新一代安全软件:迷信与营销


 
侏罗纪
 
对于现如今的安全软件市场,媒体往往反复炒作一个概念。他们将恶意软件检测技术划分为两大类,一类是“第一代”或“传统”技术(甚至还被称为“化石”或“侏罗纪”技术),称其总是依赖以往病毒库进行检测,另一类是(所谓的)更先进技术,检测过程中减少对病毒库的依赖。这种解释被一些“新技术”公司称道,频频用于自身产品的营销宣传,但这并不能如实反映实际情况。
 
进化论
 
 
 
首先,我想先谈谈“第一代”技术的说法。现代主流安全软件,已不能与早期的“单层”防护技术,例如静态病毒库扫描、调整检测方法和抗病毒疫苗归为一类 – 正如不能将Microsoft Word与早期Unix或MS-DOS系统的文本编辑器相提并论一样。或许它们和早期应用程序之间有着相同的基本目的 – 无论是检测还是拦截恶意软件,或是创建和处理文本 – 但它们的功能却全面得多。现代文字处理软件所集成的元素,在几十年前看来,只不过是桌面排版、制表和数据库应用。
 
物种起源

现代反恶意软件安全套装,在其所集成的程序元素方面,种类并不那么广。但是,它却涵盖了远超出病毒库(甚至病毒特征库)检测的多级防护层。它们已进化为截然不同的新一代产品,纳入了当初第一批防毒产品发布之时尚不存在的各类技术。在探讨市场新产品时,将其单独定义为超越原始病毒库检测技术的新一代产品,不仅概念错误,也纯属误导。
 
病毒库?什么病毒库?

现如今,即使现代化的单层付费防毒软件,也绝非只是查找特定样本以及样本静态特征。它们扩大了对已知恶意软件家族的特定哈希值检测范围,纳入了添加白名单、行为分析、行为拦截以及(例如)调整检测机制等众多元素,而这些都曾一度被视为纯“分类”检测技术。总体而言,我并不是建议人们应完全依赖单层防毒软件,例如由一些主流公司所推出的免费产品:而是应使用其他多层防护产品,例如商业级安全套装,或通过使用来自不同渠道的组件,含单层防毒产品在内,构建此类套装软件所具备的多层功效。然而,后一种方式需要用户,对恶意软件威胁和安全技术具备一定程度的了解,而多数个人用户都不具备相关知识。谈到这一点,并非所有公司企业都拥有本地知识库资源可供查阅,从而使其可能受到名为技术建议、实为虚假营销活动的潜在影响。
 
重提基础知识
 
然一些新一代产品对自身技术的工作原理讳莫如深,使其所推出的主流安全产品貌似开源软件,但可以确信的是,“化石”和“新一代”产品之间的区别,往往是一种说辞而不具备技术含量。我从不认为所谓“新一代”产品,除了运用查杀恶意软件(对此Fred Cohen很早就制订了定义,他针对所有初衷和目的,于1984年提出的“计算机病毒”介绍和定义,为反病毒产业的发展奠定了基础)的以下基本套路之外,相比“传统”技术产品而言,还有什么新的手段:
  • 识别和阻止恶意行为
  • 检测意外和不正当修改
  • 表明存在已知或未知恶意软件的检测模式
自然,这些思路的应用方式已走过难以衡量的改进历程,现如今更为先进,但进步成果并不是近年来发布的新品所独有的。譬如,我们通常见到的“风险指标”,也可以被(相当粗略地)描述为病毒库。不止一家厂商未能就主流反病毒软件所采用的行为分析和拦截技术,与自身运用(例如)行为分析/监测/拦截、数据流分析技术(等),以及主流反病毒软件应用相同技术之间的具体区别,给出令人信服的答桉。不同的是,他们选择了宣传“化石技术”这一欺骗性论调,通过运用大量时髦技术词汇,为自身市场营销活动推波助澜。
 
认识机器判断原理
 
举例来说,假定备受推崇的“行为分析”和“纯”机器学习技术,是用以划分新一代产品和第一代产品的界定依据。现实世界中,机器学习技术并不是某一行业所独有的。神经网络和并行处理等领域的进步,对于主流安全业界和其他计算机领域都是同等有益的:例如,离开一定程度的样本分类自动化程序,我们便无法应对每天蜂拥而至的数十万威胁样本,难以对其分析以便生成准确的检测特征。
 
