各家廠商走出自己的路 再開新局－防毒軟體產業面臨轉型

惡意程式日新月異
20多年前，第一隻電腦病毒的誕生，造就了現今全球年營收約4、50億美元的防毒軟體產業。然而今日使用者所面臨的安全威脅卻不再是藉由軟式磁碟片的感染而使電腦中毒的情形。更快速、更全面的從網頁、手機、任何可以連結上網路的設備都有感染惡意程式的可能，正因為與日精進的IT技術。



惡意程式與安全威脅的演變
由防毒軟體廠商來感受惡意程式的演變最為明顯。趨勢科技台灣區總經理洪偉淦指出，防毒軟體從5、6年前是每天大約偵測到7~8隻，如今在一天之內就可能收到上千個病毒樣本。使得防毒軟體由過去是每週更新一次病毒碼，到現在是幾小時就發出新病毒定義碼。

因為網路犯罪趨勢轉向以營利為目的，促使惡意程式暴增。使用者、企業仰賴IT甚深，當然也積極防禦，包括PC端點、閘道、主機層層佈署。而駭客為了突破防禦，更嘗試從其他角度接觸使用者，利用瀏覽器漏洞、寫出隱藏在系統檔的惡意程式rootkit以規避防毒軟體偵測、甚至手機病毒等，各種新興威脅層出不窮。

對這些新興的安全威脅，洪偉淦特別指出，雖然Web 2.0有很好的發展性，但其實很危險。從去年第三季開始Web的威脅突然暴增，幾乎佔了九成。一開始是台灣、中國情形最嚴重，到後來就演變成為全球性的威脅趨勢。日前義大利在一天之內有三千多個網站遭植入惡意連結的攻擊。所以趨勢在新產品中提出網頁信譽評等服務（Web Reputation Service），希望降低使用者接觸感染源的機會，把一部分比對的pattern放在網路上，再輔以原本的病毒定義碼資料庫，雙重比對增加準確度，同時避免資料庫過大影響系統效能。

代理卡巴斯基的奕瑞科技總經理張義淵解釋，由於大家在e-mail上的防護已經做的不錯，所以透過郵件感染惡意程式的機率降低，惡意程式作者開始思考用其他的管道來散佈，首當其衝的是過去都沒被好好注意而漏洞百出的網站，以及利用被信任的聯絡人來散佈的IM。以惡意程式種類來說，木馬程式的數量在2005年就已經超過病毒數量，而到了2006年更佔盡所有惡意程式九成。木馬程式之所以暴增的原因包括：1.具有經濟效益－木馬程式能盜取別人帳號，且可用來控制遠端電腦，讓駭客有利可圖；2.寫木馬比寫病毒容易－寫木馬程式只要找到一支原生檔，再加上些動作，例如透過某某路徑或媒介傳遞，不似病毒程式具有擴散能力，需要寫自我複製機制。但木馬程式正因不具破壞性，且不佔系統資源，防毒軟體不僅難以偵測，就算能停掉該支運作中木馬程式的服務，也難完全清除乾淨。因此，對卡巴斯基來說，希望能藉由新技術來提高對於未知惡意程式的偵測率。如免疫防護機制、新的啟發式引擎等。

賽門鐵克台灣區資深技術總監王岳忠則指出，以過去防禦惡意程式攻擊的經驗來看，對於已知病毒的攔阻大部分防毒軟體都已能做到，至於對未知病毒的偵測，「一定也都解的掉，只是時間早晚的差別，」王岳忠說。因此，賽門鐵克希望透過新技術來更快找出可能是新病毒的檔案，例如已經加入在消費端產品Norton 360當中的行為模式分析技術－Sonar。目的希望盡量避免使用者已經中毒後，拿新的病毒定義檔只為了作移除工具而已。

有這樣的雄心壯志之外，賽門鐵克特別強調，一旦企業中了新型未知病毒時，該如何將損害降到最低並有效控制影響範圍，尤其在病毒定義檔還未寫出來的關鍵幾小時。賽門鐵克期望靠端點防護與網路存取控制解決方案（NAC, Network Access Control）來解決此一問題。至少當蠕蟲在內部網路迅速擴散時，IT部門能下個指令就把所有網路磁碟機關閉，或者能快速找到感染源的網段並予以封鎖。而不用像過去一樣，IT人員必須費時地去實體拔除網路線，才能控制住疫區。因此賽門鐵克認為由整體的角度來看，防毒軟體應該是被視為整個端點防護的其中一環而已。

賽門鐵克於2005年購併端點安全防護產品Sygate，預計10月將完成與自家防毒軟體的整合。而這個整合後的新版本，除了含Sygate功能之外，還會在程式底層做大幅度地改寫，以求解決過去不斷以加模組方式新增功能到Norton Internet Security上，而導致系統太龐大、效能差的問題。



各家發展重點不同
趨勢科技希望專注在威脅的遏止上做發展，也因此趨勢的購併對象包括reputation service、anti-spyware等廠商，都是在此前提下所做的決策。「我們認為在這方面，我們還有很多路可走，」洪偉淦說。但另一方面，關注客戶需求則不能停下來。洪偉淦進一步說明，現在企業e化程度越來越深，為了做好IT管理，往往需要在所有電腦上安裝代理程式，但其實agent的安裝、管理是相當令IT人員頭痛的。既然如此，企業裡的每台PC都已安裝了用戶端防毒軟體的程式，因此未來如何利用此一程式提供更多輔助性的服務，將會是趨勢科技未來的發展方向之一。例如，在原有基礎上提供Plug-in manager。

