答案是“不能”。AV-Lab最近估計，每一天有高達 55,000新的惡意軟體出現。而安全公司聲稱，他們一天可檢測到高達20萬的新威脅。這意味著傳統仰賴病毒碼更新並進行掃描過濾方式是幾乎不可能完全且有效的防護的。更糟糕的是，越來越多的駭客使用“進階持續性威脅(APT)”的攻擊策略。APT活動類似一般正常的用戶端行為模式攻擊，比較難被檢測或防範。這是因為他們使用未知的Zero-Day漏洞，在尚未確定列入病毒掃描或安全補丁前已經成功入侵且潛伏在系統中。

防毒公司採用”清除策略”的基本錯誤!

第一套防毒軟體在1987年上市，目的是要清除電腦病毒。很明顯的是，直到今天依然有大多數的防毒軟體公司仍然以此種方式營利！若您只針對遭受感染的檔案進行隔離或刪除。這種方式類似只專注於清除附著的污垢，卻忽略了避免該如何弄髒。
如果我們用邏輯性的去研究，這個做法就是基本的錯誤。掃描器將每一個檔用已知病毒檔來做比較(我們所謂的“黑名單”) 。這只有3個可能性：
1. 該檔案是良性的：如果該檔沒有受到感染。你的電腦當然沒問題
2. 該文件是惡意程式或已知感染病毒檔案：如果該文件被已知的病毒感染，然後被防毒軟體發現而進行清除了，您的電腦依然沒問題。
3. 如果該文件或程式是未知類型的檔案：如果文件被一個未知病毒或惡意程式感染，但防毒軟體的病毒檔並無定義而且你無法清除該病毒，那麼您的電腦就有可能被感染。

顯然地，駭客利用這個的安全防護空隙來攻擊您的電腦。許多安全專家已經意識到這個威脅，並已經提倡“分層網路安全方案”。這意味著，那種“黑名單”的策略只有一層的保護。例如，如果一個惡意檔案通過黑名單的攔截，但採用“啟發式行為分析” (Heuristic behavior analysis)的話，它仍然有機會被確定為威脅。

因應新的資安風險,該有新的防護模式,而不只是檢測，還必須包括控制!

不幸的是，目前還沒有有完善的檢測方法。駭客只是在家操作僵屍網路，發送惡意垃圾郵件就能輕鬆控制受害者的電腦並擁有很多錢，他們用不著要去搶劫銀行。因為他們總是想出很多不被檢測到的方法。他們非常專業在使用他們自己違法的手段。他們會在發佈惡意軟體之前，使用主流的防毒軟體進行測試，確保該惡意軟體不會被防毒軟體偵測到。

反問你自己，您現在的電腦或伺服器中，有多少檔案已經被未知的病毒或惡意程式感染？

您不知道是吧，那是當然的啊，因為您不可能知道有哪些是未知的。

這就是為什麼防禦的最後一層必須是“控制”而不能是“檢測”。這意味著，如果一個檔案沒有被證明是安全的，那麼它就不允許在電腦的作業系統執行。這就是“沙箱”的概念。沙箱是一個虛擬化的操作環境，程式可以在該沙箱中與電腦系統隔離運行。如果該程式是惡意的，那麼它就無法損害電腦系統。

科摩多：電腦應該要控制

這並不奇怪在最近這幾年，越來越多用戶使用”沙箱技術”。獨立沙箱是時下高科技大師們最受歡迎的一種。您可以選擇一個受保護的環境來運行您的程式。一些主要的安全系統提供沙箱環境，但他們也要求檢測和用戶端提供資訊。

科摩多在另一方面，在企業和消費者保護系統中，採用了獨特沙箱的方法。這個方法叫做“Default Deny默認拒絕”，此技術與自動沙箱技術搭配，是目前唯一可以提供完善的保護的解決方案，因為這是唯一可以對付未知威脅的可行方法。

科摩多的多層防禦系統使用白名單來檢查已知的程式、用黑名單識別限制以之惡意程式活動，並使用啟發式技術來識別威脅。然而使用默認拒絕執行方式阻斷執行，在該程式或文件尚未被判定為正常或威脅前，該檔案依然有可能存有未知的威脅。默認拒絕執行要求被驗證為“安全”才能在作業系統上運行。

這或許聽起來過於嚴格，但是這就是自動沙箱的技術。未驗證和可疑的檔將會在沙箱中運行，如果被確定為惡意的話，不會對電腦作業系統有任何的損害。這解決了之前出現在未知威脅的安全性漏洞。

我們對自己的系統和保護策略的信心是來自於經驗。您可能有聽說過CryptLocker病毒，這勒索軟體，用加密檔為電腦人質，然後要該用戶付款才開解他們的檔。安全專家們稱 CryptLocker為一個完善兼無與倫比的惡意軟體。

可是對科摩多的客戶來說，這類的攻擊並不是一個問題。因為目前有超過七千萬總安裝量的科摩多安全軟體用戶，但我們就沒有接收過任客戶求救或報告過有遭遇CryptLocker的問題，這就是為什麼我們稱我們的保護技術為“天衣無縫”的。

關於科摩多
科摩多是領先的互聯網安全提供商。服務據點有美國、英國、中國、印度、烏克蘭、羅馬尼亞和台灣，提供企業和消費者強固的資訊安全服務，包括SSL證書，PCI掃描，ESM新世代安全管理系統及Internet Security用戶端安全，和遠程PC的支援等工具。Comodo ESM新世代安全管理系統更是獲得WindowSecurity使用者票選亞軍的系統安全管理工具，主要防止客戶遭受APT攻擊。

Comodo Taiwan粉絲團 https://www.facebook.com/comodotw
Comodo Taiwan聯絡方式SALES@COMODO.TW

- 新聞稿有效日期，至2014/07/24為止

上一篇：COMODO完封新型態APT攻擊
下一篇：思科在美洲x86刀鋒伺服器營收市佔率位居榜首