科技日报记者 李丽云 朱虹
“安全的未来从来不依赖于颠覆的幻想,而来自长期不间断的体系迭代。”日前,在第五届反病毒大会上,安天科技集团董事长、首席架构师肖新光作了题为《从网空对抗范式看反病毒技术的价值与未来》的技术报告。他提出的“反病毒技术将在系统安全变革中承担关键使命”的观点,引发业内关注。
反病毒技术一直以来都是信息安全的基石。计算机按照人的设计来运行程序、处理数据,攻击者通过编写恶意程序、恶意指令或构造特殊的数据来改变信息系统的运行逻辑,达成攻击目的,防御方则需要及时发现并阻止这些恶意行为,这个攻防过程叫做运行对抗。
肖新光指出,运行对抗是网络空间对抗的本质模式和专属范式,而运行对抗中最关键的对象是执行体,即由代码、指令和数据综合构成的、能实现特定目的的实体对象。反病毒技术的起点,就是针对恶意代码这类恶意执行体对象进行发现和清除。
随着IT基础环境和威胁的变化,反病毒技术体系也在持续发展演进,并吸收整合了可信计算、内存防护、威胁情报等技术成果,现代反病毒技术体系是高度成熟和归一化的大规模工程体系。
远程办公、云技术、流量加密广泛应用,在网关侧和流量侧发现并防御网络攻击的难度持续提升,必须重视运行对抗这一本质范式,加强系统侧(主机和云工作负载)的安全措施,进行一场系统安全变革。
主机系统由数量众多、来源复杂、相互关联嵌套的执行体构成,绝大部分网络攻击动作需要由执行体来完成,正常合法的执行体也有被攻击者利用的风险,需要更加精准、高效地识别、管理并控制系统中的各类执行体,确保它们符合场景规范,不会成为黑客的帮凶,这就是执行体治理的理念。
肖新光认为,执行体治理是反病毒技术体系要承载的新使命。反病毒技术体系具备执行体检测识别和执行环境防护的先天基因,因而可以成为执行体治理最重要的基石——反病毒引擎能够辨识执行体,内核级主防等安全模块能实时管控执行体,后端样本分析体系是基础设施。面向威胁演进持续迭代本就是反病毒技术体系的本质和优势,执行体治理也将带动反病毒体系在工作范畴、技术布局、产品设计、管理运营模式上的强化和蜕变,使其变得更加智能、高效,为系统安全提供更加坚实的保障。
“我们将在传承反病毒技术的同时践行执行体治理,供给共性基础能力和安全产品,并在大模型辅助下持续提升特征工程与知识工程水平。”肖新光说。
