2013年防毒趨勢解析、付費軟體為何不同?6大付費防毒軟體特色與評比
從病毒升級到零時差攻擊、臉書詐騙,網路威脅步步逼近,單純的防毒功能無法帶給我們完整的保護。因此,防毒軟體升級革新,各式各樣的安全機制隨之而來。小編現在就帶你了解2013年防毒重點趨勢,以及6大付費防毒軟體比比看,讓你新的一年電腦依舊百毒不侵。
快速瀏覽:
- 主流防護:病毒碼比對+主動式防禦 / 主動式防禦的技術分類
- 「雲端」在防毒軟體的角色 / 防毒率是否重要? / 付費防毒軟體的特徵
- 六大付費防毒軟體介紹:PC-cillin 2013雲端版、ESET Smart Security 6、Norton Internet Security 2013、G Data 網路安全 2013 中文版、芬安全 電腦安全軟體、卡巴斯基 網路安全套裝
相信很多人心中都有一個同樣的疑問:為什麼要花錢買商業版的防毒軟體?現在國外許多防毒測試報告都指出,免費版防毒軟體的防毒功能不但不見得比較差,而且有些表現甚至還超越付費版的防毒軟體。
付費版的防毒軟體能保護的,其實不只是病毒的威脅。仔細想想,其實你已經很久沒聽過大規模的病毒感染事件,取而代之的是網路詐騙、釣魚網站、殭屍電腦等層出不窮的新名詞。這也表示電腦面臨的威脅已經轉移,光靠防毒一項功能,並不足以保護你的電腦。
但是,什麼樣的功能才叫「夠多」?恐怕是見仁見智。而且現在防毒的名詞一大堆,所有功能列出來消費者只怕也是有看沒有懂。因此,首先我們先就防毒軟體目前所需功能,進行簡單的介紹以及分析。
2012下半年威脅分析
從2012年下半年的網路威脅案例來看,惡意程式正大舉進攻行動裝置平台。尤其是Android系統的手機、平板,成為惡意程式的新樂園,惡意程式偽裝成免費軟體或是熱門的正版遊戲,誘使使用者下載。還有許多程式則是游移在廣告程式與會蒐集個資的惡意程式模糊地帶之間,造成防不勝防的問題。
另外,藉由偽裝成臉書好友,透過手機簡訊認證碼進行小額詐騙的行為,這一類的案例在2012下半年也大量爆發。像是有歹徒假造一個投票網頁稱為「Yahoo攝影聯合會」,要網友去幫好友投票,但投票的過程中會騙取你個人的個資。這個網頁一再更改網址,直到現在也還有人受騙上當。
另外,全球性的重大威脅則依然還是以針對瀏覽器、Java漏洞的零時攻擊為主,不過現在的駭客已經改為瞄準特定的企業與政府機關,因此在這方面對於一般家庭來說,威脅並不是那麼大。
▲你到各家防毒軟體的官網,都可以看到他們依照功能的多寡,推出不同版本,價格也不相同。這就是廠商因應不同網路威脅而採取的策略。
主流防護:病毒碼比對+主動式防禦
現在的商業防毒軟體,強調的防毒核心有各種名詞,像是啟發偵測、主動式防禦、行為攔截等等,為什麼要有這些技術?主要是因為駭客技術的進化,帶來所謂「零時差攻擊」(Zero-day attack)的新威脅。
零時差,爆發損害極大化
早期的防毒軟體,是採用病毒碼更新的方式來偵測病毒。廠商將病毒的特徵寫入病毒碼,然後防毒軟體拿來將執行檔與病毒碼特徵比對,藉由這種方式來掃描出病毒。但這種作法有時差的問題,如果病毒第一時間推出,病毒碼資料庫沒有那麼快更新,就無法阻擋病毒的來襲。
