如何评估、比较和实施企业级反病毒软件?

译文
安全
性能很重要,但首席信息安全官和分析师们表示,性能绝不是比较企业级反病毒软件时的唯一着眼点。

【51CTO.COM 独家翻译】反病毒软件问世有些年头了,几乎与软件病毒的历史一样久远。但由于个人电脑环境面临种类日益繁多的威胁,企业级反病毒软件市场出现了两大潮流:

1、不仅限于基于特征的防护。恶意软件在不断增加和变化,因而安全厂商不可能单单使用特征来识别和防范一个个威胁。赛门铁克公司在年初曾宣布,自从它在2007年开始跟踪恶意代码威胁以来,总共检测出了几乎170万个威胁,这表明恶意代码特征猛增了265%。

除了特征外,安全厂商现在还使用另外的技术,比如应用程序控制(又叫白名单)和主机入侵防护系统(HIPS,又叫启发法);前一种技术只允许授权代码可以运行,后一种技术可监控代码的行为。要是行为偏离"正常",HIPS就认为代码是可疑或恶意的,因而阻止代码运行。HIPS可以采用执行前模式、运行时模式,或同时采用两种模式。

2、功能增强了。许多企业级反病毒软件厂商增强了独立工具的功能,使其成为不但能防范恶意软件,还能防范黑客和数据丢失的套件。

企业战略集团(ESG)的分析师John Oltsik说:"总的潮流是,端点处的安全软件变得更庞大、功能更全面。"他表示,具体来讲,反病毒、反间谍软件和防火墙软件正在与端点安全操作、数据丢失预防和全盘加密融合起来。弗雷斯特研究公司的分析师Natalie Lambert补充说,厂商通常提供的另一项功能是网络访问控制。她表示,这些工具可以根据客户端符合安全政策的情况,控制其对网络的访问。

在一些情况下,厂商们还在把安全产品与操作功能融合起来,比如补丁及配置管理、端点配置和备份等功能。Oltsik说:"大型厂商会单单销售安全产品,但它们在说服客户,应作为一个整体来管理安全产品。"他表示,这个理念会渐渐得到接受。他说:"眼下,安全产品和技术比IT部门所处的阶段要领先两年。"

下面是比较和使用企业级反病毒软件时应考虑的几个要点。

企业级反病毒软件的须知事项

要考虑套件的优势。据Lambert声称,反病毒软件的主要差异在于厂商们捆绑到客户端安全套件当中的功能。由于用户面临各种各样的挑战:恶意代码、数据丢失以及连接到企业网络的不安全机器,他们越来越希望一下子克服这些挑战,而不是借助多个单点产品。Lambert说:"机器上多安装一个产品,其运行速度会变得更慢,增加需要管理的另一个控制台,还增加了许可证和需要购买的其他东西。既然能从一家厂商地方买到功能更多、价格又比较便宜的产品,为什么要三番五次地活受罪?"

一家大型包装食品制造商的信息安全主管认同这个说法。他表示,正因为趋势科技公司增添了安全功能和特性,比如客户端防火墙管理和间谍软件清除功能,所以他公司才得以减少需要管理的安全产品的数量。他部门以前有五六个控制台来管理安全产品,现在减少到了两个。

明尼阿波利斯市市场营销公司CMS Direct的高级网络工程师Michael Bell很看重下面这一点:安全厂商Sophos将许多安全层集成到一个软件包中;实际上,他盼望Sophos能集成客户端防火墙,目前这种防火墙作为一个独立模块来提供。

不要接受差劲性能。众所周知,反病毒软件要消耗大量资源,不过如今一些厂商在性能方面很重视。据Bell声称,比如说,Sophos就使用检索等技术,减少资源密集型扫描的次数。

能源企业NuStar Energy的基础设施系统经理Robert Amos使用微软Forefront后,也发现性能较以前的系统有了改进。他表示,他用过的许多企业级反病毒产品存在严重的性能问题,但Forefront每六小时执行一次扫描;Amos说,该产品在运行时,自己并非总是注意到它。

要调查白名单功能。白名单或应用程序控制是一种新兴功能;Lambert表示,这项功能比HIPS更胜一筹,因为除了监测活动外,它还能阻止恶意软件在系统上运行。借助白名单功能,管理员就可以为其环境制作一份授权应用程序的名单,不允许未经授权的软件运行。

