻沒有。我們在自己設置的游戲中掉隊了。”

賽門鐵克和McAfee的業務都是圍繞殺毒軟件建立起來的，他們已經開始意識到自身能力的局限性，并在努力探索新的發展方式。“殺毒”這個詞已經在他們的網站首頁上消失。賽門鐵克還為旗下的熱門殺毒產品推出了全新品牌：該公司現在的消費產品被命名為“諾頓網絡安全”（Norton Internet Security），企業產品名稱則是賽門鐵克終點保護(Symantec Endpoint Protection)。

賽門鐵克安全響應部門主管凱文·哈利（Kevin Haley）指出：“沒人認為僅靠殺毒就足以解決問題。”。他表示，賽門鐵克的殺毒軟件包括了一些新技術，比如基于行為模式采取的封殺措施，這種模式會在允許程序運行前查看文件中的30個特征，包括創建時間和其他安裝位置等。他補充指出：“大約在三分之二案例里，其中的一項額外技術就可以探測出惡意軟件。”

傳統工具將被淘汰

贊助反病毒研究的Imperva在這場競爭中擁有獨特的優勢。該公司的網絡應用和數據安全軟件成為新一代殺毒產品中的一員，這些產品以全新方式為用戶提供安全保障。傳統殺毒軟件和防火墻只能簡單地封殺惡意軟件，而Imperva的產品卻能夠監測程序對服務器、數據庫和文件的訪問情況，以記錄可疑行為。

雖然距離殺毒軟件被公司徹底拋棄的那一天還很遙遠，但企業家和投資者卻越來越堅定地認為傳統殺毒工具將被市場逐步淘汰。

美國市場研究公司IDC網絡安全分析師菲爾·霍克默思（Phil Hochmuth）指出：“從攻擊者的角度來看，游戲規則已經改變。基于代碼特征的探測惡意軟件的傳統方式已經無法適應時代的發展。”

新方法獲資金支持

一批新的創業公司正試圖轉變整個安全行業的觀念，并且獲得了投資者的支持。如果無法阻止惡意軟件的攻擊，那么今后的安全企業就必須推出能夠識別反常行為的軟件，并在系統遭到未經授權的入侵后及時對其進行清理。

當下最受市場追捧的安全創業公司包括Bit9、Bromium、FireEye和Seculert等互聯網流量監控公司，以及Mandiant和CrowdStrike等在攻擊發生后擁有專業技術展開清理的公司。

Bit9已經從KPCB和紅杉資本（Sequoia Capital）等著名風險投資公司處融資7000多萬美元。Bit9使用一種名為白名單（whitelisting）的方式，只允許系統已知的無害流量通過。

McAfee于2009年收購了白名單創業公司Solidcore。賽門鐵克的產品目前也包含了Insight技術，該技術能夠利用同樣的原理阻止未知文件在設備上運行。

有傳言稱，在2010年被英特爾收購后，McAfee前任CEO大衛·德沃特（David DeWalt）可能會在英特爾繼續執掌該業務。但他卻最終加盟了FireEye，這家創業公司開發的一套系統可以將企業的應用隔離在一個虛擬儲存器中，然后在允許流量通過前檢測其中的可疑活動。

FireEye已經從諾維特、紅杉資本和In-Q-Tel等風險投資公司處融資3,500萬美元。In-Q-Tel是美國中央情報局（CIA）下屬的風險投資部門。

以色列創業公司Seculert采用的方式略有不同。他們關注威脅的來源以便為政府和企業提供預警系統，而威脅往往來源于用于協調攻擊的命令和控制中心。

企業加大安全開支

隨著大型網絡攻擊數量的不斷增長，分析師和風險投資家也認為，企業的反病毒開支模式同樣會發生變化。

IDC的霍克默思指出：“原本只用于金融等敏感行業的技術如今正在進入主流市場。很快，如果你是一名反病毒專家，但卻不使用這些技術，那么你就會成為同事和同行茶余飯后的笑柄。”

霍克默思表示，企業已經開始接受這樣一種假設：他們遲早會遭到黑客攻擊，一旦這一天到來，他們就需要頂尖的專業清理團隊。

數據診斷和漏洞響應專業機構Mandiant獲得了KPCB和摩根大通（JPMorgan Chase）旗下私募股權投資部門One Equity Partners總額7000萬美元的投資。

McAfee的兩名高管喬治?庫爾茨（George Kurtz）和德米特里?阿爾佩洛維奇（Dmitri Alperovitch）也離職創辦了一家名為CrowdStrike的數據診斷創業公司。雖然成立不到一年時間，但他們已經從Warburg Pincus那里獲得了2600萬美元投資。

未來趨勢：全面解決方案

如果有一天殺毒軟件開發商有能力提高桌面電腦的安全性，那么犯罪分子可能早已經轉戰智能手機市場了。

今年10月，美國聯邦調查局（FBI）警告稱，多款惡意軟件正在威脅Android設備。7月，卡巴斯基在蘋果App Store中發現了首款惡意應用。美國國防部也呼吁企業和高校找出保護移動設備免受惡意軟件侵害的積極方式。

McAfee、賽門鐵克等公司正在開發解決方案。專門掃描移動應用中的惡意軟件和病毒的創業公司Lookout最近以10億美元估值完成了融資。

諾維特的霍華德指出：“犯罪分子越來越猖獗。殺毒軟件有助于解決問題，但今后的大型安全公司還需要提供一套全面的解決方案。”