■本刊記者 趙志遠(yuǎn)

之前在安全圈一則消息引起不小的“轟動”，1 月14日，微軟宣布結(jié)束對Windows 7 系統(tǒng)、Windows Server 2008和Windows Server 2008 R2的技術(shù)支持。這意味著，使用Windows 7 系統(tǒng)等的用戶將不會再收到免費(fèi)安全更新，今后用戶無疑將面臨嚴(yán)重的安全威脅。

其實(shí)早在幾年以前，微軟就已經(jīng)有過Windows XP 停服的動作，但此次停服引起的反響甚于以往。

Netmarketshare 的市場報告顯示，截止去年11 月，全球Windows 7 系統(tǒng)用戶依舊占據(jù)26.64%的市場份額。相比普通個人用戶，這一舉動對于企業(yè)級用戶而言無疑更具“殺傷力”。在我國，Windows 7 使用占比更高，目前，國內(nèi)企業(yè)網(wǎng)絡(luò)環(huán)境中Windows 7占比達(dá)到了60%，而在政府機(jī)關(guān)、衛(wèi)生教育等事業(yè)單位甚至超過70%。

不止是系統(tǒng)使用數(shù)量方面，更重要的是漏洞管理缺失給用戶帶來的威脅。特別是對于政企市場來說，其影響及可能產(chǎn)生的后果自不待言。

奇安信集團(tuán)副總裁徐貴斌認(rèn)為，政企行業(yè)信息系統(tǒng)普遍面臨著四大安全痛點(diǎn)：一是漏洞層出不窮；二是補(bǔ)丁周期滯后；三是政企客戶場景非常復(fù)雜；四是操作系統(tǒng)多元化，一體化管理難度極高。

據(jù)CNNVD 統(tǒng)計，僅2018年被曝出漏洞就達(dá)24160 個，多數(shù)客戶面對0day 漏洞及未知漏洞時缺乏有效防護(hù)手段?？梢?，Windows 7 等系統(tǒng)的停服只是當(dāng)前網(wǎng)絡(luò)安全面臨越來越復(fù)雜威脅的一個縮影，安全攻防形勢的此消彼長直接決定著用戶的IT 系統(tǒng)安危。

奇安信集團(tuán)總裁吳云坤表示，漏洞的問題不僅僅存在于Windows 系統(tǒng)，也包括Linux、安卓系統(tǒng)及其它操作系統(tǒng)，對于個人來說可能影響的是電腦的使用及生活中的一些方面，但是這些漏洞一旦被組織級攻擊利用，影響的將是生產(chǎn)停滯、關(guān)鍵基礎(chǔ)設(shè)施穩(wěn)定、重要業(yè)務(wù)系統(tǒng)無法正常運(yùn)行，甚至影響到經(jīng)濟(jì)、社會和國家的安全。

安全從第一代到第三代

自打操作系統(tǒng)誕生以來，漏洞就已伴生其中。在單機(jī)時代，安全威脅僅僅局限于單機(jī)之間病毒的傳播，而相關(guān)的安全技術(shù)也是基于靜態(tài)黑特征匹配，而隨著網(wǎng)絡(luò)時代的到來，病毒得以迅速蔓延，這種基于特征的查殺變得滯后，傳統(tǒng)的查殺技術(shù)都未能解決這種滯后的問題，直到黑白特征利用的出現(xiàn)，以“非黑即白”策略來確定病毒和惡意軟件的“指紋”，才算是解決了滯后的問題，而通過人工智能引擎的加持，安全能力得到進(jìn)一步強(qiáng)化。

隨著網(wǎng)絡(luò)安全提升至國家戰(zhàn)略層級，我們面臨越來越多的威脅難題——零日漏洞攻擊、可信程序的惡意利用、新型攻擊對抗等等。第二代白特征查殺技術(shù)是完全無能為力的，這些都是第三代安全需要解決的事情。