張義淵則強調，對付惡意程式還是要治本。卡巴斯基將投入資源在研發未知病毒的偵測技術，以及縮短寫出「解藥」的時間。張義淵舉去年橫掃Windows中文版作業系統的巴克雷病毒為例，那時奕瑞將病毒樣本送到原廠實驗室後，2小時就收到了病毒定義檔，主要就是靠實驗室那一套自動化的病毒分析系統。樣本放進去後，經過系統自動分析比對，關鍵決策點再由病毒分析師人工判斷，藉此縮短病毒定義檔產出時間。

賽門鐵克這幾年陸續併購許多公司，其公司定位已不再只是防毒軟體廠商，以三大主軸發展：包括Veritas產品線所代表的Infrastructure Protection、Symantec產品線的Information Protection，與消費端產品線的Interaction Protection。越趨完整的解決方案是為了省去企業分項管理的負擔，以及出了問題各家廠商卻互踢皮球的窘境。賽門鐵克技術總監王岳忠認為，即使購併進來的產品不見得每項都是業界第一名，但選擇賽門鐵克全套解決方案的客戶將可得到最多的支援。

同樣購併動作頻頻的邁克菲（McAfee），台灣香港區總經理陳聯指出，邁克菲對於惡意程式演變的掌握，反映在領先市場提出新技術與新產品上。例如兩年前所提出的ePO，就是以Total Protection的觀念，認為防毒、主機型入侵防禦系統（HIPS）等技術必須整合在一起。因此，邁克菲在產品整合的進度上似乎領先一步。

除了在今年中已將自家入侵防禦系統、弱點偵測系統等安全設備管理介面整合到ePO 4.0上做集中控管外，下一步更希望能寫出與第三方資安產品整合的connector，使得將來透過單一平台也能管理到其他品牌的安全設備，藉此擴大端點防護解決方案的防禦能力。



轉型服務是各家共識
先前趨勢科技創辦人張明正在一場論壇中公開表示，未來有考慮推出一種創新營運模式－提供免費的防毒軟體，但是以抓到惡意程式的數量來計費。對此洪偉淦解釋，這是指未來希望漸漸淡化賣軟體的色彩，而強調服務，以服務來計價。包括對中小企業經銷商提供的Worry-Free平台，是讓經銷商能對他們的客戶提供更好的服務；而對100台~1000台PC的中大企業，趨勢則主推ESO委外服務。

張義淵以本身經驗指出，將來企業看重資安服務將大過於產品本身。企業寧可尋找一家可信賴的資安系統整合廠商來為他規劃各種合適的解決方案，而非將所有資安設備押注在同一家廠牌上。這種現象在今年特別明顯，張義淵觀察到今年有較多企業會比較各家廠商所提供的服務內容，把資安當產品賣的現象將越來越少。未來防毒產業一定會更強調服務，儘管是代理商的奕瑞也大幅增加服務人力，以拉近與其他廠商所建置的服務水準。

陳聯認為，資安以服務模式來提供將成為一種趨勢，即使過去資安委外服務主要訴求是IT人力不足的中小企業，但大型企業也已慢慢有此概念，因為安全不一定要自己管。也許不把最核心的伺服器委外代管，但可以把網路設備的監控工作外包。看好服務市場，但邁克菲的策略是把服務交給合作廠商來做，讓合作廠商利用邁克菲的平台做集中監控，本身人力則專注在產品研發上。這點倒是有別於其他廠商。目前，邁克菲選定英國電信（British Telecom）作為跨國性企業資安服務的合作廠商，主要著眼於BT在全球有建置SOC（資安監控中心）。



「純」防毒軟體產業已死？
儘管上述資安大廠均為未來發展勾勒美好藍圖，也持續推出新技術與新版本以對抗日益複雜的惡意程式，但事實上，市場上除了有免費試用版的防毒軟體外，只要持續註冊就持續免費提供自動更新病毒碼的防毒軟體，也吸引不少愛用者，例如AVG、Avira的AntiVir、avast!等。但這些免費防毒軟體功能上還是有所限制，可能不足應付現今各種安全威脅。

對這些瓜分市場的免費防毒軟體，陳聯認為要有效解決各種惡意程式的威脅，不能只靠防毒軟體，尤其現今Web的威脅不斷，Internet Security已成為PC上的必要防護。張義淵也毫不擔心，他認為過去因為有大量使用非法序號的PC連結上病毒碼更新伺服器，而影響合法用戶的連線服務品質，因此開始封鎖盜版的產品金鑰。張義淵坦言，對這些怎麼樣都不願付錢購買正版的使用者，就讓他們去使用免費防毒軟體好了。



結論
電腦病毒跟隨著PC的發展歷史演變至今已超過20年，防毒軟體產業一直被認為會生生不息，因此市場上也不斷有許多的新進者，例如軟體巨人微軟。在激烈競爭下，各家廠商發展出自己的產品特色。例如賽門鐵克、邁克菲不斷購併資訊安全相關技術廠商，朝向完整解決方案發展；賽門鐵克與趨勢科技又相繼跨足資安服務市場，為客戶提供監控、委外服務；而卡巴斯基則全力專注惡意程式的偵測技術。

根據資策會市場情報中心2006年底所做的調查，台灣防毒軟體市場由賽門鐵克、趨勢佔據八成左右市場，其餘則是卡巴斯基、邁克菲、NOD 32等其他品牌分占。但如今防毒軟體產業在微軟加入後，是否有新的改變；安全威脅變化一日千里，廠商能否提出有效的解決技術與策略，以避免在惡意程式爆發後造成客戶琵琶別抱、改變市場版圖，這都值得進一步觀察。