“風(fēng)口”論的創(chuàng)造者雷軍最近說，風(fēng)口被人玩壞了。有人喜歡風(fēng)口，是因?yàn)榭梢越栾L(fēng)口順風(fēng)飛豬，就像那些互聯(lián)網(wǎng)大佬們一樣；也有人懼怕風(fēng)口，擔(dān)心在風(fēng)口逆風(fēng)折戟，比如在反腐風(fēng)中落馬的官員們。

最近一段事件，安全評(píng)測(cè)機(jī)構(gòu)突然間成為風(fēng)口浪尖，先是360和騰訊先后公開質(zhì)疑AV-C和AV-Test，指責(zé)這些評(píng)測(cè)機(jī)構(gòu)標(biāo)準(zhǔn)陳舊過時(shí)，緊接著Fireeye的皮克斯007撰文批評(píng)評(píng)測(cè)機(jī)構(gòu)淪為惡勢(shì)力，讓“傳統(tǒng)安全防護(hù)產(chǎn)品就算是想轉(zhuǎn)型也轉(zhuǎn)不了”。無論是360、騰訊還是皮克斯007都言辭激烈，“陳舊過時(shí)、法律維權(quán)、惡勢(shì)力”雖不至于讓這些評(píng)測(cè)機(jī)構(gòu)的權(quán)威信用垮塌，也足以讓他們陷入一定的信任危機(jī)，至少哪家廠商再去參加這些評(píng)測(cè)，老板批錢時(shí)會(huì)多問幾個(gè)為什么。

究竟是什么原因讓這些在行業(yè)中橫行數(shù)年，曾經(jīng)被安全企業(yè)“奉若神明”的評(píng)測(cè)機(jī)構(gòu)如此急轉(zhuǎn)急下，陷入掃地風(fēng)口？焦點(diǎn)還是標(biāo)準(zhǔn)，不得不說，這些評(píng)測(cè)機(jī)構(gòu)仍然沿用了十多年前的端時(shí)代的評(píng)測(cè)體系有點(diǎn)老了，讓今天的安全軟件來參加這樣的評(píng)測(cè)，無異于削足適履。所以皮克斯007會(huì)說：“自己制定一些標(biāo)準(zhǔn)，讓廠家們來參評(píng)，然后分出一二三名來。這個(gè)聽起來也不錯(cuò)，但是問題是如果他制定的標(biāo)準(zhǔn)和現(xiàn)實(shí)嚴(yán)重脫節(jié)，又欺行霸市，成了惡勢(shì)力?！?/span>

那么大家對(duì)標(biāo)準(zhǔn)的分析究竟在哪呢？

1、云和端的紛爭(zhēng)：現(xiàn)在AV-C評(píng)測(cè)標(biāo)準(zhǔn)是基于端時(shí)代的傳統(tǒng)殺毒技術(shù)而制定的，這是一套基于“特征碼引擎+病毒樣本庫”的實(shí)驗(yàn)室靜態(tài)測(cè)試方法，它拿已知一堆病毒樣本去掃描做文件檢測(cè)，測(cè)試的是安全軟件對(duì)已知病毒木馬的檢測(cè)能力。測(cè)出百分之多少的檢出率，這是端時(shí)代的測(cè)試方法，針對(duì)已知樣本檢出率的測(cè)試；但是云時(shí)代需要安全軟件能做更快的響應(yīng)和更全面的威脅感知，云時(shí)代的測(cè)試方法應(yīng)該是測(cè)試對(duì)未知威脅的感知和新病毒木馬的響應(yīng)速度，以最快的速度發(fā)現(xiàn)未知威脅和新的病毒木馬然后進(jìn)行防御。所以用端時(shí)代的標(biāo)準(zhǔn)來測(cè)試云時(shí)代的安全軟件頗似關(guān)公戰(zhàn)秦瓊。

