防毒軟件迷思破解:關於惡意程式防護的常見誤解
關於防毒軟件和惡意程式防護的危險迷思,令香港用戶基於錯誤前提作出安全決策。本文以事實破解最根深蒂固的誤解。
關於防毒軟件和惡意程式防護的危險迷思,令香港用戶基於錯誤前提作出安全決策。本文以事實破解最根深蒂固的誤解。
迷思一:「Mac不會中毒。」這是消費者安全領域最持久危險的迷思之一。Mac絕對會感染惡意程式——Atomic Stealer(AMOS)資料竊取程式、Shlayer廣告程式(歷史上最普遍的Mac惡意程式家族),以及日益增多的Mac針對性威脅,都充分說明macOS是惡意程式作者的合法目標。這個迷思有一定的歷史依據:當Mac市佔率較低(5至10%)時,惡意程式作者投資開發Mac專屬威脅的經濟誘因較小。隨著Mac市佔率提升至全球15至20%,在專業和創意領域更高,經濟考量已然改變。過去五年間,針對Mac的惡意程式在精密程度和數量上均大幅增長。正確的應對方式是承認風險並選擇適當的保護措施——而非繼續傳播使Mac用戶毫無防備的迷思。
迷思二:「我使用Linux,所以不需要防毒軟件。」Linux比Windows更能抵禦隨機惡意程式,原因有幾:消費者市佔率較小、強大的權限模型,以及允許社群快速識別漏洞的開源程式碼。然而,Linux並非不受惡意程式影響,且Linux以伺服器為主的特性使其成為特定威脅的高價值目標。專門針對Linux伺服器的加密挖礦惡意程式、Rootkit及後門有案可查。對於瀏覽習慣低風險的Linux桌面用戶而言,防毒軟件在實際操作中可能確實不必要。但處理敏感數據的Linux伺服器、網絡伺服器或關鍵業務基礎設施,應運行防毒掃描、入侵偵測和檔案完整性監控——縱深防禦原則適用於任何操作系統。
迷思三:「iPhone完全安全,不可能被入侵。」iOS的安全架構遠比Android強大,普通iPhone用戶面臨傳統惡意程式感染的風險大幅降低。然而,「不可能被入侵」誇大了iOS的安全性 ↗。以色列公司NSO Group開發的Pegasus間諜程式,利用iMessage的零點擊漏洞實現對iPhone的完全入侵,無需任何用戶互動。Apple在發現漏洞後會迅速修補,這也是保持iOS更新至關重要的原因,但Pegasus的存在證明iOS可以在最高層面被攻陷。對於普通用戶而言,更切實的iPhone威脅是網絡釣魚和Apple ID被盜——這兩者都不在iOS技術架構的防禦範疇之內,需要用戶教育和帳戶安全措施來應對。
迷思一:「防毒軟件會嚴重拖慢我的電腦。」這個說法對2000年代及2010年代初的舊款防毒產品確實成立——部分產品以大量消耗系統資源而惡名昭著。現代防毒軟件工程已基本解決了這個問題。AV-TEST ↗的性能測試衡量防毒軟件對常用任務(開啟網站、複製檔案、下載軟件)造成的速度影響,ESET NOD32、Bitdefender和Kaspersky等領先產品在性能測試中定期獲得6/6滿分——即在標準化任務上不造成可測量的速度下降。確實造成明顯速度問題的產品通常是較舊的產品,或即時掃描設計欠佳的產品。如果你的防毒軟件確實造成性能問題,解決方案是換用更輕量的產品——而非完全停用保護,那樣會在停用期間完全喪失防護。
迷思二:「如果電腦中毒,我會知道。」許多最嚴重的惡意程式類別是專門設計成隱形的。間諜程式和鍵盤記錄程式完全在後台運作,佔用極少資源以避免被偵測。銀行木馬程式只在你訪問特定銀行網址時才會啟動,其他時候保持休眠。加密挖礦惡意程式可能會限制其資源使用以避免被發現,僅佔用20至30%的CPU。進階持續威脅(APT)是專門為長期潛伏而設計的——許多企業入侵事件在初次感染數月後才被發現。「我會注意到感染」的假設使用戶推遲安全措施,直至損害已經發生。惡意程式正是專門為了規避你會察覺的假設而設計。
迷思三:「我有VPN,所以可以防禦惡意程式。」VPN和防毒軟件是針對截然不同威脅的完全不同工具。VPN加密你的網絡流量,並向你訪問的網站隱藏你的IP地址——它防止網絡竊聽並提供一定的私隱保護。VPN對裝置上的惡意程式不提供任何保護,沒有釣魚偵測、檔案掃描,也不能防禦漏洞利用攻擊。無論是否使用VPN,安裝惡意軟件仍然會入侵你的裝置。使用VPN但不安裝防毒軟件,使你對防毒軟件所應對的所有威脅毫無防備。這兩種工具是互補關係,而非替代關係。部分頂級防毒套件附帶VPN功能(Norton 360包含無限VPN)——但VPN組件應對的是與防毒組件不同的威脅。
