即時防毒保護詳解:為何至關重要
即時保護會在每次檔案存取、下載及程式執行時即時監控——在威脅執行前便予以攔截,而非等到損害已成才事後發現。
即時保護會在每次檔案存取、下載及程式執行時即時監控——在威脅執行前便予以攔截,而非等到損害已成才事後發現。
即時保護(亦稱「存取時掃描」或「常駐防護」)的運作方式是向作業系統的檔案系統過濾驅動程式架構註冊,以接收每個檔案存取事件的通知——無論何時有檔案被開啟、複製、下載、寫入或執行。當此類事件發生時,防毒軟件會先行攔截,在請求程式能夠存取檔案之前完成掃描,然後決定允許存取,或予以封鎖並提示使用者。此攔截作業在核心層級進行,早於檔案到達任何使用者層應用程式之前,這正是即時保護能夠阻止惡意軟件執行的原因——即使使用者已雙擊受感染的檔案亦然。
現代即時保護遠不止於監控檔案存取。網頁防護元件會滲入瀏覽器程序,在網址載入前進行檢查,並將每個網址與雲端即時維護的已知惡意及釣魚網站資料庫進行比對。下載掃描會在檔案透過 HTTP/HTTPS 接收時即時檢查,在寫入磁碟或供瀏覽器存取之前進行審查。程序監控會監視正在運行的程序的行為,而不僅僅是檔案——若某個合法程序突然出現類似惡意軟件的行為(意外的網絡連線、嘗試讀取瀏覽器憑證儲存、嘗試向其他程序注入程式碼),行為保護可將其終止。記憶體掃描會定期檢查 RAM,以偵測僅存在於記憶體中(無檔案惡意軟件)從不寫入磁碟的惡意軟件。
即時保護對效能的影響是使用者考慮停用它時最常提及的主要顧慮。在現代硬件上,設計精良的即時保護對效能的影響極為輕微——大多數檔案存取的完整掃描及檢查週期只需微秒。在獨立 AV-TEST ↗ 效能測試中表現最佳的產品(ESET、Bitdefender 及 F-Secure 均定期獲得頂級評分)大力投資於掃描效率工程:對未改變的檔案快取結果、使用雲端查詢進行快速雜湊決策而非完整本地掃描,以及根據檔案類型和風險狀況劃分掃描深度優先順序。若即時保護明顯影響效能,正確的做法是換用更輕量的產品——而非完全停用防護。
定期掃描——按既定時間表(例如每週)執行完整系統掃描——是早期防毒軟件的主要保護模式。在惡意軟件透過實體媒體緩慢傳播、新威脅逐步出現的年代,每週一次的掃描可在造成重大損害前偵測最近的感染。現代威脅環境已使僅依賴定期掃描變得危險地不足。勒索軟件可在數分鐘內加密數千個檔案。網絡銀行木馬會在使用者登入金融網站時即時竊取憑證。憑證竊取程序在捕獲後立即傳輸資料。等到每週定期掃描執行時,這些快速行動威脅所造成的損害早已完成。
定期掃描仍有其作用,但屬於輔助性質而非主要防護。按定期時程執行完整系統掃描可以捕獲:自感染以來一直處於休眠狀態且未觸發檔案存取的威脅、最初通過即時偵測的惡意軟件(可能透過後來被特徵碼資料庫收錄的多形態程式碼),以及透過即時監控可能遺漏的異常途徑引入的威脅。可以將其視為安全網而非主要防護。適當的配置是:始終啟用即時保護作為主要層,每週或每月執行一次計劃完整掃描作為後台驗證檢查。
使用者造成的最關鍵即時保護缺口包括:為遊戲或效能目的停用防毒軟件(產生任何檔案存取或下載均不受監控的窗口)、在暫時停用防毒軟件的同時安裝盜版軟件(正是這種情況會傳播木馬),以及使用配置為「僅定期掃描」模式以減少後台資源使用的防毒產品。雲端遊戲服務、影片剪輯和音樂製作確實需要繁重的工作負載,防毒效能開銷可能會很明顯——正確的回應是選擇效能評分優秀的防毒軟件(ESET NOD32 在輕量化運作方面享有特別好的聲譽)並使用「遊戲模式」功能在密集任務期間暫停非關鍵操作,而非完全停用保護。