2、實(shí)驗(yàn)室和真實(shí)環(huán)境的紛爭(zhēng)：這次在數(shù)字公司的聲明中曾經(jīng)提到了Teamviewer的案例，這個(gè)還是很有說服力的，一些原本很流行的工具軟件，在國(guó)內(nèi)被用于黑色產(chǎn)業(yè)，比如Teamviewer是一款合法軟件，在國(guó)外是一款很流行的遠(yuǎn)程控制軟件，深受系統(tǒng)管理員的喜愛，國(guó)內(nèi)也有系統(tǒng)管理員在使用。但是是國(guó)內(nèi)被大量的網(wǎng)絡(luò)詐騙者用于詐騙，以國(guó)內(nèi)某著名藝人網(wǎng)銀被盜100萬元的真實(shí)案件為例，不法分子騙其經(jīng)紀(jì)人卸載了360殺毒，再要求受害者從釣魚網(wǎng)站下載使用Teamviewer，從而控制其電腦盜取巨額網(wǎng)銀資金。所以在國(guó)內(nèi)不僅要判斷一個(gè)程序是否合法，還要根據(jù)文件下載途徑、軟件行為等信息綜合判斷并查殺被惡意利用。

這個(gè)案例就說明，實(shí)驗(yàn)室的這套測(cè)試結(jié)果跟真實(shí)環(huán)境的防護(hù)能力有差異。就以數(shù)字公司為例，國(guó)內(nèi)黑產(chǎn)都有共識(shí)，繞過數(shù)字公司的攻防是最難的，也就是說他的實(shí)戰(zhàn)實(shí)力肯定沒得說，但是如果以真實(shí)產(chǎn)品來參加這些評(píng)測(cè)，成績(jī)不一定很好。

3、小量樣本集與互聯(lián)網(wǎng)上海量樣本的紛爭(zhēng)：數(shù)字公司的聲明中說，每天發(fā)現(xiàn)樣本數(shù)百萬，每年發(fā)現(xiàn)樣本總量十多億，但是評(píng)測(cè)機(jī)構(gòu)評(píng)測(cè)樣本基本都在30萬以下，以這樣的小量樣本來衡量每年發(fā)現(xiàn)十多億樣本的安全軟件的檢出能力，是一種抽樣式的，造成的結(jié)果必然是安全軟件要做應(yīng)試準(zhǔn)備。

4、地區(qū)差異紛爭(zhēng)：今天網(wǎng)絡(luò)威脅的地域化差異還是挺大的，由于文化差異和經(jīng)濟(jì)發(fā)展水平不同，中國(guó)國(guó)內(nèi)的黑色產(chǎn)業(yè)比國(guó)外更猖狂，相對(duì)來說國(guó)內(nèi)的黑產(chǎn)趨利性更強(qiáng)、技術(shù)水平低、制作成本低，但攻擊手段更加沒有底限，破壞力更強(qiáng)，對(duì)用戶的危害也更大。比如以下的三種木馬就是典型的中國(guó)特色。

第一類是國(guó)內(nèi)流行的釣魚木馬，偽裝界面，比如QQ黏蟲、QQ刷鉆軟件，都是誘騙用戶輸入賬號(hào)密碼，制作成本低、技術(shù)含量低，但對(duì)用戶的實(shí)際危害很大，也很容易流行；

第二類是AV終結(jié)者類木馬的：這類木馬破壞力很強(qiáng)，他們的目標(biāo)首先是破壞電腦中的安全軟件，然后下載一些惡意的軟件或者惡意的推廣程序，實(shí)現(xiàn)軟控、盜號(hào)等目的。國(guó)外的木馬比較安靜隱蔽，這是由于文化差異造成的。國(guó)外軟件的對(duì)待這類木馬的自我保護(hù)能力都很弱；

第三類白利用，用一個(gè)合法軟件的EXE去加載木馬的DLL，用木馬的DLL來解密一個(gè)加密的配置文件，或者加載惡意的腳本；白利用也是國(guó)內(nèi)黑產(chǎn)針對(duì)國(guó)內(nèi)安全軟件滋生出來的常見的攻擊木馬，比如網(wǎng)購(gòu)木馬或者遠(yuǎn)控類的木馬比較多。

從以上的四個(gè)紛爭(zhēng)看，AV-C這些傳統(tǒng)評(píng)測(cè)的確不能完全適合今天的安全形勢(shì)，但回過頭來說，評(píng)測(cè)機(jī)構(gòu)從來就不是公平的化身，他們制定的自己的標(biāo)準(zhǔn)，也就制定了自己的游戲規(guī)則，愿意玩就要接受這些游戲規(guī)則，如果不接受，那就跟數(shù)字公司一樣退出吧。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。