然而,所谓新一代产品营销宣传中所使用的“纯机器学习”等一类词语,只是说辞而没有实际技术意义。它不仅仅暗示,机器学习技术本身相比一切其他技术而言,可以保障更高的检测率,甚至还暗示该技术效果极佳,再也无需人工介入。实际上,很久以来,机器学习技术已在反病毒业界拥有广泛知名度并被普遍采用。如同任何其他技术一样,它既有优点也有缺点。至少,对于机器学习技术而言,恶意软件作者和恶意软件检测厂商往往有着相同层次的认识,前者不遗余力,试图寻找逃避检测的方式,与其在其他防毒技术上的投入并没有不同。
 
关于行为分析技术
 
 
 
类似地,当所谓新一代软件厂商大谈特谈,行为分析技术是其独家发明时,他们恐怕还没有弄明白:行为分析一词及此项技术,已在过去几十年来,被主流安全业界所普遍采用。事实上,超出静态病毒库检测以外的几乎所有检测技术,都可以被定义为行为分析技术。
 
自然与不自然选择
 
记者 Kevin Townsend 最近问我:

“业内有没有什么方法,能够帮助用户对比和选择第一代[…]和第二代[…]恶意软件检测产品?” 
 
撇开完全误导性的第一代和第二代用语不谈,是的,当然有。实际上,一些公司自我标榜为“第二代”,称其技术太过先进、无需检测,已迫不及待地试图对比,自身产品和所谓第一代产品的检测效果,从而将已敞开的大门进一步推开。举例来说,至少有一家新一代厂商,已自行着手通过恶意软件样本,做公开演示:如果跨代产品无法在独立检测机构的环境下对比测试,那么这样的演示又怎能在公关意义上,称得上准确呢?新一代厂商的其他误导性营销用语包括,“第一代产品无法检测驻留内存中的‘无文件’恶意软件”(我们早已做到几十年了)。另一个尤其拙劣的例子是,以信息自由要求为基础,试图借助漏洞百出的调查问卷证明,“传统”防毒软件遭遇“悲惨的失败”,一概无意区分攻击和成功攻击截然不同的本质。
 
测试和假测试
 
较为常见的是,误用和误读VirusTotal(VT)的检测结果,将该网站和同类服务视为便捷易用的“多引擎查毒服务”,实际情况却并非如此。VT网站声明: 
 
“VirusTotal不应用作对比不同防毒产品检测性能的用途。杀毒引擎为复杂工具,可内置其他检测功能,后者在VirusTotal扫描环境下可能无法正常运行。鉴于此,VirusTotal扫描结果一概无意用作防毒产品有效性对比目的。”
 
笼统地说,VT是通过将文件暴露于一系列防病毒检测引擎之下,来“检测”文件是否有毒的。但它并非启用相关产品中已集成的一系列完整检测技术,因此无法准确检测或代表产品有效性。有一家新一代厂商称,早在向VirusTotal上传某样本前一个月,就检测到勒索软件样本。但实际情况是,在这家新一代厂商宣布检测结果前一个月,已有至少一家主流/传统厂商检测了同一哈希值。不能借助VirusTotal检测报告,衡量一款产品的有效性,因为VT不是检测机构,其报告只反映其所启用的部分产品功能。否则知名主流检测机构,例如Virus BulletinSE LabsAV-ComparativesAV-Test等,就失去存在的意义,它们在检测方法的设计上,投入了大量精力和时间,尽可能确保横向对比结果的准确性和具有代表性。
 
走向合作
 
2016年间的一大戏剧性演变是,VirusTotal宣布调整其网站的使用条款,增加“新一代”技术公司访问“第一代”公司所上传样本的难度,以免前者在不给VT贡献样本的情况下,为自身沽名钓誉。以下引用VirusTotal的博客内容:
 
“…自现在起,所有杀毒厂商都必须在VT网站的公共页面上,集成自己的检测软件,方有权获取作为自身VT API服务一部分的防毒引擎查杀报告。此外,新加盟的防毒厂商需依照防毒检测标准组织(AMTSO)的操作规范,首先通过安全检测机构认证和/或独立评测,方可享受本站服务。”
 
虽然很多新一代厂商最初的反应是,称其“不公平”、“恐龙们携起手来对付我们了”、“我们又不使用病毒库,不需要VT服务,我们不在乎”,但貌似还是有几家较知名厂商,准备遵守防毒检测标准组织的加盟要求,并愿意接受独立检测。(此处我指的是真正的检测,不是VT的假测试)。由于新一代厂商过去一贯倾向于辩称,其产品无法测试,尤其是无法接受由“存在偏见的”防毒检测标准组织所实施的测试,因此这或许暗示出,并非所有用户都会在做出购买决定之时,单纯取信广告宣传用语的潜在积极信号。
 