現代防毒套件內建多個協同工作的即時保護組件。檔案系統防護(存取時掃描器)提供上述基礎層。網頁防護作為瀏覽器流量的代理,檢查 HTTP/HTTPS 內容中的惡意軟件有效載荷,並將網址與惡意網站資料庫進行比對。電子郵件保護掃描收發電子郵件的附件和內嵌連結——這一點很重要,因為釣魚郵件和惡意附件是企業惡意軟件的主要初始感染途徑。網絡監控監視可疑的出站連線(可能表示惡意軟件與命令與控制伺服器通訊),以及可能表示外部攻擊活動的入站連線嘗試。
漏洞利用保護模組——包含在 Malwarebytes Premium、ESET 和 Bitdefender 等產品中——其運作方式與惡意軟件掃描不同。漏洞利用保護強化技術不是偵測特定惡意軟件,而是從根本上使應用程式環境更能抵抗漏洞利用:堆積噴射保護、堆疊溢位偵測、面向返回的程式設計(ROP)緩解,以及程序空洞化偵測。這些技術可防範針對瀏覽器和文件渲染漏洞的零日漏洞利用——根據定義,此類威脅尚無特徵碼。漏洞利用保護對於經常從外部來源開啟 PDF 和 Office 文件的使用者,或運行可能含有未修補漏洞的舊版軟件的使用者最具價值。
專門針對勒索軟件的即時模組在一般 惡意軟件偵測 ↗ 之上增添了額外保護層。受控資料夾存取(Windows Defender)以及商業產品中的同類功能(Bitdefender 的受保護資料夾、ESET 的勒索軟件防護)在檔案系統存取之上增加了一個權限層:指定的重要資料夾只能由明確列入白名單的應用程式修改,無論修改程序是否被識別為惡意軟件。這種基於行為的保護甚至可以阻止全新的、以前未知的勒索軟件變體——無需特徵碼——因為觸發保護的是加密行為(大量檔案修改),而不是惡意軟件的身份。結合在新變體被全球發現後數分鐘內更新特徵碼的雲端 威脅情報 ↗,現代即時保護對已知和新型勒索軟件均提供縱深防禦。
在評估防毒產品的即時保護質量時,AV-TEST 的真實世界防護測試提供最具參考價值的數據。這些測試衡量針對測試前 0-4 週內發現的惡意軟件樣本的偵測率——衡量產品對當前活躍威脅的防護能力,而非較舊的已編目樣本。Bitdefender、卡巴斯基和 Norton 等產品在這些測試中始終達到 99.8–100% 的真實世界防護率。在真實世界防護測試中得分低於 98% 的任何產品都應受到懷疑——1–2% 的差距代表真實惡意軟件到達並損害使用者系統的情況。測試方法、樣本來源和詳細結果可在 av-test.org 公開查閱。
AV-Comparatives 的真實世界防護測試和企業安全測試提供互補數據,特別適合在偵測率的同時評估產品的誤報率。一個封鎖 100% 惡意軟件但同時過多封鎖合法軟件的產品會造成重大可用性問題——尤其是在企業環境中,誤報可能中斷關鍵應用程式。理想的產品能夠同時實現高偵測率和低誤報率;AV-Comparatives 的 Advanced+ 評級表示產品已達到這一平衡。在企業測試中有許多誤報的產品可能需要大量排除管理工作,這可能降低實際保護效果或造成管理負擔。
對於香港使用者而言,鑑於針對本地區的釣魚活動數量龐大,評估網頁防護和釣魚保護質量尤為重要。SE Labs 和 AV-Comparatives 均發布釣魚保護測試,顯示不同產品封鎖釣魚網址的效果——這些測試獨立於惡意軟件偵測測試,反映了不同的保護能力。產品在此方面差異顯著:一些惡意軟件偵測評分優秀的產品釣魚偵測表現平平,反之亦然。Norton 和 Bitdefender 在兩個類別中均表現一貫出色。對於主要面臨釣魚和社交工程攻擊(香港個人使用者最常見的威脅)而非複雜惡意軟件的使用者,釣魚保護質量在選擇決策中值得給予重要比重。
