曾经,恶意软件的制作者和反恶意软件制作者都是利用业务量进行对抗。在没有明确攻击目标的时代,如果受害者有反恶意软件的保护,那么攻击就会失败,而攻击者会寻找下一个目标。其主要目的是制造一个僵尸网络,所以攻击哪台电脑并不重要。防御者会列出运行这些僵尸网络的计算机的黑名单,用以防范攻击,实际上也就相当于建造了一座虚拟监狱,把这些已知的和明显的作恶者囚禁起来。
但是,高级持续性威胁攻击就比较精确了。为了最大程度地成功攻击,攻击者已经采用了很多工程师相同的质量保障流程。他们在传播恶意软件之前,会使用常见的AM产品测试(用以测试的也可能是他们私下流程的 VirusTotal等),调整代码,直到能够逃避检测。这种方法给攻击者提供了很大的优势,同时也是防御者的弊端,虽然这种优势远抵不上信息不对称的逻辑优势。攻击者直到哪些能被监测到,哪些不能,而攻击的时间、矢量和规模都在他们自己的控制之中。在这种情况下,黑名单就没什么用了。
然而,黑名单就像是个囚禁恶人的监狱系统,人类社会也有其他的安全方式,例如“有门的小区”,这样恶人就会被关在门外。在电脑的世界中,这种方式被称为”白名单” ,而在完美世界中,白名单是IT管理员的梦想,只有他们同意的应用才能进入这块世外桃园。但是当用户不能完成工作的时候,白名单就被他们嫌弃了,因为他们最喜欢的应用也不被允许,因此,白名单注定是不切实际的。(在全球范围内应用白皮书而且用户不受影响的一个方法是证书链配置。这是一种完美的理论,但是在实际的操作中,信任环境还有些问题。)
然后就是应用商店了,也就是应用的中央仓库。本文中所指的应用商店是对商业团体所管理的可用应用的一种集中仓库,并且在这里用户可以下载新应用。安卓用户当然也可以安装第三方应用,只要修改默认的应用商店设置,而且大部分的移动设备都可以越狱,但是非默认设置都是在这之外的。
应用商店不是新事物,Ubuntu的应用商店已经有很长时间了,Linux也有类似的模式,甚至Apple和Windows的用户也都访问过专业的下载网站。移动操作系统和前辈们最大的不同是应用商店的使用是义务的。
在应用商店中,过滤是自愿的。应用必须注册,开发者也要注册。这就表示只有经批准开发者提供的经批准的应用才能进入计算机。成为开发者需要证书,就像驾驶证一样。
在这种模式下,过滤是集中化的,而不是基于主机的。这也表示恶意软件的制作者不能在他们自己的计算机上为自己的新作品进行QA测试,而且如果要提交恶意软件,恶意开发者的帐户就会被追踪到。虽然制作一个新应用简单,但是在这种模式下个人想要创建多个开发者帐户就没那么容易了。简而言之,应用商店握有每个开发者的每个应用的生死大权。
对那些崇尚自由的人而言,这种模式就是错误的。它太严酷了。他们认为应该能够运行任何应用,能够自由地把应用发布给任何人。自由和匿名就是互联网文化的核心,失去对设备的全面控制就是这种自由的退化。而且如果会有过滤,或者有律法,那么它就应用陈述清楚,让每个人都确切地知道底线在那里,漏洞在那里。没有这些信息,我们怎么知道我们会不会受到控制应用商店过滤得那个人的限制呢?
然而,应用商店将会在以后的几年里成为最佳的安全改进。
那么是怎样的改变让这种模式称为改进的呢?行业的焦点和安全意识已发生了变化,主要推动因素就是移动操作系统。带来这种变化的并不是操作系统的“移动话”,而是用户对互联网上发布的内容以及现代化设备的概念。