本文讲的是CrowdStrike加入VirusTotal阵营,VirusTotal(VT)在今年5月做出了两个策略调整,似乎特别针对下一代(机器学习,去特征码化)终端安全厂商。第一个调整要求所有想充分利用 VT API 的公司,通过公开VT接口注册他们的检测引擎。第二个则坚持要求要是反恶意软件测试标准组织(AMTSO)的成员。而Crowdstrike,现已成为两项要求都符合的第一家下一代厂商。
谷歌旗下的VT所作出的这一举动,广受传统基于签名的反恶意软件厂商的欢迎,他们普遍觉得自己被咄咄逼人的下一代市场营销不公平对待了——通常基于公开的VT结果,并错误地宣称传统厂商不过是简单的黑名单特征码检测系统。
有迹象表明,下一代厂商的激进营销有渐缓趋势,但仍在继续。不过,Crowdstrike的举动是个积极的标志,至少有一家下一代厂商愿意集成进整体反恶意软件市场,为所有用户提供福利。
通过“加入”’VirusTotal,Crowdstrike承诺遵守VT的政策,包括:VirusTotal不能用于产生不同杀毒软件产品之间的对比指标;VirusTotal不能用做以误导性方式对反恶意软件业内合法参与者进行诽谤,或验证对业内参与者有利或不利的声明。
“我们是目前唯一一家基于机器学习的去特征码化厂商。我们期望并鼓励其他人也加入。”Crowdstrike首席科学家史文·科拉舍说,“我们想与社区一起对业内标准有所贡献。作为提供下一代反病毒(AV)解决方案和高级威胁防御的厂商,我们应该也正在发放对我们数据的访问权。”
传统反恶意软件厂商的另一个批评是,下一代厂商一直不愿将他们的产品提交给独立第三方进行测试。Crowdstrike在对待测试的态度上同样充当了先驱的角色。
西蒙·爱德华兹,第三方测试公司SELabs董事。他说:“年初我就注意到这些公司对测试的兴趣加大了。”事实上,Crowdstrike正是个中代表案例,在2016年7月就在AMTSO指导方针下把自己提交给了SELabs进行测试。测试结果非常棒,对已知和未知样本都有100%的检出率,误报率是令人惊讶的0%。
所有这些引出了一个疑问:如果下一代终端安全厂商可将其机器学习检测系统集成到VT中,那为什么传统厂商不能做到同样的事呢?毕竟,所有传统反恶意软件公司都利用机器学习技术很多年了啊。
答案或许会是:传统厂商利用机器学习去训练用于客户端系统上的逻辑程序包了。这些逻辑程序包是基于文件结构或其行为来检测可疑之处的,通过定期更新推送到客户端——这一过程不能被VirusTotal轻松复制。这不仅仅是超资源密集型,还是维护的噩梦,尤其是在考虑到VT的系统已经包含了超过50种产品的情况下。即便VT的基础设施可以承受每天每个厂家交出的30万样本,雇来维护环境和产品的人手也是不可承受之重了。
那么,两种模式之间的巨大差别就在于:下一代厂商是设计算法并放任客户使用,而传统厂商则是将机器学习放在后台。用某厂商的话说,“很大程度上,因为我们相信,机器学习依然需要一定程度上的人类监管。”
早期机器学习产生了大量误报,但在最近几年里已经大幅改进了(参看Crowdstrike的0%误报率)。或许是时候让传统厂商们彻底翻新他们的市场营销理论了。Crowdstrike已同意不使用VT结果来推动其自有“评分”凌驾其他VT结果之上(因为这是误导性的)。但消费者却总是这么做,而且会一直持续这么做下去。Crowdstrike很好地遵循了传统厂商的规则,又保证了自己的利益。
Crowdstrike参与了DNC黑客事件的响应工作,发现了两个相互独立的俄罗斯情报收集组织的证据:CozyDuke和 Fancy Bear。