守護系統安全必備防線
剖析端點安全軟體　採購要領全都露

▲奕瑞科技工程師陳世煌認為，企業端的硬體與系統長年未升級也是影響效能的一大問題，並不全然是防毒軟體造成的結果。

這一期的聰明採購主題，將從採購面深入探討端點防護軟體，什麼樣的端點防護軟體才足以應付層出不窮的資安威脅？偵測率、清除率、特徵碼數量、防毒測試認證，到底哪個重要？反惡意程式、反垃圾郵件、主機端入侵防禦系統、個人防火牆、網頁安全過濾、周邊傳輸管理、弱點掃描，這些功能真有效用嗎？使用者抱怨效能受到影響，怎麼辦？在預算大幅縮減的情況下，企業該考慮那些項目才能將錢花在刀口上？本期將邀請多位達人，給予採購者最精闢的參考意見。

病毒手法推陳出新　端點防護軟體真的有用？
守護終端裝置　仍不可或缺

全球知名的資訊安全權威Bruce Schneier曾說，自人類社會存在的那一刻開始，詐欺、偷竊、偽造等問題便從來沒有間斷過。網路社會就像人類社會的翻版，只不過這些罪犯利用的是數位資訊科技進行犯案，而且愈來愈複雜。

Conficker肆虐引發關注

多位國內的資安專家近期關注的焦點，紛紛鎖定在被中國網友稱為超強電腦病毒的Conficker身上。這隻病毒在去年11月被發現，最早是利用微軟作業系統的漏洞入侵，雖然微軟即時修補漏洞，但隨後又出現更高明變種病毒。

資安業者便發現，Conficker的犯罪手法不斷更新，有號稱是資安廠商所發布的垃圾郵件，推銷假安全防毒軟體，抑或偽裝流氓軟體對民眾宣稱能清除並且預防Conficker變種蠕蟲，藉由惡意網站及垃圾郵件散佈，誘使消費者下載使用，因而導致個人資訊外洩。

奕瑞科技工程師陳世煌以三月卡巴斯基全球性威脅監控系統（KSN）發布的惡意程式排行榜為例指出，網路蠕蟲Worm.Win32.kido.ih仍然高居榜首，這隻蠕蟲又被稱為Conficker或是Downadup，雖然這隻蠕蟲被設計成五月就會自動終結壽命，但因為中了kido而又下載的另一隻蠕蟲，仍會停留在電腦中作崇，而有資料外洩的疑慮。

台灣二版產品經理盧惠光指出，Conficker並不是最近才竄起的蠕蟲，早在半年前就已經存在了，這隻網路蠕蟲相當精明，利用了許多隱藏程式好讓使用者無法察覺。即使已經清除，快速的變種速度也讓人防不勝防。這個時候就需要啟發式偵測技術來有效防範未知的變種病毒。

GhostNet間諜　滲透無疆界

GhostNet事件則是趨勢科技資深技術顧問戴燊最近觀察的焦點。GhostNet之所以被發現，起因是達賴喇嘛辦公室懷疑電腦遭到入侵，因而委請電腦專家來檢查，而後加拿大研究人員發現，不只達賴喇嘛辦公室，各國包括伊朗、印尼、菲律賓、汶萊、印度、台灣、泰國、羅馬尼亞等南亞以及東南亞等國都有被滲透的痕跡，至今每周仍有十餘台新電腦受到入侵與監視。

戴燊表示，GhostNet事件正顯示出現今的資安態勢。過去企業要做好資安防護，只要架好防火牆、在閘道加上防毒牆，讓企業內外部電子郵件受到保護，但現在企業內部行動工作者愈來愈多，出差到全球分公司的情況也很常見，人人手上拿著筆記型電腦、小筆電、智慧型手機隨時到有網路的地方，例如咖啡店、速食店，就能連線進行工作，很難區分何謂企業內部或外部，資訊安全的真正問題在於疆界已經被打破，每個人都在Internet上。

「而且使用者並不只有利用電腦才能上網，最常見的是利用行動裝置例如iPhone、Smart phone上的瀏覽器，這樣子的情形下，什麼樣的端點防護軟體才能應付資安威脅？如果一直採用傳統的端點防護思維來面對現在的資安威脅，效用並不大。」

戴燊指出，這並不是指端點安全軟體沒有成效，反而要從威脅來源思考。以前單封信件可能只夾帶一隻病毒，現在是瀏覽網頁帶進病毒下載器，電腦被植入後，病毒會透過HTTP連線來自我更新。從前一天病毒的製造量可能有三萬隻，現今一天之內就有三十萬隻，每一秒幾乎都有新的病毒出現，但病毒碼不可能每秒都更新，總量也不可能無限制的擴大，這也是趨勢為什麼要發展雲端技術的原因。

卸載端點安全軟體　問題更大

撇開端點安全軟體的技術不談，從使用者的角度來看，即使採用端點防護產品仍無法為使用者以及企業帶來百分之百的保障，以致於中毒與入侵事件頻傳，許多使用者不停更換軟體，一家換過一家，企圖找到最符合自身需求的產品。部分激進派的使用者甚至還倡導不安裝，只要一有不對勁，立刻格式化重灌。