但是駭客的技術進步,帶來了「零時差攻擊」的威脅。駭客搶先找到程式、瀏覽器的安全漏洞,然後在廠商還沒有來得及修補之前,就惡意利用這個漏洞去攻擊他人的電腦。由於在爆發之前漏洞還沒有被發現,因此防毒軟體也無法靠病毒碼來防堵零時差攻擊。也由於零時差搶的就是漏洞修補前的空隙,因此當駭客發動零時差攻擊的瞬間,也是災情最慘重的時候。
▲零時差攻擊帶來傷害的最高峰為攻擊開始的當下,之後隨著廠商發佈更新檔就不再造成威脅。
主動式防禦技術及問題
為了解決零時差攻擊的問題,「主動式防禦技術」(也稱為免疫防護)成了新的解決辦法。原理是病毒、木馬都會有一些基本的企圖以及動作,因此藉由程式的行為、動作,來判斷這個程式是否有可能是病毒或是惡意程式。不追求病毒碼的更新,而從根本動作上拔除病毒的危害。
主動式防禦所觀察的動作,又可分為應用程式防禦、系統登錄檔防禦以及一般檔案防禦,業界習慣將這個稱為3D(Defend)。有些產品則只鎖定應用程式防禦、系統登錄檔防禦,就稱為2D。
但是主動式防禦技術最大的問題就在正常程式的動作,有可能會與某些病毒的動作一樣,因此主動式防禦很容易有誤判的問題。而為了減低誤判率,各家廠商都有自己的主動式防禦技術,但主要可以分為「啟發偵測」以及「行為攔截」兩大類別。
▲3D的分類
▲Windows 8內建的Microsoft Security Essentials防毒工具,也採用主動式防禦的技術。
主動式防禦的技術分類
啟發式偵測技術、行為攔截工具,兩種方法的主要差異為:啟發式偵測技術是在與正在運作的主系統隔離的環境下,去研究可疑程式;惡意行為攔截工具則是由可疑程式在系統中執行,只要這個程式一出現病毒的行為,立即封鎖這個程式的惡意行為。
「動態」、「靜態」啟發式偵測
啟發式偵測依照原理,又分為「靜態啟發」以及「動態啟發」兩種技術。
「靜態啟發」是在不執行程式的情況下,將可疑的程式進行反組譯的動作,從程式碼中觀察裡頭的命令,研判這個程式是否有與病毒相同的行為。雖然聽起來與病毒碼比對掃毒有點類似,但傳統的病毒碼比對是直接比對病毒程式的執行檔,因此病毒製作者只要稍微修改一下程式碼,馬上就可以生出第二個、第三個變種病毒,而防毒軟體就必須要有對應的不同病毒碼才能偵測。但靜態啟發則可以靠同一種邏輯,就去將整個病毒家族找出來。
至於「動態啟發」,則是營造一個虛擬的隔離環境,讓程式在這個環境中執行。當他觀察到程式執行的行為符合病毒的行為特徵,就判定這個程式為病毒。
惡意行為攔截工具
行為攔截工具是讓可疑程式在實際環境中執行,也算是最早期的主動防禦技術。這種方式就是針對「3D」進行監視,行為攔截工具必須要有一個規則表來配合,這個規則表有記錄各種危險的動作,而當程式符合規則表的危險動作,就會跳出一個視窗,詢問使用者是否要封鎖這個動作。
早期使用行為攔截工具的使用者會覺得很煩,因為動不動就會跳出視窗詢問你要不要封鎖某個動作,也有太多誤判的可能。因此現在的行為攔截工具觀察的不是單一動作,而是綜合的連續動作,藉以減低誤判率。
但是行為攔截工具還是需要使用者相當程度的參與,如果使用者對於惡意行為完全沒有概念,行為攔截工具的效果會大打折扣。因此一般家用的消費防毒軟體,還是以採用啟發式偵測技術為主。
防火牆還重不重要?
