自成立以来，反病毒行业秉承着这样的信念运转：它应该默默无闻地发挥作用。在理论上概言之就是，只有一小部分人知道反病毒引擎究竟是如何侦测恶意软件的，这意味着怀有恶意的黑客们不太可能拥有需要的知识来破坏反恶意软件系统。因此，反病毒行业大部分的运转一直是严守的秘密，直到最近，情况有所改变，这多亏了Tavis Ormandy的反病毒软件研究。

　　Ormandy是Google公司的一名信息安全工程师，并且是知名的bug“猎手”。他对Sophos公司的反病毒引擎进行深入的研究，并且发现该技术自身存在的一些根本性的缺陷。他在一篇白皮书中曝光了这些内容并在2011年的黑帽大会上提出这些问题。在本文中，我们审视Ormandy发现了什么，为什么他的发现对反病毒软件的成功十分重要，探讨他关于商业反病毒引擎存在固有缺陷的论断的正确性，以及企业的防护策略。

　　Sophos公司反病毒引擎中的安全缺陷

　　Ormandy在Sophos公司的反病毒引擎中确定了几个高级别的缺陷，与之关联的有核心签名功能、缓冲区溢出防护和加密算法的使用。Ormandy发现反病毒签名质量相对较差，攻击者们可以轻易地操纵签名。据报道，缓冲区防护只在Windows Vista系统和Windows早期的某些版本上有效，与Sophos公司发布的支持内容相矛盾。这个缺陷也可以被攻击者绕过。在许多不同的领域中使用脆弱的加密算法，且加密密钥内嵌在产品中。虽然Ormandy提出的这些问题像是给Sophos公司挑毛病，但他的研究会帮助提高防御水平并且让企业仔细地评估是否他们使用的反病毒引擎容易受到类似的攻击。通过广泛地发布他的研究，整个行业都能够从他的研究结果中受益。

　　Ormandy的发现对于当前反病毒软件引擎的成功很重要。最近，只有少数厂商彻底重写了他们的反病毒引擎核心功能，而大多数厂商没有使用现代的软件开发实践来更新他们的代码。这个忧虑不只限于Sophos公司或是反病毒引擎。没有更新陈旧的代码是整个软件行业的通病。

　　Ormandy宣称商业的反病毒引擎天生就是具有缺陷的，不过这也不是什么新闻了。信息安全行业近些年来一直在努力解决这个问题。许多企业严重依赖于商业的反病毒引擎，像来自Sophos公司、Symantec公司、McAfee公司和其它厂商的产品，以保护他们的系统免遭广泛的攻击。许多专家抨击反病毒是过时的技术，但它仍然是一项重要的技术，应与其它安全控制措施一起使用，如及时的补丁部署。

　　然而，Ormandy的研究应该为仅依赖于反病毒系统、没有组合使用其它安全控制技术的企业敲响了警钟。很少有企业有资源，像Ormandy那样进行深入研究，从而确保他们了解所选择的解决方案面临的具体挑战。即使像来自Virus Bulletin、AV-Comparatives、West Coast Labs和其它第三方独立的反病毒软件评估，都没有发现Sophos公司的反病毒引擎中的问题，因为他们专注于检测性能。所以，其它商业厂商的反病毒引擎可能也有类似的问题，只是尚未发现而已。

　　企业恶意软件防护策略

　　Ormandy列出的那些缺陷是严重的，应该促使企业仔细地评估Sophos公司、或是任何反病毒软件厂商的产品是否满足他们的需要，但是企业应该先仔细评估完他们的安全控制的有效性。Sophos公司在一篇博客中对Ormandy的发现作出了回应，建议企业给他们的系统打上最新的补丁并运行最新版本的反病毒引擎。

　　企业也可以考虑在服务器或是网络设备上使用不同于桌面的反病毒引擎。这可能会提供一些额外的防护，因为其它产品的引擎不太可能有一样的缺陷，除非引擎部分是来自Sophos公司的授权开发而成。新的引擎会增加环境的复杂性，所以应仔细权衡利弊，对比使用不同的反病毒引擎方案与其它可预防恶意软件的安全控制，像应用白名单、增添主机入侵预防系统、或是在终端上使用额外的反恶意软件引擎。

　　结论

　　Ormandy进行的研究有助于推动防恶意软件行业向前发展。还有望促进Sophos公司和其它反病毒厂商仔细地评估他们的核心软件，以确保防护功能如期进行。Ormandy发现的问题很可能不只限于Sophos公司，因为其它厂商反病毒引擎的架构是类似的。企业应该从Tavis Ormandy 对Sophos公司产品的研究中学习，不仅要督促他们的反病毒厂商们更新他们的核心产品以便领先于攻击者一步，还要确保反病毒厂商的防病毒程序使用上述其它一些技术作为补充，从而预防恶意软件，并帮助实现一个有效的、深度防御的架构。