以下这段专访与文字来自趋势科技资深资安分析师 Rik Ferguson 接受媒体的专访，谈的传统防毒软件测试的不足。他提到传统的测试看到最后一道防线，那就是这是不是恶意程序？只关心这个问题，就好像您大开门窗而不加以看守，却在放袜子的抽屉里装了警报器来保护抽屉内的珠宝。

作者趋势科技资深分析师Rik Ferguson

http://s14/middle/59acc8e2g8651246913dd&690

http://www.youtube.com/watch?v=xuXr2PFSPWU

    最近媒体刊登了一段我的专访影片，内容是有关当前威胁情势与信息安全未来 走向的探讨。在专访中，我解释了趋势科技先前为何拒绝参加某些知名的防毒软件测试。原因是我们认为这些测试无法真正反映今日资安威胁潜入企业的方式，因此反而会造成一种安全的假象。通常这些传统测试都是采用一组事先搜集的各种病毒、木马程序和其它恶意程序。受测的信息安全软件在安装、更新之后，就切断与因特网的联机，然后开始测试是否能侦测到这些恶意程序。最后，根据成功侦测的恶意档案比例计算出总分。

    我想，测试单位会辩称这是一种让各家软件在公平起跑点上互相较劲的作法。这一点我能够理解，但这样的方式却无法反映企业或消费者所面对的真实威胁环境。今日首要的威胁来源就是因特网，其次是恶意程序透过因特网下载其它恶意程序。遭到感染的网页、PDF 档案、社交网络以及云端式服务等等，都是传统实验室测试环境无法反映的一些真实或潜在的重要威胁。但是传统测试仅着眼于档案的层次，也就是资安软件是否能够侦测恶意档案？我们需要更全面的方法。恶意程序与其它威胁有很多入侵管道，老实说，一旦它们入侵成功，就表示您的信息安全解决方案出现漏洞。并不一定是有人违反安全规则而引起。当您公司的执行长发了一封信要您看看某个网站。我相信大多数的人都会点选内含的连结。

    好的信息安全解决方案应该替您想到一系列的问题，这些问题不能只局限于病毒本身，而是要将信息安全做整体考虑：

1.    这封电子邮件真的来自您的主管、IT 部门或你的亲友团吗？

2.    邮件内含的连结是否指向恶意的网域？你有办法确认是否暗藏恶意的成分？

3.    最近是否在其它地方见过同样的邮件？

4.    这封邮件是否尝试传送一些档案，或者要使用者变更一些设定？

5.    这些是恶意的档案吗？

    诸如此类的问题不胜枚举，但传统的测试却只看最后一道防线。它只关心一个问题：这就好像您大开门窗而不加以看守，却在放袜子的抽屉里装了警报器来保护抽屉内的珠宝。我们认为安全系统应该从事件发生的最前端就开始动作，而非最后才采取行动。没有一种解决方案是层层都 100% 可靠的，但如果您有多层的管制，并且彼此互通讯息，那么您避免任何入侵的机率就会大增。在这方面，预防绝对胜于治疗。

    未来，整体性的防护网络以及威胁特征数据的集中化将是大势所趋，我们平均每 1.5 秒就会发现新的威胁，照这样下去，一些将特征文件下载至客户端计算机的防护不仅无法跟上这样的速度，而且也会在下载更新时降低您计算机的效能。

@原文来源：Traditional AV Testing: File under ‘Irrelevant’

欢迎加入：

开心网--趋势科技粉丝群

微博—关注趋势科技

虾米说安全博客--全球安全资讯

趋势科技安全实验室博客

趋势科技免费工具：

闪电杀毒手--木马克星!免费杀毒工具

上网无忧电子眼：网页威胁防御工具 帮你拆除黑心链接

趋势科技网络安全专家（TIS2010）单机产品试用版：云安全防护技术实现零感染

趋势科技中小企业安全软件包：不限服务器数量,USB杀毒, 全面防护