現在防毒軟體只要是冠上「Internet」產品名稱的這個版本,最主要就是多加了套防火牆的功能。但是以現在主動式防禦的技術,已經可以防堵程式的惡意行為,當然也包括對於網路的不正常存取,效果近似防火牆。再加上Windows也內建了防火牆,相形之下一般家庭對防火牆的需求較沒有那麼急迫。
▲主動式防禦技術有所謂的「規則集」,這個規則就是用來記錄一些程式的行為,當程式的表現符合感染行為的規則判斷,就予以防護。
▲也有的程式採用雲端的方式,透過大量使用者的經驗,在雲端對各種程式進行信譽分級,並且對應到使用者端所安裝的所有軟體上進行信譽分級。
延伸閱讀:
2013 年 8 大免費防毒軟體評比,防護特色、測試成績報你知
Norton 2013年網路安全預測報告,勒索軟體、社群網站安全首當其衝
從 Dropbox 資料被盜事件,看使用者 10 個自保方法,強化 PC 與帳號安全
(後面還有:防毒軟體面面觀)
「雲端」在防毒軟體的角色
另外一個防護的趨勢,則是引入「雲端」來保護(也有廠商稱為集體智慧、雲端鑑識),雖然每家廠商的「雲端」應用方式不大相同,但主要作用大致有以下兩方面。
降低誤判率
主動式防禦靠的是判斷惡意病毒行為的規則庫。但是現在的駭客撰寫病毒時也會參考主流防毒廠商的規則庫,刻意去繞過這些規則。因此,防毒廠商必須透過雲端蒐集大量使用者的可疑程式資料,從中找到惡意程式的樣本,加以分析。
收集的資料又可以分為惡意程式以及非惡意程式的部分:惡意程式送去分析歸納,然後萃取匯入到主動式防禦的規則庫,降低誤判率;非惡意程式的部份,也可以拿來送去白名單的資料庫,讓以後偵測到這個程式,可以視為安全的程式略過掃描時間,讓效能提昇。
防網頁釣魚、詐騙
另外針對目前層出不窮的釣魚網頁、網路詐騙,防毒軟體廠商的解決之道也是雲端。在雲端中匯集了來自各地使用者通報的釣魚網址,防毒軟體就可以讓你在連到該網頁之前,預先向你提出警告。另外,針對目前許多防毒軟體都有提供的家長防護功能,如果要對家中孩子瀏覽的網頁進行分級制度的話,這個分級的方式也是雲端。
針對國人,目前所有防毒軟體在防釣魚網頁、網頁分級的資料,幾乎清一色都是以國外的資料庫為主。因此,假設你要防色情,它會阻擋以「Porn」為關鍵字的網站比例相當高,但是你轉個彎輸入「情色」之後,真的能被擋掉的網站則僅在少數,漏網之魚則相當多。對於國人來說不是那麼實用。
防毒軟體真能防詐騙?
網拍詐騙、臉書詐騙、小額付款詐騙,都是歹徒利用入侵你朋友的帳號,然後騙取你用手機接收認證碼,你確認後就等於同意了小額付款,金錢就被歹徒詐騙了。防毒軟體可以防止你帳號被盜去拿來騙人,但沒有辦法可以幫你驗證對方是不是你的朋友,阻止你告訴詐騙者手機認證碼。你除了提高警覺,其實沒有更有效的辦法,因為這一類的詐騙手法幾乎沒有技術層面可言,靠的是騙術,也沒有防毒軟體可以防止。
▲透過雲端的網頁內容分級資料庫,當受監護的帳號點選到危險的網頁內容,就會跳出視窗來顯示這個網頁內容被限制瀏覽。
▲這是詐騙者用來詐騙個資的「Yahoo攝影聯合會」網頁,其中聯絡電話、信箱,都是盜用正統攝影學會的聯繫方式。
▲詐騙者也常舉辦一些虛假的贈獎活動網頁,來騙取大量的個人信用卡資訊。
防毒率是否重要?