Oltsik表示,白名单存在的问题是,在Web 2.0环境下,人们经常下载新软件,无论是为了用于办公还是个人使用。白名单在固定的职能部门(如订单录入部门或呼叫中心)也许很好用,但如果你的人员经常与外部的合作伙伴或者进行市场调研的营销人员联系,"你会没完没了地接到试图下载但下载不了的人打来的电话,"他说。"问题在于,你在实际执行时想要多严格。"

要研究其他新兴的客户端安全工具。据Lambert声称,除了白名单外,另外还有四种新兴工具可用于端点防护,因为它们能消除更复杂的威胁。这些工具包括:设备控制,让管理员可以针对可接受的设备制定政策,规定个人电脑可以访问或不可以访问哪些设备;全盘加密,机器关机后可对硬盘进行加密;文件加密,当用户把单个文件保存到指定位置时,可以保护文件;以及数据泄露防护,可以监控和执行数据使用政策。她表示,购买这些工具的企业通常不到三成,但安全经理们应该开始试用一下。

不要对HIPS感到绝望。Lambert表示,虽然HIPS解决方案仍不成熟,误报率又很高,但仍应该将它们与反恶意软件解决方案结合起来使用。她认为应用程序控制技术最终会取代HIPS,但HIPS在保护机器免受缓冲器溢出之类的问题方面还是会很有用。

Sophos的扫描引擎提供了内置的HIPS功能,CMS Direct公司的Bell对此很高兴。他使用该功能来阻止用户下载可能不需要的应用程序,比如广告软件。他表示,你可以选择收到警报,然后使用集中式政策管理功能,准许或阻止使用被标记的应用程序,而不是说系统不加区别地自动阻止行为可疑的应用程序。

要考虑信誉服务。为了把其环境中的其他工具换成趋势科技提供的功能,那家包装食品公司在测试这家安全厂商的信誉服务功能,看看能不能取代目前使用的URL过滤工具。信誉服务的工作机理是,检查用户试图访问的每一个网络地址;要是发现该地址在已知恶意网站的名单里面,就阻止访问。

要重视易用性。谁也没有多余的资源投入到安全上,因而易用性成了一个重要问题。这意味着厂商们更加关注仪表板(dashboard)以及更容易的报告、管理和部署等机制。

所用产品的集中管理和一目了然的仪表板给Bell留下了深刻的印象,因为一旦客户机没有遵守安全政策,马上就能看出来。Bell表示,他之所以没有使用以前那款软件的仪表板功能,是因为之前的仪表板看不大懂;用户有时会反映他们已有30天没有更新了。他说:"短短五分钟内,你就能看到每个人都更新好了。"

同样,那家食品制造商的主管表示,高级的报告模块简化了向高级经理报告网络防护方面的情况。以前要是向上司汇报,需要手动整理多份报告。如今报告机制实现了自动化,报告会发布到内联网上。

要考虑多个扫描引擎。没有哪个扫描引擎是完美无缺的,这就是为什么有些厂商(如微软和赛门铁克)在开始使用多个扫描引擎,以便提高成功逮住恶意软件的概率。伯顿集团的分析师Dan Blum说:"不同引擎存在不同盲区。"

Amos说,有了Forefront的多个扫描引擎,好比选择两家公司的不同扫描功能,把两者装在一台机器上。他说:"即使一方检测恶意软件的能力比另一方稍微逊色,你也得到了双重保护。"他打算部署四个不同的软件代理来用于扫描。

要考虑软件即服务。正如其他产品领域一样,许多厂商在把一些反病毒功能作为一项服务来提供,比如反恶意软件、信誉服务、特征更新和报告等功能。这可能更具成本效益;据Blum声称,虽然大企业可能会将大部分功能留在内部,但用户可以采取一种混合模式:对集中的员工队伍使用内部部署型系统,而对边远办事处的用户使用软件即服务(SaaS)。

在一些情况下,厂商们在使用软件和服务相结合的混合模式,以提供额外或增强的功能,比如多个扫描引擎或信誉数据库。Blum说:"这种方法所提供的安全功能比单单一张光盘丰富多了。"

要有零日攻击策略。如今的系统存在一大软肋,那就是防范零日攻击的本领比较弱。Blum说:"当典型的安全软件包遇到一种以前没见过的新型恶意软件时,检测不出的概率相当高,高达50%。"