迷思一:「我不是攻擊目標——我只是普通人,不是名人或高管。」這個迷思誤解了現代惡意程式攻擊的運作方式。大多數惡意程式攻擊是機會性的、自動化的——它們針對任何可觸及的、存在漏洞的系統,而非特定個人。勒索程式操作者使用自動化掃描工具同時在數百萬個IP地址中識別易受攻擊的目標。憑證填充攻擊自動測試被盜密碼,在數百個服務中針對數百萬帳戶進行嘗試。銀行木馬程式截取任何訪問目標銀行網站的用戶憑證,而非僅針對富裕人士。對於機會性犯罪惡意程式而言,沒有「目標太小」之說——只要你的裝置連接互聯網且可被訪問,就是潛在目標。唯一的問題是你的安全措施是否使你對攻擊者的邊際攻擊成本來說不值得下手。
迷思二:「只要保持更新,防毒軟件就是100%有效的。」沒有任何安全控制能100%防禦所有威脅。獨立測試 ↗一致顯示,即使是最佳防毒產品也會漏掉部分惡意程式——在測試中通常漏報0.5至2%的真實惡意程式樣本。更重要的是,防毒軟件主要是一種應對技術性威脅傳遞的技術控制。社交工程攻擊——釣魚、假冒技術支援電話、詐騙式浪漫投資平台——利用人類心理而非技術漏洞,完全繞過防毒保護。「只要安裝防毒軟件就安全了」的說法是危險的,因為它製造過度自信,使用戶對防毒軟件無法應對的釣魚和社交工程威脅放鬆警惕。防毒軟件是必要的但不充分——它只是縱深防禦方法中的一層。
迷思三:「安裝更多防毒產品意味著更多保護。」同時安裝多個即時防毒產品是適得其反的,往往會造成積極的損害。當兩個即時掃描產品同時攔截同一個檔案存取事件時,它們會相互干擾——導致性能下降、系統不穩定、誤報偵測(每個產品可能將對方的檔案標記為可疑),在某些情況下,兩個產品的掃描因衝突而都受到影響,反而製造安全漏洞。任何安全專業人員都不建議同時運行兩個即時產品。正確的互補方法是:一個啟用即時保護的主要防毒軟件,配合Malwarebytes免費版進行按需掃描——後者只在你主動啟動時才運行,絕不與即時產品同時運行。
迷思一:「只要我只訪問信譽良好的網站,就不會感染惡意程式。」惡意廣告——將惡意程式碼注入合法廣告網絡——透過顯示在原本信譽良好的高流量網站(包括主要新聞網站、娛樂網站,甚至刊載第三方廣告的香港政府相關網站)上的廣告投遞惡意程式。你可能在從未訪問可疑網站的情況下,純粹透過你信任的網站上的廣告生態系統接觸到惡意程式投遞嘗試。透過瀏覽器漏洞的免點擊下載不需要點擊任何東西——如果你使用的是存在漏洞的瀏覽器版本,僅僅訪問一個頁面就可能觸發漏洞利用嘗試。正確的應對方式是保持瀏覽器更新,並使用內容攔截器(如uBlock Origin)來封鎖廣告網絡——而非假設「信譽良好的網站」能提供完全的安全保障。
迷思二:「只要我謹慎處理電郵,就不需要防毒軟件。」電郵是惡意程式的主要傳遞渠道,但遠非唯一渠道。來自惡意網站的免點擊下載、從盜版網站和非官方來源下載的軟件、USB隨身碟和物理媒體、受損的軟件更新機制(供應鏈攻擊),以及基於網絡的連接裝置漏洞利用,都是與電郵無關的有據可查的傳遞途徑。謹慎的電郵習慣固然重要,確實能顯著降低風險,但它不能防禦所有其他途徑。此外,即使謹慎的用戶也可能被精準模擬已知聯絡人或受信任機構的精密釣魚電郵所欺騙——「謹慎處理電郵」並不等同於「對電郵威脅免疫」。
迷思三:「定期重裝系統可以保持安全,無需防毒軟件。」部分技術型用戶定期從零開始重裝操作系統,以清除任何積累的惡意程式。雖然乾淨安裝確實能有效移除絕大多數惡意程式,但出於以下幾個原因,它不能完全取代持續防護:重裝是定期的,而非持續的——兩次重裝之間的窗口期毫無防護,感染可能在此期間發生並造成重大損害;Bootkit和UEFI Rootkit能在重裝作業系統後存活;重裝是在事後消除問題,但無法阻止可能已發生的數據竊取,或可能已被捕獲的憑證。持續防護比定期乾淨安裝更有效率,兩種方法是互補而非替代關係。
