在過去幾年中，反惡意軟件已經逐漸失去顯著效果，但眾多CISO仍然把它作為保障案例的主要方案。之所以堅持將反惡意軟件作為企業終端保護規劃中的組成部分，通常是為了迎合合規性以及監管委托(例如PCI DSS與HIPAA)的要求。是繼續把反惡意軟件保留在安全“最佳”實踐清單當中，還是利用一套效果尚不明確的新機制取代這位在終端安全領域奮戰了三十年的老將?我想答案是顯而易見的。

無論出于何種原因，目前的情況已經愈發明顯——攻擊者們已經開始在與反惡意軟件之間的貓鼠游戲中占得先機，特別是在Web惡意軟件防御領域——谷歌的測試表明，即使是表現最出色的殺毒產品也只能檢測出25%的惡意代碼【詳見：反惡意軟件走向末路：最高檢測率僅25%】。

然而，如果基于簽名的反惡意軟件已經不再合適、那么什么樣的工具有能力頂替上來?這樣的工具是否真實存在?我給出的答案是肯定的。

與所有安全機制一樣，這些替代方案也不可能做到放之四海而皆準。目前我們可以選擇多種工具及方案幫助自身實現更高級別的終端安全水平，其作用范圍涵蓋數據中心與員工兩大方面。不過根據每家企業所面臨的具體挑戰，實施過程也可能會有所區別。

內容過濾: 由于85%的惡意軟件通過網絡傳播(其中最大的威脅源自下載)，所以我們必須為自己的企業提供一定級別的內容過濾機制。目前得到廣泛部署的過濾工具主要分為兩類：

一是網絡代理。 主推此類方案的廠商規模已經達到兩位數，而且這項技術也已經存在了相當長的一段時間。Blue Coat Systems以及Websense等公司都提供訂閱式服務，根據具體政策對目標網站加以放行或者阻斷。另外，這些服務還提供情報與動態更新，從而阻止用戶訪問已經曝光的惡意站點。需要強調的是，這些產品無法檢測零日漏洞;由于采用基于簽名的反惡意軟件機制，此類產品在識別惡意站點并推出簽名方面存在一定延遲。盡管網絡代理僅僅作為我們惡意軟件防御鎧甲上的連接部分，但它的地位仍然非常重要。

二是DNS過濾。OpenDNS等工具能夠通過黑名單主動阻止用戶訪問已知惡意網站，從而幫助用戶遠離安全威脅。它還提供白名單服務。OpenDNS用戶能夠與數以百萬計其他用戶共同合作，從而更快掌握每天新增的三萬個受感染網站的情報。其使用過程非常簡便，又有多家使用該服務的大牌客戶作為防御前沿保護網絡用戶。最重要的一點?這些服務并不需要搭配昂貴的硬件設備。

基于瀏覽器的安全機制: 網絡瀏覽器組件，例如微軟的Smart Screen(作為IE 8及更新版本的組成部分)，能夠有效過濾用戶對惡意網站的訪問。根據微軟的說法，其產品到目前為止已經成功阻止了超過十億次惡意代碼下載嘗試。谷歌CAMP則是另一項舉措，允許Chrome用戶充分利用谷歌對惡意網站的規模化識別能力與動態知識儲備。

基于主機的異常/取證工具: 這類工具在市場上的表現還不夠成熟，但卻能夠帶來出色的新型防御能力，從而幫助企業保護那些更為珍貴的資產，其中包括數據庫服務器、財務系統、電子郵件服務器以及高管與其他高風險用戶的業務系統等。從理論角度講，每個終端都擁有配套代理機制，而且會首先對系統的正?；顒舆M行基準設定(例如應用程序運行、網絡連接/共享開啟、內存調用以及監控開啟狀態下的文件訪問等情況)。一旦基準設定完成，這些代理會繼續對系統進行監控，從而尋找那些可能屬于惡意行為的不規則活動。

某些產品供應商還會與其它廠商及服務供應商合作，VirusTotal就是其中的典型代表。他們會在用戶從互聯網下載應用程序、二進制文件、電子郵件甚至U盤數據時自動上傳可疑或者未知二進制代碼，并進行自動分析。

這些工具在出現安全事故后也能發揮顯著作用。在一般的違規狀況下，取證工具需要在違規發生后才被安裝在受影響系統當中。但某些來自Carbon Black、Mandiant以及Guidance Software的Encase等新銳廠商的工具會被預先安裝并在必要時提供違規前系統中發生的所有活動，從而幫助技術人員了解違規事件的產生原因以及違規事件造成的影響。

虛擬化保護: 在過去三年中，還有另一種技術日漸成熟并蓄勢待發，這就是虛擬化或者隔離機制。這些技術并沒有繼續沿用已經暴露出嚴重局限的簽名或者黑名單方案。

通過虛擬化與隔離機制，Bromium公司希望能憑借自己的微虛擬機系統將計算機上的每個進程與每個應用程序進行分別隔離。這些微虛擬機在本地主機內形成云體系，并進一步按照進程的關聯性進行劃分，例如網絡瀏覽器、辦公套件以及電子郵件等等。

除此之外，FireEye公司還推出了一款虛擬化容器，允許安全專業人士在受控環境下對可疑惡意軟件進行評估——這樣一來分析過程將不會受到其它未知風險或者不相關代碼的影響。分析師們能夠重現可疑攻擊過程，分析惡意代碼如何影響相關虛擬化系統，從而匯總出其行為基準。這套基準信息將成為重要依據，幫助安全專家判斷惡意代碼是否會對其它系統及網絡產生類似的影響。

由于惡意軟件始終處于不斷發展之中，過度依賴于單一惡意軟件防御系統或者同一套方案組合就顯得非常愚蠢。我們不能想當然地認為目前正有效保護寶貴IT資產的工具能夠在五年后仍然發揮同樣理想的作用。因此，請以向新技術過渡為出發點逐步遠離基于簽名的反惡意軟件——請記住，我們必須不斷重新評估當前威脅環境并做出相應調整，這才是保障安全的不二法門。

【本文編譯自searchsecurity.techtarget.com，原文標題"Malware defense revisited How to improve Web based malware detection"(原文鏈接：http://searchsecurity.techtarget.com/tip/Malware-defense-revisited-How-to-improve-Web-based-malware-detection)，核子可樂協助編譯?！?/p>