最近一家反惡意軟件廠商高調(diào)宣稱,網(wǎng)絡(luò)安全就是一個需要壞人持續(xù)賺錢的腐敗產(chǎn)業(yè)。這個極端的說法引起了一些人的注意,尤其是那些嚴(yán)格實行了昂貴的反病毒解決方案卻依然慘遭入侵的機構(gòu)。
Triumfant Security CEO John Prisco
這家廠商名為Triumfant Security,其首席執(zhí)行官約翰·普里斯科在一篇文章中說道:“網(wǎng)絡(luò)安全產(chǎn)業(yè)就是一場‘騙局’,廠商們都知道自己的產(chǎn)品根本解決不了問題,但依然賣得不亦樂乎。”
可以說,這場騙局讓這些道貌岸然的家伙們比黑客更墮落。
訛詐
這篇文章讀來十分有趣。在文中,普里斯科說,出售反病毒軟件的公司就是在“訛詐”。
經(jīng)典的反病毒和更新一些的反惡意軟件程序——主旨都是反病毒,根本解決不了問題。因為它們能夠產(chǎn)生作用的基礎(chǔ)是類似的攻擊以前曾經(jīng)見過,這些軟件依賴于對攻擊的知識儲備。換句話說,它們得把遇到的攻擊代碼加到其預(yù)建的攻擊庫中(黑名單),并與之進行比較。
許多人都已經(jīng)知道,現(xiàn)在的攻擊早已不再遵循這樣的套路。
“現(xiàn)代網(wǎng)絡(luò)罪犯更加復(fù)雜和高端。我們遇到的不再是頑童的惡作劇……網(wǎng)絡(luò)安全工作需要在不查詢已知列表的情況下分辨出正在遭遇的狀況。列表必然會過時且囊括不了所有情況。”
大數(shù)據(jù)
普里斯科稱,大數(shù)據(jù)和機器學(xué)習(xí)是更好的方法。這意味著基于實際環(huán)境實時鑒別模式預(yù)測差異,而不是基于過時或無用的信息。
很“湊巧”,他的公司Triumfant就出售這種類型的解決方案。
其公司網(wǎng)站上宣稱:基于簽名的防御,就像在傳統(tǒng)網(wǎng)絡(luò)防護中所用的那些一樣,可以被更新的攻擊繞過,但Triumfant的分析解決方案則檢測、分析并立即解決攻擊。
犯罪集團
那么,為什么其他主要安全廠商不走分析路線呢?
普里斯科認(rèn)為:“因為讓數(shù)據(jù)泄露持續(xù)下去對他們而言才是最好的。他們跟黑客一樣有罪。”
那黑客那邊的情況又如何呢?普里斯科說:“他們都是些受資源豐富的犯罪集團和國家支持的專業(yè)人士,砸在研究和開發(fā)上的資金都數(shù)以百萬計。”
基于簽名的解決方案無效
不過,還是有其他一些廠商希望打破現(xiàn)狀。
今年4月份,一篇發(fā)表在《網(wǎng)絡(luò)世界》上的文章表示,反惡意軟件市場上的創(chuàng)新由Bit9/Carbon Black、Bromium、Countertack、Crowdstrike、Cylance、Invincea、Webroot,以及Triumfant引領(lǐng)。
這篇文章引用了Gartner分析師尼爾·麥克唐納的話:“很明顯,傳統(tǒng)基于簽名的犯惡意軟件解決方案越來越?jīng)]效果。”
文章認(rèn)為,反病毒軟件依然被部署的原因不過是因為要遵循“法律和合規(guī)的要求”。而且,雖然這玩意兒捕捉不到全部的病毒,但還是能提供一定層級的保護。
普里斯科大膽揭露,企業(yè)之所以依然買進這些“黑客與網(wǎng)絡(luò)安全廠商勾結(jié)的產(chǎn)物”,部分原因是出于保密。而安全產(chǎn)業(yè)在所謂的保護安全的努力上是不透明的,這意味著沒什么效果的產(chǎn)品會繼續(xù)出售,然后繼續(xù)令人失望。
現(xiàn)有方法正在失效
你把1億個條目放進你的安全軟件黑名單,黑客就會構(gòu)造出第1億零1個攻擊方法。
普里斯科在文章的最后表示,傳統(tǒng)安全方法不能切實保護到誰,因為昨天發(fā)生的事件未必對今天正在發(fā)生的事件有什么借鑒意義。這也正是現(xiàn)有方法正在失效的原因所在。