“換句話說，如果說一個引擎或一個技術(shù)的設(shè)計初衷就是為了解決以上這些問題，以及解決國家安全問題的，就可以稱為第三代安全技術(shù)?！毙熨F斌表示。

而奇安信近期發(fā)布的“天狗”安全引擎就屬于第三代安全技術(shù)。

不打補(bǔ)丁也能抵御攻擊

第三代安全最為突出的問題之一就是漏洞攻擊，其實(shí)，漏洞攻擊的實(shí)質(zhì)就是通過控制“可信程序”來執(zhí)行惡意指令，但很多的安全技術(shù)并不是為解決漏洞攻擊的問題而設(shè)計的。試圖通過控制權(quán)限來解決安全問題并沒有解決根本問題，這需要更底層的安全技術(shù)來支撐。

“天狗”作為第三代安全引擎在解決以上幾個問題方面表現(xiàn)“獨(dú)樹一幟”，這得益于它在解決第三代安全問題上實(shí)現(xiàn)的一系列創(chuàng)新?！疤旃贰币嬷饕獜娜齻€方面實(shí)現(xiàn)了創(chuàng)新：

首先它是換代技術(shù)的創(chuàng)新。換代意味著有著質(zhì)的改變，正如以上所討論的從第一代到第三代安全，“天狗”引擎脫離了對基于漏洞特征、文件特征、行為特征等傳統(tǒng)安全機(jī)制的依賴，從內(nèi)存指令層入手，對漏洞攻擊進(jìn)行檢測，并融合了機(jī)器學(xué)習(xí)等AI 技術(shù)，即使在斷網(wǎng)情況下，也不影響效果。吳云坤強(qiáng)調(diào)，這一特點(diǎn)特別適合于政企客戶。

再者，該引擎實(shí)現(xiàn)了底層技術(shù)的創(chuàng)新。采用內(nèi)存指令級進(jìn)行檢測，同時也意味著它可以不依賴特定操作系統(tǒng)，因此相比于傳統(tǒng)針對操作系統(tǒng)的加固工具，“天狗”在Windows 7 停服對用戶產(chǎn)生的影響方面，可從容應(yīng)對。

最后，該引擎的機(jī)制可以有效防后門。后門不同于漏洞，漏洞是系統(tǒng)缺陷，而后門則是一個供應(yīng)鏈安全的問題，單純加固類產(chǎn)品是無法解決的，而“天狗”可以有效地發(fā)現(xiàn)和防御后門問題。

后門不同于漏洞，它并不是由于編程指令的缺陷造成的，因而隱蔽性更強(qiáng)，危害也更大。徐貴斌表示，對于后門來說，一般的指令層的檢測是無能為力的。天狗通過檢測功能與功能之間產(chǎn)生指令序列的差別來發(fā)現(xiàn)后門，這是“天狗”最大的創(chuàng)新。

安全能力的疊加，而非取代

“‘天狗’作為新一代的安全引擎，更是一種安全技術(shù)和安全能力。”奇安信集團(tuán)副總裁徐貴斌表示，

但新的安全技術(shù)之于傳統(tǒng)安全技術(shù)，是一種疊加而非取代，第一代的安全技術(shù)解決不了第三代的問題，同樣，第三代的安全技術(shù)也未必能解決傳統(tǒng)安全問題。因此，真正的安全應(yīng)該是體系化的。

而“天狗”引擎在為用戶服務(wù)時，也是結(jié)合其他的安全產(chǎn)品，形成一個完整的解決方案?！白罱K我們會把該引擎融入到完整的解決方案中，跟各個產(chǎn)品進(jìn)行搭配。”徐貴斌表示。例如，奇安信天擎終端安全管理系統(tǒng)提供Windows 7系統(tǒng)加固模塊，該模塊基于“天狗”引擎，可以對最先進(jìn)的惡意軟件實(shí)施降維打擊。