共享与互惠互利
 
为何(部分)新技术厂商现又决定,需要配合VirusTotal的要求呢?这是因为,VT会和防毒厂商共享其所收到的样本,并提供一个API,可通过VT所集成的所有杀毒引擎,自动检测所上传的文件。这使得防毒厂商不仅仅可以共享由主流厂商所分享的样本,还能够核对不确定的样本及自身检测结果,并在此基础上,改进机器学习技术的算法(如适用)。
 
有不配合的理由吗?这和从业已久的厂商使用VT的方式并没有多大区别。根本差异在于,使用条款更新后,能够提供三种收益。(任意一代技术)厂商都可以从VT资源库访问以及海量样本库中获益。VT能够作为信息汇总商,并从高级服务供应商角色中获益。全球其他人员可以从存在免费的网站服务,允许其利用一系列防毒引擎,检测单个可疑文件中获益。将查毒引擎扩大、囊括非传统技术,能够提高网站服务的准确性,同时新厂商也可能会更加谨慎,在自身面临同样人为操控的处境下,不再误用VT报告进行假测试和虚假营销。
 
完整产品测试
 
近年来,与防毒检测标准组织协作的检测机构,已纷纷转向“完整产品测试”,这对于公平公正非传统产品而言,正是检测机构需要前进的方向。(或无论如何,维护与主流产品相同的公正性。)不久以前,静态测试法曾一度流行(一定程度上,这也是未与防毒检测标准组织协作的检测机构仍在采用的方法,该组织成立后,不鼓励使用静态测试法)。虽有各种不尽人意之处,但防毒检测标准组织的规模,要大于(也相比更为公正)原有各类分支机构的总和,因为它集中了一系列来自防毒厂商和测试机构的研究人员,营销人员数量并不多。因此,单个公司无论位于哪个阵营,都难以施展对该组织整体的不正当影响力,无法借此为自身牟利。如果新一代厂商能够要紧牙关、积极配合这种氛围,所有厂商都能够从中受益。防毒检测标准组织过去曾出现下属机构的检测日程,存在过多人为操控或甚至比这更糟糕的嫌疑,使其声誉蒙受了一定损失,但随着组织内部有了新老厂商和检测机构之间的更佳平衡性,一切此类伎俩便难以再有机会得逞。

展望新生代
 
几年前,我曾在为Virus Bulletin撰写的一片文章末尾写道: 
 

“但我们可以想象没有杀毒软件的世界吗,因为很明显,我们已经听到了最后的葬礼?…目前污蔑防毒软件的那些公司,在背负其所谓研究成果大肆宣传的同时,是否能够匹配现在防毒实验室工作的科研人员技术水平?”

我想或许我们已经找到这一问题的答桉。但如果自我标榜的新一代产品能够运用自律条款来约束自己,缓和富有攻击性的营销策略,学会与不同实力和技术水平的其他公司协作并从中受益,我们全体从业者都会和谐局面中受益匪浅。

本文为ESET公司2017年疫情报告《安全遭遇勒索》中的相应章节改写版。
 
 
关于ESET
ESET成立于1992年,是一家面向企业与个人用户的全球性的电脑安全软件提供商,其获奖产品 — NOD32防病毒软件系统,能够针对各种已知或未知病毒、间谍软件(spyware)、rootkits和其他恶意软件为电脑系统提供实时保护。ESET NOD32佔用 系统资源最少,侦测速度最快,可以提供最有效的保护,并且比其他任何防病毒产品获得了更多的Virus Bulletin 100奖项。ESET连续五年被评为“德勤高科技快速成长500 强”(Deloitte’s Technology Fast 500)公司,拥有广泛的合作伙伴网络,包括佳能、戴尔、微软等国际知名公司,在布拉迪斯拉发(斯洛伐克)、布里斯托尔(英国 )、布宜诺斯艾利斯(阿根廷)、布拉格(捷克)、圣地亚哥(美国)等地均设有办事处,代理机构覆盖全球超过100个国家。
 
关于Version 2 Limited
Version 2 Limited是亚洲最有活力的IT公司之一,公司发展及代理各种不同的互联网、资讯科技、多媒体产品,其中包括通讯系统、安全、网络、多媒体及消费市场产品。透过公司庞大的网络、销售点、分销商及合作伙伴,Version 2 Limited 提供广被市场讚赏的产品及服务。Version 2 Limited 的销售网络包括中国大陆、香港、澳门、台湾、新加坡等地区,客户来自各行各业,包括全球1000大跨国企业、上市公司、公用机构、政府部门、无数成功的中小企及来自亚洲各城市的消费市场客户。