終端入侵防護

即便在最樂觀的情況下，安全產品和蠕蟲病毒也難分勝負。道高一尺，魔高一丈。網路蠕蟲病毒繁殖得如此之快，以至於防毒軟體緊追慢趕，卻難以出招制勝。在信息安全領域，這個問題如火如荼。

在從前“美好的歲月”里，蠕蟲只是成為喜歡惡作劇的年輕黑客炫耀技術的工具。而今，蠕蟲卻充當了犯罪的角色，橫行於高風險、高技術領域。網上交易的企業，總是遭到分散式拒絕服務攻擊(DDOS)的威脅和侵害。實現DDOS攻擊的一個必要條件是大批遠程控制的“BOT”網路，通常，蠕蟲病毒總是占領可信用戶未受保護的機器，然後連成bot網路。據來自賽門鐵克的統計數據顯示，僅在2004年的前6個月中，BOT網路的數量就上升了15倍。

隨著攻擊領域日新月異的發展，比如大範圍蠕蟲病毒(蠕蟲王、衝擊波、振盪波等)的爆發、Sarbanes-Oxley法案及其它法案的出台，企業在反病毒項目上都採取了高姿態。

從中選出一個解決問題的方案並非易事，不過，選出的任何一個方案都會符合以下七項指標。

1. 精確性(Accuracy)

一個好的解決方案，必須具有精確性，或者說有能力正確地識別入侵。更重要的是，不能把正當的操作混為入侵。和入侵檢測系統不同(入侵檢測系統中錯誤的判斷無關緊要)，入侵防護系統中每一個錯誤的判斷都會破壞正當的商業行為。因此，如果某解決方案中可以容忍錯誤判斷，不把它當作軟體BUG處理，那這就不是一個可靠的解決方案。精確性是最為重要的標準，因為在遭受真正的攻擊之前，它會對正當的商業操作有持續且實時的影響。

2. 可維護性(Maintainability)

對於一個將在商業領域廣泛實施的產品，可維護性顯然是非常重要的指標。如果在每次安裝或系統更新、升級時都要求用戶勞心費神，則對此解決方案的管理無異於深夜噩夢。和基於信號的系統(供應商每天都為之創建信號)不同，基於策略的系統及自學習的系統把許多工作都留給了你。在基於策略的系統中，你可能需要微調每台機器上的策略，並且消除出現的錯誤判斷。同時你還必須確保你所建立的策略足夠嚴密，可以應對下一次攻擊的到來。在一個自學習的系統中，你必須把所有可能的情況教給系統，確保沒有漏掉關鍵部分。如果預防操作的代價比清除蠕蟲病毒的還高，那就很不值了。

3. 可伸縮性(Scalability)

因為當今所有蠕蟲病毒的攻擊對象非常廣泛，如伺服器、台式機、筆記本，甚至嵌入式控制器都在其攻擊範圍之內，所以可伸縮性就顯得非常重要。因而急需制訂一個可以保護企業里所有設備的方案。對於Windows系統這一點尤為重要，因為大多數蠕蟲都把Windows機器的核心架構程式當作攻擊目標。如果某個方案在每個終端都需要用戶持續干預，則該方案不具備伸縮性。

4. 覆蓋性(Coverage)

覆蓋性指解決方案可以抵禦的攻擊範圍。必須了解方案可以對抗哪些類型的攻擊，確保受保護單位中所有層級的固件都在保護之列。因為誰也不可能預見未來的攻擊，那么就著眼於你現在的安全系統不能有效抵禦的入侵，如果部署了這個新的方案會起到什麼樣的作用？

入侵總是利用漏洞、CVE或微軟的安全公告中有完整的漏洞列表。因為攻擊總是利用現有的漏洞，不能覆蓋大多數重要漏洞的方案就不是好的解決方案。

5. 主動性(Proactivity)

主動性是指用最少的精確信息阻止攻擊的能力，這對於零日攻擊尤為重要。面對像蠕蟲王(Slammer)這樣繁殖迅速(只需要10分鐘，蠕蟲王的感染率就能夠在世界範圍內從0%達到90%)的病毒，需要信息更新才能阻止攻擊的方案顯得手足無措。近兩年來，漏洞發布和攻擊開始之間的時間間隔越來越短，所以最好的解決方案是不需要了解漏洞就可以進行狙擊。

6. 抗圍攻性(Uncircumventability)

如果攻擊者足智多謀且剛強堅韌，則抗圍攻性就是解決方案必須滿足的一個指標。為了測試某個方案是不是能夠徹底對抗零日攻擊，你需要製造一個新的攻擊，這並不現實。所以可以學學黑客，他們總是從網上學習。為達到測試的目的，可以使用網上的入侵工具，也可以請幾個競爭性的公司互相攻擊。可別扮演“皇帝的新裝”中的主角自欺欺人，絕對不要採用可以被輕易圍攻的方案，一定要確保你處於很好的保護之中。

7. 遏制性(containment)

遏制性用來描述在被解決方案發現並採取措施前，攻擊實施的成功程度。在攻擊載入系統前，或來自惡意載荷的入侵程式執行前，就能阻止攻擊的解決方案具有最好的遏制性。