關于“殺毒軟件已死”的預言說了多少年，殺毒軟件卻依然持續保護著系統安全和網絡安全。

賽門鐵克(Symantec)信息安全高級副總裁布萊恩·戴伊(Brian Dye)今年年初宣告，提供系統保護的殺毒軟件已經死亡，此言一出，立刻了引起了軒然大波。然而，盡管殺毒軟件的有效性近年來一直在不斷衰退，還是有安全專家認為，由這位幾乎可以與殺毒軟件齊名的公司高管對殺毒軟件進行死刑宣判還為時尚早。

當然，隨著惡意軟件復雜性的不斷增長，僅使用基于特征的殺毒軟件作為系統保護，必定是力不從心的。“一半以上的威脅，我們的殺毒軟件都阻止不了，”賽門鐵克產品營銷副總裁錢德拉·蘭根(Chandra Rangan)說。“我們一直試圖在引導人們，告訴他們說，如果只有基于特征的殺毒軟件是不夠的。”

在當今威脅四伏的環境中，基于特征的殺毒軟件本身雖然并不能提供足夠的保護，但它對于系統安全仍然做著重大的貢獻。“如果你去任何一家財富1000強企業，說‘殺毒軟件已死，把它們都從系統中刪除吧’，你一定會被很多的安全專員嘲笑的，”英特爾安全公司(原邁克菲McAfee)首席技術策略師布萊恩·凱尼恩(Brian Kenyon)表示。“事實上，即使是現在的這種形式，殺毒軟件也是可以阻止很多病毒的。”

“事實上，即使是現在的這種形式，殺毒軟件也是可以阻止很多病毒的。”

——英特爾安全公司首席技術策略師布萊恩·凱尼恩

凱尼恩接著說，在系統保護中，阻止威脅只是防病毒工作的一部分。“除了對病毒進行阻止，殺毒軟件還要對病毒進行清理，將它們從系統中清除。但是，如果你問‘當前殺毒軟件的架構和能力就是我們行業的未來嗎’，我肯定會說，當然不是，但我并不認為殺毒軟件已死。”

將殺毒軟件的定義限定為基于特征的防病毒軟件對于殺毒技術而言可能是不公正的。“殺毒軟件不是依據是否基于特征定義的，而是依據可以防止的惡意軟件定義的，”獨立測試服務機構NSS實驗室研究主管蘭迪·艾布拉姆斯(Randy Abrams)說。“只基于特征，并且只有殺毒能力的殺毒軟件，從上個世紀九十年代確實就已經死了。”

具有惡意軟件防御能力的殺毒軟件在企業中依然持續有效，甚至和最新的在線防御平臺，如漏洞防御系統(BDS)一樣強大。“漏洞防御系統是用來快速檢測和控制每個企業已經遭遇或即將遭遇到的安全漏洞的，”艾布拉姆斯解釋說。最初的漏洞防御系統產品就是這樣設計的，它還需要IT工作人員對發現的問題進行清理。“于是殺毒軟件供應商開始抓住機會，提供一個完整的端到端解決方案，結果就是，本來只做漏洞防御系統的供應商不得不在他們的系統中添加惡意軟件檢測和修復功能。”

宣告殺毒軟件已死早就不是什么新鮮事了。比如早在2006年，Hurwitz & Associates機構就發布了一份題為《殺毒軟件已死》的報告。分析師羅賓·布盧爾(Robin Bloor)在報告中堅稱，殺毒軟件將被利用白名單從運算場景清除惡意軟件的工具所取代。如今，白名單確實在某些環境中得到了有效的利用，但它也有它的缺點。

“對于控制環境，如零售POS系統、制造系統和衛生系統等，白清單確實是一個偉大的解決方案，”凱尼恩說。“你可以說什么應用程序運行良好，并且白名單之外的任何東西都無法運行，所以惡意軟件根本無法存活。”但將白名單引入到消費者或企業終端用戶環境中時，它的維護成本是難以承擔的，因為終端用戶會不斷地向他們的設備中添加應用程序。“這就是為什么我們還沒有在用戶環境中看到大量的白名單。對于服務器，對于數據中心，對于控制零售環境，這是一套偉大的方案，但對于傳統的臺式機和筆記本電腦，這會是一個挑戰，”凱尼恩補充道。