目前幾乎所有的防毒軟體,都是以傳統病毒碼比對,搭配主動式防禦這種雙管齊下的方式來保護電腦。這種方式已經可以保護電腦九成以上的安全性,但還是不免有疏漏。因此,很多防毒軟體開始追求更高的防毒率。
沒有錯,防毒率當然是防毒軟體的重要指標,但是想要達成防毒率百分之百,其實代表的是你的電腦必須付出更多時間、效能在偵測上,等於說你的電腦可能要花上兩到三倍的力氣,去防堵可能永遠不會發生的威脅。而且,就算是真的做到滴水不漏,同時可能代表這個防毒軟體的誤判率也高,因為「寧可錯殺,也不錯放」。
參考公信力的評比網站
對於企業而言,由於資料的重要性,容易吸引更多攻擊,或許需要考量防毒率高的軟體。對於一般家庭來說,則面臨特殊攻擊的可能性會相對較少。但這僅是一般而言,每個消費者的考量不同,如果你很重視防毒率的話,其實國外有很多具有公信力的網站,每年都會針對防毒軟體進行評測,你可以到這些網站去參考相關的數據。
在這邊推薦兩個網站,首先是獨立防毒測試網站AV-TEST,這個網站測試的標準是依照病毒的防毒率來進行檢測,評測分成對電腦的保護性(Protection)、中毒的修復率(Repair),以及可用性(Usability)三個指標:保護性指的是對於病毒的偵測率高低,修復率指的是中毒後能夠修復電腦的程度,可用性則包含對於電腦效能的影響以及病毒的誤判率。
另一個網站則是TopTenReviews,這個網站的評測重點則與AV-TEST完全不同,他不以防毒率為依據,而是以執行起來的效能為參考重點,再搭配軟體提供的功能、後續的支援服務為依據來評選最佳產品。
▲AV-TEST 2012年12月份的評測報告。
▲TopTenReviews主要依照防毒軟體的效能,以及相關的特徵進行評比。
商業防毒軟體的特徵
本次專題我們挑選六款國內的付費版防毒軟體來報導,在過程中我們發現,過去大家印象中的「防毒軟體都一樣」的觀念已經過時了,在這裡先簡單地歸納一些結論。
防毒核心各有千秋
雖然每一款防毒軟體都是病毒碼+主動式防禦的原理,但是應用的技術都各不相同,因此擅長的防毒領域也不同。值得注意的是有兩款防毒軟體:F-Secure、G Data採用的是多種防毒引擎的技術,融合了兩種以上的防毒引擎,藉此提高防毒的殺毒率。
行動裝置防護多需另付費
雖然很多廠商宣稱他們有搭配Android版的防毒App,但是很多所謂的「搭配」,其實指的是原本在Google Play就可以下載得到的免費App,你買不買商業軟體都可以下載,再不然就是僅給你一半的功能,想要獲得完整功能還需另外付費購買商業版。其中僅有趨勢的Android版「行動安全防護」是完整可用的版本。
網頁分級制度不完全
很多防毒軟體強調的家長監護功能,實際實行的方法則不大相同。大致上可以分為幾種技術:
- 上網、電腦使用時間控管:控制孩子可以使用多久電腦的時間。
- 網頁分級保護:透過分級制度,設定孩子不能連上哪些暴力、色情網站。
- 社群保護:透過統計的方式,來統計孩子在社群網站中的發言、連結有多少連向危險、色情、暴力網站的比例。如果比例過高,就會發出警告。
但是,事實上這些功能恐怕只有第一項控制上網時間比較實用一點。其他的功能大部分都只是給家長用心安的,尤其是因為文化、語言的不同,目前網頁分級、社群保護的技術,遇到中文環境就會打個折扣,其實根本發揮不了多少保護的功能。
▲為了防止筆電或手機失竊,趨勢、諾頓、ESET都有對應的防盜功能。
▲趨勢的行動裝置失竊防護功能提供的很全面,但你必須購買3PC版才能同時享有PC以及Android裝置的多樣保護。
▲現在行動裝置可下載的APP眾多,內容良莠不齊,也暗藏惡意程式。
延伸閱讀:
LINE 也推手機防毒軟體!Android 版 Antivirus 強化手機個資安全
AirPush Detector:揪出亂炸廣告連結的 Android App
(後面還有:六大付費防毒軟體介紹)
