談到防毒軟體的好壞，大家多會看各大評測
看哪家防毒能抓到的病毒越多就去購買該產品
又或是金錢考量乾脆使用免費軟體
這在2000年還可以這樣做
但是資訊安全發展至今
已經不是單單使用防毒軟體能完善的事

去年卡巴斯基每天偵測到的新惡意程式約四十萬個
即使已經抓到這麼多惡意程式
我們再去vx-underground隨意下載一個in the wild list給卡巴斯基掃描
就會發現還有近半數量的惡意程式無法被偵測

這就證明許多防毒軟體廠商宣稱可以偵測未知威脅的言論不攻自破
卡巴斯基執行長尤金卡巴斯基2005年也早已發表過相關文章：The contemporary antivirus industry and its problems

如果可以偵測未知威脅，為何會遺漏？
如果可以偵測未知威脅，為何現在的網路環境越來越危險？
MITRE ATT&CK框架為何每年都會進行更新？

所謂的特徵碼、行為分析都是對已知的手法做歸類，並建立對應的判斷規則
當新的防禦手法出現，駭客總能找到突破口繞過
所以我們會在VirusTotal上看到完全無法偵測到某一樣本的情況

那未知威脅該如何找到並防禦？
真正的做法是挑選具有強大端點防護的安全產品
讓它處理95%的已知威脅
剩下的5%藉由收集端點的遙測資料交給公司內的資安團隊、或託管式偵測與回應廠商分析
有資安團隊的公司可購買像卡巴斯基反針對攻擊平台自行撰寫YARA Rule及建立IoC來阻止威脅

因此偵測未知威脅是一條永無止盡的活動
現在也有許多國內外廠商開始推出MDR服務
然而真正優秀的MDR也只有少數幾家
且都有政府部門人員的身影
美系：Mandiant、Fireeye(後來與McAfee合併為Trellix)、CrowdStrike
非美系：卡巴斯基
後來追上：360安全、奇安信
監控大國在這方面就是有比較完善的情報資源
小國就只能抱他們大腿

如果要我再選一次職業
我鐵定去牧羊
拿獵槍打野獸至少野獸會死
惡意程式現在多得比獅子還多
打都打不完