基于签名的防病毒产品早就因为未能为系统提供足够的安全保护而“遭人唾弃”,并且根据Imperva的最新研究发现,一些产品的签名数据库更新缓慢,可能严重影响其有效性。
Imperva与以色列特拉维夫大学共同进行了这项研究。该数据库和应用安全公司测试了40多个防病毒产品,结果发现,75%的产品需要一个月或更长时间来更新其签名。Imperva表示,这种延迟将导致防病毒软件错过新威胁的签名,而新威胁通常会迅速蔓延。
“我们发现,现在一些防病毒产品的安全保护不多,它们对于已被大多数防病毒产品确认为感染文件的检测率非常低,此外,这些产品的签名数据库的更新速度也很慢,甚至对于大多数防病毒产品已经确认的病毒,这些产品仍然无法识别。”
当使用80个未报告的病毒进行测试时,毫无意外地,所有防病毒软件没有检测出任何威胁。提供最优保护的防病毒产品组中包含两个免费防病毒产品:Avast和Emsisoft。该公司表示,赛门铁克和McAfee的产品能够很好地对抗病毒,这两家公司在各种测试中排名都很高,其次是ESET、Avast、卡巴斯基和趋势科技的产品。
根据这些研究显示,面对正在互联网迅速传播的病毒,大多数防病毒产品都试图非常快地更新其数据库。在市场上领先的防病毒产品中,对以前没有被发现的文件的检测率的速度有所提高,大约是3个星期。
Imperva推荐一种常见安全行业最佳做法:分层防御或者纵深防御的方法(其中包含端点处的防病毒软件)。Forrester研究公司副总裁兼首席分析师Chenxi Wang表示,尽管各种研究都显示出防病毒产品糟糕的检测率,但企业不可能完全“抛弃”防病毒产品,他们也不应该这样做。有很多种不同的安全技术可以用于攻击检测或者减轻风险,但并没有万能的技术,也没有人想要完全放弃防病毒产品。
“虽然防病毒产品并不一定具备它应有的有效性,但当与其他安全措施结合时,这些产品能够作为纵深防御战略的重要组成部分,目前并不存在能够完全替代防病毒产品或者移除对其需求的单个技术。”
企业通常会结合端点防病毒产品和端点管理产品,这能够为企业提供不同的功能,例如修复漏洞或者软件部署。防病毒替代产品也已经存在。同时,防病毒软件供应商一直在增加功能(例如基于云计算的防病毒功能)来提高检测率,并且,存储在云中的签名以及近乎实时的更新,这能够减小数据库的规模或者企业不需要在内部存储签名。
大型防病毒软件供应商还提供某种形式的应用控制或者白名单功能以显著减小攻击面,在谈到白名单技术时,Wang表示:“这是房间清洁技术与威胁防御技术的对比,采用明智政策的企业能够成功地将最易受到攻击的应用从环境清除,而不会影响员工工作效率和满意度。