吉瑞科技總經理邱春樹笑著說，除非可以做到電腦上不放任何資料，每次上網後就直接還原，如果真能做到，當然可以不用端點安全軟體。而且還不能進行任何網路上的交易。

「使用者若是期望端點安全軟體，能夠百分之百擋掉病毒、蠕蟲、間諜程式⋯⋯，恐怕就要失望了。因為現階段所有業界研發的軟體沒有一家能夠做到，最多是八十分與九十分的差別，沒有人可以做到一百分。」邱春樹解釋，因為病毒不斷變種，隨時都有新的未知病毒在產生，而端點安全軟體最重要的防毒機制，卻是在接收到病毒的樣本時才能開始製作病毒碼解毒，研發時間可能幾個小時，也有可能幾天，這中間病毒不知已經變種幾回。而且拿到病毒樣本其實就意謂著已有無數使用者或企業遭受到迫害，而下一波的病毒發作時間仍是未知。

「雖然現在有啟發式偵測病毒技術，但也只是針對Unknown病毒的部分特徵。因為Unknown病毒一定有一部分的特性是已知病毒的一部分，把這些特性抓出來就可以變成偵測的特徵，只要比對特徵符合，就可以視之為可疑檔案，但是不是Unknown病毒，則需要進一步分析。」

盧惠光則認為，把中毒事件一味歸責於軟體業者並不合理。安全的上網行為己經宣導很多年了，許多使用者還是任意點閱不明連結。明明同事間的信件連繫不會涉及到金錢或投資等私人行為，即使覺得奇怪還是打開附件。「理由居然是不打開就不知道裡面是什麼資料，真是讓人氣結，IT人員能怎麼辦？只能倡導再倡導，但往往也只持續了幾個月就故態復萌。」

他指出，防毒軟體還是得安裝，目的是保護電腦，但習慣也是很重要。這跟家裡大門一樣，門要鎖，當然三個鎖會好一些，但要是不把門扣上，有鎖也沒用。或是鎖好了，但把窗戶打開或是有其他的壞習慣，「這到底是鎖的問題還是你的問題？現在網路的攻擊與現實生活愈來愈像，一樣有壞人，一樣有隱藏的盜賊，使用者要小心看好。」

陳世煌也認為，網路資安威脅層出不窮，不裝防毒軟體無疑以卵擊石，現在端點安全軟體的偵測率都可以做到90%以上，換句話說，已經先行擋掉了九成多，比起完全不保護的狀態要好上太多了。資安防護工作需要使用者與IT人員一同配合，只有單方面努力，自然看不見良好成效。

使用者抱怨效能受到影響？
硬體、系統與軟體都是因素

隨著資安威脅愈趨複雜，端點安全軟體業者也紛紛在軟體中整合了多項功能，例如反惡意程式、反垃圾郵件、主機端入侵防禦系統、個人防火牆、網頁安全過濾、周邊傳輸管理以及弱點掃描等等，為的就是希望協助企業及使用者能夠有更充分的防禦工具來對抗資安問題。

為了更簡化操作與管理，多數的廠商設計了方便好用的UI介面。但吉瑞科技總經理邱春樹便直言，這樣的作法反而增加軟體本身消耗資源的程度，如果每一種功能都要有UI介面才會操作的話，其結果就是軟體變得很「肥大」。當然很多使用者的觀念也有問題，只要在UI介面中看不到，就以為某個功能不存在，造成廠商不敢不放。事實上UI介面會佔掉很多資源，到頭來依然會影響到系統效能。

奕瑞科技工程師陳世煌則認為，許多企業的硬體與系統長年未更新也是一大問題，並不全然是軟體面造成的結果。「雖然卡巴斯基的功能很全面完善，但並不是所有的企業都能全部安裝。奕瑞就曾經碰到一個專案客戶發生記憶體不足的情況，因為該公司電腦的記憶體容量就只有256MB，在這麼少的記憶體狀態下，一般軟體安裝後很可能就耗掉一半，剩下的記憶體要分給作業系統、顯示卡、網路、收發E-mail，甚至是多媒體的應用工具，效能當然會變慢。在這種情況下，為了讓防毒軟體發揮很好的功用，企業升級處理器以及記憶體還是必要的投資。」

另一個問題則來自於作業系統。陳世煌指出，愈來愈多新的端點安全軟體需要愈大的資源。原因就在於研發人員是針對新的作業系統而研發的，至今仍在使用Windows 98/ME及NT作業系統的企業，沒有辦法使用新版的防毒軟體原因也是在此，多數都會出現相容性問題。目前主流的作業系統以Windows XP與Windows Vista為主，未來Windows 2000很可能也會停止支援。如果企業打算升級作業系統的話，不妨等Windows 7推出之後，一口氣更新到最新的版本，就能有效避免相容性問題，許多新推的防護技術，例如啟發式分析、主機型入侵防禦系統（HIPS）、Sandbox、雲端運算等等，也才能發揮它的功效。