防病毒软件在检测已知威胁和新威胁方面是否变得越来越差？

我们来看看反病毒检测率网站Virus Bulletin上公布的数据。 Virus Bulletin 是业界首屈一指的测试场，为历史比较提供全面且持续的测试。 从2015年到2016年，已知恶意软件的平均检测率下降了几个百分点； 而零日漏洞的检测率则大幅下降——从平均80%下降到70%以下。

如果防病毒软件还没有真正消亡，那么它至少已经散发出暮色的光环。 更直白地说，攻击者可以立即生成新的恶意软件，但反病毒厂商却无法跟上攻击者的速度。 黑客已经完全自动化了这个过程，现在几乎是工业规模的恶意软件生产怎么制作病毒软件，每天都会出现数百万个新变种。 现有的反病毒引擎根本无法应对这一问题。 在这个战场上，反病毒厂商已经彻底失败了。

最近很多业内同仁都看到了杀毒软件出现的问题，但这是一个极其难以解决的问题。 如果反软件过于激进，就会出现太多误报。 多种技术的结合或许是未来的希望。 仅靠防病毒软件无法解决问题。 一些国外安全专家甚至建议客户永远不要在防病毒软件上投入资金。

由于很难预测下一波恶意软件或下一个攻击平台是什么，因此也很难提供针对性的防护。 安全的核心是对事件做出响应。

勒索软件是当今许多麻烦的根源，因为该恶意软件利润丰厚，以至于网络犯罪分子正在为其开发投入越来越多的资源。 去年，犯罪分子通过勒索软件获利高达 10 亿美元（根据 FBI 的数据），这表明此类恶意软件不断突破我们的防线。

然而，也有针对勒索软件的新兴安全产品。 其中有些有效，有些无效——现在还处于早期阶段。 Sophos 已经收购了其中之一，并且现在添加了一个专门用于勒索软件防护的新模块。 不过，Sophos提供的网络和端点安全产品并未包含在病毒公告中，但他们在最新的防病毒报告中获得了阻止零日漏洞攻击的100%的分数。 很少有安全厂商能做得这么好！

其新产品 Intercept X 旨在针对零日威胁并检测恶意软件如何攻击系统。 它的主要优点是它基于小型分析引擎。 当扫描文件或查看行为时，它会调用一系列不同的技术来确定是否是恶意软件，并且不依赖于任何一种技术。

不过，一些厂商对测试结果的准确性表示怀疑。 例如怎么制作病毒软件，趋势科技认为，随着攻击者创造新技术和防御者不断创新，测试分数将会波动。 值得注意的是，趋势科技也没有包含在病毒公告报告中。

但在AV测试中，趋势科技表现非常出色。 在最近针对 Windows 7 和 Windows 10 进行的为期 14 天的零日漏洞检测测试中，趋势科技在 11 项上得分为 100%，在其他 3 项上得分为 99%。

事实上，在 AV Test 上，平均零日漏洞检测分数正在上升，从 2015 年初的不足 97% 上升到最近一轮 Windows 10 测试的超过 99.7%。

许多测试方法仍然依赖于测量进入计算机的威胁数量的老式技术，但零日漏洞或未知恶意软件需要时间才能发现。 基于签名的防病毒软件无法及早检测到恶意软件，但基于行为检测的系统必须等到恶意软件开始起作用。

这是反软件的本质问题。