安全廠商所該思考的問題

縱然我一直認為好的威脅特徵碼品質取決於一家廠商的態度。

為何Kaspersky現在的威脅特徵碼如此隨便，也許是因為免殺增多，在AVPClub（註：台灣新崛起的資安論壇）上的偵測率今年看來一直都不太好，要不是AVPClub上那些死忠Kaspersky持續上報，每月的樣本包（註：AVPClub提供每個月流行威脅集合的樣本包）偵測率肯定不過90%。

我不打算評論Kaspersky的HIPS，我知道很多專家都認為已經是相當頂尖的HIPS了。

前幾天COMODO　V3 Beta釋出了，聽聞未來COMDO將會整合入ThreatCast這種社區意見服務。確實社區意見不甚安全，由於並非人人都是專家，致使該行為產生後依然有很大的不確定性。

相形之下威脅特徵碼略顯重要，而雲端技術的產生，更持續的加重威脅特徵碼的重要性，例如：
Norton號稱的15分鐘更新，以速度著稱。

Panda則是提出集體人工智慧技術，除了提升啟發式的層次之外，其自稱會全自動分析所有最新的威脅，並透過雲端技術即時性的與使用者交換資訊，以達到最大偵測的效果。

然而上述技術都跳脫不離威脅特徵碼的迅速更新。

雲端技術所解決的問題是：
一、提升使用者與廠商的同步更新速度，降低新威脅所造成的零天威脅。

二、致使使用者端不必下載龐大的威脅資料庫，可以即時性的與威脅中心交換資料。

三、提供即時的線上威脅判斷。

四、給了安全廠商休息的空間。

第四點相信大家都會有所疑惑，就最近的觀察來說，Panda的反應速率比以前降低＂很多＂，透過使用者上報的檔案幾乎不會處理。當然不能否認Panda的集體人工智慧技術確實提升他們的偵測率。當然也有反例的Norton，15分鐘更新一次，幸好Norton人多是眾。

如何處理龐大的威脅資料庫？雲端技術是目前所提倡的新型技術，看來前途似錦。

然而目前雲端技術所應用的範圍與效率仍然有待加強，我已知使用雲端技術的廠商：
McAfee、Panda、Kaspersky、TrendMicro、F-Secure、瑞星。

不過老話歸咎一句，如果安全廠商肯做出高品質的威脅特徵碼，哪還需要15分鐘更新、減少下載龐大的威脅資料庫（當然我不完全否認雲端技術在未來所帶來的極大效益）？

雲端技術可以是個解決方案，但如果安全廠商不懂得節制自己所製造出原本幾十萬變成幾百萬的威脅特徵碼。那也只是安全廠商偷懶的一招而已。

雲端技術我看到更多相關的應用，某些廠商已經開始醞釀一股新的趨勢，某些廠商卻抱持著偷懶的心態。

「未來不可預測，可自己想想，未來不也如此嗎？」

-Kresirys