PC-cillin 2013雲端版
價格資訊:
- 標準一年版(1台防護)990元
- 標準一年版(3台防護)1,990元
廠商資訊:
自從PC-cillin掛上「雲端版」之後,80%的病毒碼都採用透過連線到雲端伺服器來掃描電腦,因此不需要進行頻繁的病毒碼更新動作。啟發式偵測病毒搭配PC-cillin的「主動式雲端截毒」的技術。這個技術的原理是,PC-cillin會將所有使用者電腦中遇到的可疑程式以及這些程式的行為記錄下來,然後集合在雲端資料庫中。
PC-cillin的雲端資料庫會利用關連性分析的方式,來分析不同網路可疑行為彼此之間的關連度。如果單只是一台電腦下載了可疑程式,並且之後就被連接到一個危險的網頁,或許還不致於判斷為惡意程式。但如果在雲端資料庫中,統計出來有一千台、一萬台電腦遇到同樣的狀況,那麼雲端就會判定這個可疑程式為惡意程式,主動進行截毒。(點此看詳細介紹)
ESET Smart Security 6
價格資訊:
- 尚未上市
廠商資訊:
這次測試時,新版的ESET Smart Security 6中文版尚未推出,因此我們測試的是英文的Beta版本,正式版上市的介面將會是中文。ESET搭配啟發式偵測,是採用虛擬脫殼的技術來確認惡意程式。這個方法是在掃描引擎中打造一台虛擬電腦,然後把可疑的程式丟到這個虛擬電腦中看著它執行,確認它執行之後會不會有問題。
由於要在電腦中模擬一個虛擬機器,理論上會比較耗用資源,但是ESET厲害在它的執行效能依然很高,而且這個虛擬脫殼處理的不僅只有病毒,還將蠕蟲、木馬、間諜軟體等威脅一併處理,用一個引擎處理綜合處理所有的威脅,因此可把效能加以提昇。(點此看詳細介紹)
Norton Internet Security 2013
價格資訊:
- 1年1PC版:990元
- 3年1PC版:1,990元
廠商資訊:
Norton的啟發式偵測技術主要是採用營造虛擬環境來誘使可疑的程式現形的偵測技術,他們稱自家的技術為「Bloodhound」,也是在虛擬機器中隔離可疑程式的方式。不過他們同時另外採用了另一個稱為「SONAR」聲納的主動式防禦技術,這是在實際作業環境中針對可疑程式動作進行分析,原理上比較像是行為攔截技術的一種。(點此看詳細介紹)
G Data 網路安全 2013 中文版
價格資訊:
- 1年1PC版:990元
- 3年1PC版:1,990元
廠商資訊:
G Data也有提供防火牆、電子郵件以及網頁防護等的功能。不過介面是親民路線,需要調整的設定選項不多,是一種「免打擾」的全自動防護系統。它融合了avast!以及BitDefender兩大防毒軟體的殺毒引擎,因此也被稱為是擁有「雙核」的防毒軟體。(點此看詳細介紹)
芬安全 電腦安全軟體
價格資訊:
- 1年1PC版:899元
廠商資訊:
來自芬蘭的F-Secure主打的是多核心防毒引擎,不但有兩顆病毒比對引擎、另外還有HIPS引擎及Rootkit掃描引擎,堪稱是最多防毒引擎的防毒軟體。雖然採用了多種技術,在介面上似乎刻意設計的相當簡單,使用起來幾乎沒有技術難度,也沒有困難的技術名詞,對於初學者來說也能輕鬆上手。
搭配多種防毒核心,F-Secure的DeepGuard 4深層防禦技術也是採用啟發式掃描的技術,並且搭配沙盒防護功能,可以將可疑的程式在沙盒中隔離執行,藉此來發現是否有危險的特徵。(點此看詳細介紹)
卡巴斯基 網路安全套裝
價格資訊:
- 1年1PC版:1,290元
- 3年1PC版:2,390元
廠商資訊:
卡巴斯基近幾年來成為名氣最響亮的防毒軟體之一,而它的功能也不斷求新求變。在這次的版本中,功能不但幾乎涵蓋今年度所有防毒軟體重要的特色,而且也推出了一些獨家特色功能。更重要的是雖然功能複雜,介面卻能保持簡單易懂,容易上手。(點此看詳細介紹)
本文同步刊載於PC home雜誌
歡迎加入PC home雜誌粉絲團!