就像啟示錄的預言那樣，殺毒軟件的反對者還會繼續預言殺毒技術的末日。終端安全提供商Bromium聯合創始人兼首席執行官高拉夫·班加(Gaurav Banga)說:“布萊恩·戴伊是對的，殺毒軟件確實已經死了。”班加引用了其公司在六月份面向300名信息安全專業人士對殺毒軟件滿意度進行的一項調查，數據顯示，占85%的大多數專業人士都不相信，殺毒軟件可以阻止針對特定目標的攻擊，比如高級持續性威脅(APT)和網絡釣魚，而這些攻擊在當前威脅環境中占絕大部分。

此外，殺毒軟件對于多態攻擊和零日漏洞攻擊也是無效的，這些同樣是攻擊者慣用的手段。這些都是在基于特征的殺毒軟件動作之前就對系統進行劫持的立竿見影的攻擊方法。“安全研究人員要檢測到新的威脅并寫入新的特征往往需要幾天的時間，這就給了多態攻擊完全足夠的時間來變更它的代碼，”班加說。“當高級攻擊分分鐘就可以完事的同時，基于特征的殺毒軟件要檢測到這些攻擊卻還需要幾天的時間。”

針對殺毒軟件無法應對復雜威脅的批評并不是最近才有的。七月，新加坡COSEINC安全咨詢機構的一名研究員稱，許多殺毒軟件本身就包含漏洞，實際上讓安裝了這些殺毒軟件的系統更容易受到攻擊。研究員Joxean Koret解釋說，殺毒軟件的防病毒引擎通常都以系統的最高權限運行。在防病毒引擎中利用漏洞將為攻擊者提供root權限或系統訪問權限。這種攻擊的攻擊面會非常大，因為這種攻擊必須支持文件格式的長列表。而要處理所有的文件類型，殺毒軟件就會使用文件格式解析器，而文件格式解析器通常都會有漏洞。

不過，班加指出,“殺毒軟件或許會繼續為那些通常沒有多少健壯保護需求的消費者或善于管理更多功能產品的消費者提供服務。但是，”他補充道,“有安全意識的組織已經開始從殺毒軟件解決方案中過渡出來了。”

當然，還是有人堅信，殺毒軟件并不像批評者說的那樣無能。思科系統安全業務集團的一名威脅研究員詹森·舒爾茨(Jaeson Schultz)稱，殺毒軟件在過去五年里已經得到了演變并可以提供更多的防護。殺毒軟件不僅增加了更多的啟發式功能，使它可以更有效地應對不明特征的威脅，而且也可以阻擋各種惡意軟件，如rootkit、遠程訪問木馬(RAT)、鍵盤記錄器、間諜軟件、廣告軟件、乃至“可能不必要的應用程序”。殺毒軟件甚至還可以保護用戶免受包括電子郵件、社交媒體和通過網絡傳播的文件等各種惡意軟件載體的威脅。

“沒有殺毒軟件作為未來安全的一部分，我們就會漸漸放棄保護端點和移動設備的想法，造成成千上萬的人在網絡罪犯面前任憑擺布。”

——北美卡巴斯基實驗室董事總經理克里斯·道根(Chris Doggett)

“這是一場裝備競賽,”舒爾茨說。“隨著漏洞利用程序新途徑的不斷升級，新的反擊功能也會構建到殺毒軟件里面。宣稱殺毒軟件已死，當然是太過夸張了，許多人仍然依靠殺毒軟件作為多層防御必不可少的一個組成部分。”

雖然那些聳人聽聞的關于殺毒軟件已死的言論言過其實，那些關于殺毒軟件無所不能論調同樣也是夸大其詞。正如北美卡巴斯基實驗室董事總經理克里斯·道根認為的那樣，“網絡攻擊在數量上和復雜性上將持續增長，殺毒軟件也將一直會是用戶和組織大型安全解決方案中應對網絡攻擊的的一個組成部分。”

“沒有殺毒軟件作為未來安全的一部分，我們就會漸漸放棄保護端點和移動設備的想法，造成成千上萬的人在網絡罪犯面前任憑擺布。”