赛门铁克发布新的主动式防御技术,强调将减少使用者判断机会,并可更精细、仅局部封锁威胁等功能.

　　安全厂商赛门铁克继于其消费端安全软件Norton 360中加入其首个主动式防御技术SONAR后,昨日在台北透露将于明(2008)年推出新版杀毒软件产品Norton AntiVirus时,加入开发代号为Canary的浏览器弱点防御技术.

　　此一新技术在封锁可疑威胁之余,会更重视使用者体验,例如在遇到可疑威胁时能自行判断、不去询问使用者,且只封锁有危害的程序代码,而非整个网页,让威胁被阻挡之余,使用者仍能获得所需信息,该公司指出.

　　不过赛门铁克并未透露产品推出时间与相关技术细节,仅表示详细信息将待产品准备就续后,才会向外界发布,预计将加入2008年版的杀毒软件相关产品.

　　在网络攻击由单一版本即可造成大规模感染的病毒、蠕虫等,转而以偷取数据、赚取金钱为目的,且变种快速的恶意程序主导的情况下,找到病毒、进行分析、发布病毒代码的传统特征比对(signature-based)技术的标准流程已跟不上新威胁出现的周期,这使得发展主动式防御科技,如行为侦测等,已成为安全厂商近年来共同的努力方向.

　　“但未经精细设计的行为侦测安全产品,反而未必能让使用者受益,”赛门铁克行为侦测引擎技术架构师Mark Obrecht表示,某些采用行为侦测技术的软件,抓到可疑的应用程序后,多半是跳出窗口要求使用者自行判断要不要放行.

　　他认为,一般使用者多半缺乏判断危害程度的能力,提供使用者太多选择的结果,可能反而是让使用者在感到不耐下只会点击同意的选项,让自己曝露于威胁中,也丧失安全产品的意义.

　　“有的产品则是一侦测到可疑行为,便直接封锁整个应用程序或网页,”赛门铁克个人消费性产品事业部产品管理总监Bill Rosenkrantz补充道,完全封锁将让使用者无法正常使用计算机,虽然安全性可能较高,“但却完全没有考虑到使用者的现实需要,”他说.

　　Obrecht认为,长远看来,行为侦测在安全软件中扮演的角色,相较于特征比对将更为重要,但须精确判断威胁,减少误判(false positive),并且仅封锁真正有危害的关键程序代码,让使用者不必受到过多不必要询问信息打扰,且能在威胁被封锁的同时,仍能使用应用程序的基本功能,或浏览网页中无害的组件.“使用者要的是信息,如果信息本身无害,为什么要封锁它?”Rosenkrantz反问.

　　同样是处理来自网页的浏览器弱点攻击,竞争厂商趋势科技采用的则是网页评级的方法.

　　趋势科技虽然在其杀毒软件与邮件安全等产品,都采用了同属主动式防御的启发式技术,但对于来自网页的众多新型攻击,趋势科技则是打算打造大规模的网址数据库,每日比对3亿笔以上的网页,以实时更新的有害网页名单来对抗来自网页的攻击.