應對高級惡意軟件的兩大誤解

高級惡意軟件是網絡世界里最新、最具潛在破壞性的威脅。它們隱秘，具有針對性且極具“耐心”。一些知名的惡意軟件盡管通常帶有易于識別的簽名，但通過不斷變化總能逃過一般識別模式的防御。此外，它們通常專注于特定目標，并在達到目的之前“小心翼翼”，盡量減少在網絡上的“蹤跡”。可以說，高級惡意軟件在被發現和被消除之前其實已經活躍很久了。與此同時，在未被發現期間，這些軟件對系統和組織已造成重大破壞。

針對高級惡意軟件如上特殊性，傳統網絡安全解決方案的開發方式不再百分之百的有效。基于“簽名”方法的整體解決方案對于捕獲那些已知惡意軟件高效準確，但僅靠這些方法顯然不足以使機構或組織得到充分保護。

那么，我們應該如何應對這種高級惡意軟件？我想先談談目前普遍存在的對高級惡意軟件解決方案的兩大誤解，繼而分析怎樣才是最有效的方式。

誤解一：高級惡意軟件的主要問題在于如何識別

正如前面所分析的高級惡意軟件的特性，傳統的解決方案已經無法滿足我們的需求，因此需要另辟蹊徑。目前，應對這種威脅的一個常見方法是一種基于“行為”的技術，稱為沙盒技術。

沙盒是一種強大的離線查找工具，可將未知或可疑文件隔離在一個虛擬環境里，允許它們在其中充分“表演”，就好像它們已達到目標；而沙盒內置的設備會監控文件的“一舉一動”。如果疑似病毒確認具有威脅性，那么它則無法在隔離的虛擬環境里產生真正威脅。沙盒技術創造出了一個相對安全的環境，可以用來測試可疑文件。此外，由于沙盒無需在分析前了解文件情況，即無需“簽名”，因此它成為了一項識別高級惡意軟件的強大技術。

但是，“沙盒”也有其局限性。例如，許多沙盒技術只能在既定操作系統的通用版本上運行，并非是客戶實際操作環境的真正影像。這就可能導致對可疑文件行為的錯誤假設。這種局限性在某種程度上限制了它們捕獲高級威脅的能力。

但這種基于行為的方法在識別大量高級威脅方面仍表現得相當有效，因此市場對該項技術反響熱烈。然而，正是這種熱烈反響產生了一個共同的傳言——高級惡意軟件的主要問題在于如何識別。

事實上，識別高級惡意軟件非常重要，但是真正的挑戰是如何處理高級惡意軟件，阻止并修復其造成的傷害。

沙盒技術是一項功能，而非產品，識別高級惡意軟件只是其中的一個步驟，而非解決方案。雖然傳統的解決方案通常無法識別高級惡意軟件，但它們卻具有良好的防護能力。沙盒的局限是只能識別威脅，而不能進行阻止和修復，因此，為了真正地抵御高級惡意軟件，沙盒必須配有阻止威脅并修復其所造成的損害的工具。如果沒有這些附加功能，安全行業只是解決了問題的一部分，而將大多數工作留給了客戶。

誤解二：沙盒可以隔離惡意軟件

對惡意軟件的分析往往是復雜且耗時的，因此沙盒并不是一項實時技術。事實上，大多數沙盒只能對文件復本進行分析，而原始文件則被發送到目標終點。所以即使發現一個可疑文件是惡意的，實際文件早已到達終點并造成損害。

就這一點而言，沙盒只能發現可疑文件是惡意的，但不能真正地阻止它。

此外，沙盒通常是緩慢從一個入口點進入環境，它甚至不會注意到可能還有其他的高級惡意軟件溜進了其它入口點。但真正安全的技術必須能夠識別和阻止溜進任何入口點的惡意軟件，而無需其他額外軟件幫助。

那么，我們如何提升安全級別呢？我們需要在每個入口點設置監控，并采用一些技術阻止被列入黑名單的文件。如果沙盒解決方案有一些附加的文件屏蔽功能，并假設這些功能是成熟的，那么將面臨兩個選擇：可以在每個入口點部署這種技術——這需要我們支付高額的費用；或者可以通過使用一個解決方案，對這些入口點現有的安全產品發現的可疑文件進行集中分析。

顯然第二種方法能更有效地降低成本并使網絡控制更加嚴格。

總而言之，與傳統防御系統實時分析和阻止惡意軟件的方式不同，沙盒不能實時操作。為了真正有效地應對高級威脅，必須將沙盒部署為高度集成或綜合安全環境的一部分：可處理多個入口點，且能將信息傳回操作環境，警告發現新惡意軟件，并盡可能地在發現前阻止和修復相應損害。

-Mike Fey

邁克菲2014 版核心 PC 安全產品

9 月 10 日，邁克菲宣布推出新的 2014 版核心 PC 安全套件，該產品占用資源更少、運行速度更快，顯著提升了用戶體驗。2014 版核心 PC 安全套件包括“邁克菲防病毒+防火墻組合裝2014”、“邁克菲網絡安全實時防御套裝2014”以及“邁克菲全面安全保護套裝2014”。

憑借對惡意軟件掃描引擎（McAfee AM Core）的進一步增強，邁克菲 2014 版 PC 產品可提供更強的檢測能力，能夠有效防范當今最高級的威脅。新的引擎具有快速、高效的掃描和實時威脅智能感知功能，可幫助用戶抵御最新的數字危險，包括“零日漏洞”威脅、按鍵記錄程序和木馬，同時最大限度降低對用戶系統的影響。

2014 版產品的特定產品組件已重新設計，通過減少簽名文件規模和提高 CPU 利用率來提升掃描速度。此外，邁克菲的核心 PC 安全產品近期還通過了第三方測試實驗室 AV-Test 的有效認證，以及 AV Comparatives 的真實環境保護測試高級認證。