终端安全

我这里说的终端安全产品，指的是杀毒软件，防火墙，hips，透明加解密系统，内核加固，影子和还原系统，企业级的终端安全保护软件等。
 

    杀毒软件这几年的变化，主要体现在，在原来单纯基于特征码检测的基础上，加入了主动防御了新措施。主动防御的概念是很好的，在客观上也是有实际需求的。更重要的是，主动防御的出现，的确在很大程度上对Trojan，rootkit，virus等malware 起到了防范和阻止的作用。突破主动防御成为malware开发者们最头疼，也是最优先考虑的问题。但是主动防御也有其负面的影响，最近一两年来几乎所有的杀毒软件都或多或少的出现“误杀”事件。出现误杀，多数情况下是由主动防御模块造成的。因为现在软件发展的趋势是软件越来越庞大，越来越复杂。在安全领域，攻与防的双方往往使用同样或相似的技术，所以在行为上，melware和anti-melware软件很难被精确区分。如果想保证不漏杀和避免误杀，那么主动防御的引擎要足够智能。但是显然在目前这还是一个问题。杀毒软件的另一个变化就是开始提供更多辅助功能。比如瑞星推出了卡卡，金山推出了清理专家。其它杀毒厂商，多数在提供杀毒软件的同时都另外推出了所谓防御malware的工具。这些工具，一般用来管理ie, 打补丁，删除顽固文件，rootkit高级扫描等。基于木桶原理，推出这类工具也是有必要的。但是，不管安全形势和安全技术如何发展变化，基于特征码的精确匹配来识别malware仍然是最可靠的方法。可以预见，即便在将来主动防御成为杀毒软件的主要防御部分之后，特征码扫描依然会是重要的组成部分，而且也会是杀毒软件区别和优胜于单纯的HIPS系统的重要部分。依据平台为王的规则，杀毒软件依然会是终端上最主要的防御手段，而且要想保证完备的防御，杀毒软件是无可取代的。所以，杀毒软件将来还会占据终端安全市场的主要部分。由于杀毒软件技术含量相对较高，开发维护成本也很高，而且现有杀毒软件经过多年积累，在技术和用户群上都基本稳定下来。所以新手要想在杀毒软件领域有所作为很难很难。
 

    防火墙，最早就是单纯的包过滤。但是安全发展到今天，单纯的包过滤已经没有任何价值了。因为单纯从网络封包中分析ip,端口，甚至进程信息已经远远不能判断这是否是恶意的网络行为。所以目前的防火墙都加入了hips的功能。这方面走的最早的是za。za 早就不是一个当初的封包过滤软件了。当前的防火墙，网络过滤只是一个基础性的功能模块，业务的核心已经转换到恶意行为的识别上来。简单的说，单纯的网络过滤防火墙已经完成了他的历史使命，并开始退出历史舞台。当前的防火墙基本可以被看做为hips。所以，防火墙的前景和hips的前景在大方向上是一致的。预计防火墙将会继续向hips靠拢。
 

    HIPS，我的理解就是做的更专业，更完备的主动防御。通过分析大量攻击事件的方式方法。对系统的文件，进程，网络等做全套的监控。从监控到的信息中，分析这是否是一个恶意的行为。专业的hips 因为先入为主的对系统资源进行了监控，所以malware 一般比较难完全无声无息的运行起来。但是hips面临一个难题：如果将任何可能造成系统不安全的行为都报警的话，那用户每天都会看到无数个报警框。如果hips自己试图分析判断是否为恶意行为的话，那么hips就必须解决不漏报和不频繁报的问题。这个问题是很难完美解决的。hips 目前可以作为杀毒软件的一个重要补充，为系统提供更可靠的保护。但是，hips 软件目前做的事情，如果杀毒软件愿意的话杀毒软件完全可以自己来做。比如卡巴斯基，他的主动防御已经足够强大和足够智能了。新出来的卡巴8更号称开始提供全功能的保护。这就是说hips 的生存空间将越来越小。因为
 hips的地位只能是杀毒软件的一个补充，需要深入，细心的挖掘杀毒软件尚未解决部分的用户需求，做小做精才是出路。另外一个问题是，该类产品多数为免费软件，而且成品有很多，所以hips没有市场前景。
 

    透明加解密的问题有很多。从解决方案的角度说，透明加解密在文件实际存盘的时候是已经被加密过的。但是当被读取到内存中之后还是明文的。这就是说，即便装有透明加解密系统的机器，一旦被入侵进来，rootkit之类的软件还是可以轻易读取到明文的数据。一些透明加解密系统提供针对进程的有选择的透明，并只提供白名单。但是这样还是存在许多问题。比如需要防止白名单进程被注入代码，防止白名单进程成为傀儡进程等。而且，基于fsd过滤驱动的透明加解密系统目前还存在各种各样技术实现上的问题，让人遗憾。基于虚拟卷过滤驱动的加解密系统，实用性则更有限了。因为一旦虚拟卷被加载起来，那么不管
 谁都可以读取明文数据，更没有加密一样。最理想的加密系统，应该只在显示器上是明文的，其余任何地方都是密文。透明加解密，防水墙，防泄密系统之类软件，存在着客观的市场需求。但是产品本身在解决需求上还有不少距离。当然了，防泄密本来就不单是技术问题。因为市场需求的存在，所以此类产品还是有一定前景的。
 

    内核加固，这样的产品其实用户根本就不认可。而且，多数内核加固产品是部署在server上的。不说了。
 

    影子和还原系统早就面世了。以前大多安装在网吧的机器上。这两年此类产品又开始活跃起来，而且开始用于一般的终端机器。目前，还原系统宣传自己的卖点是，各种melware成几何级数增长，杀毒软件的响应太滞后。而还原系统则无视任何melware，重启机器后一切清净。但是，一般用户必然希望自己的一部分数据可以有选择的在重启机器后被保留下来。不然，重启机器后melware没了，有用的数据也没了。所以，针对一般终端用户，还原系统开始提供有选择的“被穿透”功能。用户想保存数据就可以保存。此类软件确实可以在一定程度上解决被melware侵害的问题。但是技术实现和被用户认可需要一段时间。形成终端用户市场也需要一段时间，值得期待。
 

    企业级的终端安全保护软件。这是一个平台类的产品。此类产品可做的功能有很多，一般是，提供行政上的IT 管理手段，网络维护功能，终端机器的保护功能。由于企业用户环境的多样性，需求比较杂乱。此类产品一般各有特色，没有统一的标准，因此也很难评论优劣。此类产品的优势在于可以提供企业内部统一的策略和集中的管理。此类产品面临的突出的问题在于，平台类的产品更关注如何整合多种功能模块，但是在单个功能方面可能缺乏竞争力。此类产品有巨大的整合能力，这也是它作为一个平台所具有的优势。但是，因为终端环境的复杂性和安全软件开发难度的增加，不建议此类产品往大而全的方向发展。应该控制规模，选取重点发展方向，有选择性的整合。企业级终端安全存在一定的市场需求，和前面说到的加解密，防泄密产品类似，需要自身发展，更好的满足需求，值得期待。