那家包装食品公司通过桌面锁定策略来缓解这个问题。该公司基于这样的前提:大多数恶意软件是通过企图写入到注册、系统文件夹或驱动盘根目录来搞破坏的,于是对桌面进行了配置,阻止这种行为。

不要忘了恶意软件清除功能。检测病毒是一回事,清理病毒造成的危害又是另一回事。Bell当初之所以选择Sophos,一个主要原因就是在使用趋势科技、迈克菲和赛门铁克等其他安全系统的几年间,他总是注意到:Sophos每回抢在其他厂商之前提供清除工具。实际上,他在过去几年里被一种病毒感染了两次后(该病毒导致他公司的个人电脑发送垃圾邮件),使用Sophos的工具彻底清除了该病毒。他说:"这种防护效果成了我们公司后来决定改用Sophos的一个重大因素。"他表示,他目前使用的系统却识别不出这种病毒。

同样,Amos表示,Forefront的清理和清除功能胜过他以前使用的系统。他说:"以前的系统虽然会通知我,但清除不了,因为被感染的是打开的文件或系统文件,而它没法对这种文件进行处理。"这需要桌面安全小组在安全模式下启动机器,然后在注册表手动清除相关条目或删除文件。他表示,有了Forefront,没必要干这个活了,为桌面安全小组节省了人力。

要认真考虑成本。由于桌面端安全需求越来越大,用户在想方设法降低成本。据Lambert声称,同类中最佳的客户端安全工具(如反恶意软件工具)单机版的平均零售价是40美元(全盘加密等其他工具高达80美元)。

控制成本的一个办法是用一套系统来保护尽可能多的对象。比如说,那家食品公司减少了需要管理的安全控制台的数量,从而降低了总体拥有成本。

Amos使用Forefront后,每年能节省35000美元的成本,这主要是由于微软的许可政策发生了变化。他公司一直使用Forefront来保护SharePoint和Exchange,但是即使他在考虑用于个人电脑环境的新反病毒软件时,也没有考虑到Forefront这款软件。那主要是因为个人电脑环境和服务器环境通过不同的基础设施来加以管理。他之所以找一家新的反病毒软件厂商,初衷主要是为了降低每台机器的成本。不过,任何新产品都需要对目前的基础设施收集特征、进行报告的方式进行全盘的重新设计,主要是由于这家公司的环境非常分散--公司总部外头有100个办事处。

后来Amos在与微软工作人员聊起来时意外得知:按企业许可协议规定,这家公司可以将Forefront用于其工作站,根本不用另外付费。现在,Amos使用一款标准化的工具,就能针对所有系统进行保护、监控和报告。他说:"我们人手很少,一个人要干几份活,所以他们对单单一款应用软件越熟悉,就能越有效地利用这个资源。"他表示,Forefront还与活动目录集成起来,因而很容易将软件分发到新机器上。

来源:http://www.csoonline.com/article/499041/how-to-evaluate-compare-and-implement-enterprise-antivirus 

【51CTO.com独家译稿,非经授权谢绝转载!合作媒体转载请注明原文出处及出处!】

【编辑推荐】

  1. Windows系统反病毒安全保护要决的阐述
  2. 反病毒技术在未来的发展趋势的详细分析
  3. 360杀毒通过国际测评机构AV-Comparatives反病毒测试
  4. 金山“开源”:源码可公开下载 全民反病毒时代到来
责任编辑:佟健 来源: 51CTO.com
相关推荐

2014-05-19 10:50:08

2010-07-16 12:15:39

反病毒软件病毒

2014-05-22 13:08:23

2010-03-31 09:41:05

2011-06-29 11:17:37

2012-07-16 09:23:54

赛门铁克Windows XP

2012-03-12 14:17:10

2012-03-13 16:36:21

2011-06-17 14:41:46

兼容性反病毒主动防御

2011-06-17 14:41:49

兼容性防火墙浏览器防护

2011-06-17 14:40:49

文件监控病毒

2016-11-24 14:11:44

2015-05-27 09:23:31

2011-08-08 15:36:57

2009-04-08 11:44:25

2013-01-17 11:05:42

2012-01-09 11:02:52

2014-05-28 12:55:01

2012-01-16 10:22:51

2009-04-21 14:34:59

恶意软件测试卡巴斯基
点赞
收藏

51CTO技术栈公众号