現行定義的盲點
網路安全產業向來是根據惡意檔案的偵測方式來劃分防毒軟體的世代。早期工具是將檔案與已知的攻擊簽名進行比對。後來的世代則加入了啟發式分析、行為分析、沙盒技術,以及基於機器學習的分類技術。
每一代技術都在解決同一個問題:這個檔案是否惡意為惡意檔案?但威脅態勢已然改變。當今多數攻擊(包括網路釣魚、詐騙、身分盜用及社交工程攻擊)已不再依賴惡意檔案。而「防毒軟體」的現行定義卻未能與時俱進。
防毒軟體的定義
防毒軟體是一種網路安全軟體,旨在預防、偵測並從電腦中移除病毒。防毒軟體會監測程式是否出現異常行為,將新檔案與已知的惡意軟體資料庫進行比對,並在威脅造成損害之前將其隔離。
病毒已不再是最大威脅
當今大多數的網路安全威脅都與病毒無關。想想看,現在網路上真正威脅到一般人的是什麼:
- 詐騙已演變為精巧的社交工程行動。假冒的電商網站利用逼真的產品頁面、捏造的評論以及運作正常的結帳流程來竊取付款資訊。詐騙簡訊則冒充快遞服務、稅務機關及銀行。電話詐騙則利用來電顯示偽造及 AI 生成的語音,以騙取金錢和個人資訊。這些攻擊無需透過惡意檔案即可得逞。
- 網路釣魚已遠非十年前那些拼寫錯誤的電子郵件可比。如今的釣魚網頁是合法網站的像素級精準複製品,通常託管在擁有有效 SSL 憑證的遭入侵網域上。其目的是竊取憑證、連線權杖、多重要素驗證證碼,以及用於恢復帳戶的個人資料。
- 身分盜用是 NordVPN 使用者最關切的安全問題1。攻擊者可透過憑證填充、連線劫持、SIM 卡交換攻擊及社交工程手段,未經授權存取帳戶。一旦入侵成功,他們便能鎖定原始帳戶持有者,進而接管該帳戶。攻擊者亦可利用竊取的個人資料,以帳戶持有者名義申請新信用貸款或進行詐騙。
- 惡意軟體與惡意檔案仍是重大威脅。使用者下載的內容以及裝置上執行的程式,仍需進行檢查與管控。但檔案如今僅是眾多惡意傳播途徑中的一種。
如果一款數位威脅防護工具只針對惡意檔案進行防護,等於是忽視了人們面臨的絕大多數攻擊。
重新定義「防毒軟體」
「防毒軟體」一詞源自惡意檔案曾是主要數位威脅的時代。傳統資安品牌數十年的行銷推廣,將「防毒軟體」轉變為資安軟體的通用名稱。就像「舒潔(Kleenex)」成為衛生紙的代名詞、「OK 繃(Band-Aid)」成為透氣膠帶的代名詞一樣。這種聯想是不會消失的。
企業安全產業最先意識到了傳統防毒軟體的侷限性。頂尖的網路安全公司推出了次世代防毒軟體(NGAV),以輔助或取代基於特徵碼的檔案掃描。NGAV 結合了行為偵測與機器學習演算法來識別威脅,有助於揪出傳統防毒軟體經常漏掉的惡意處理程序、無檔案惡意軟體以及漏洞利用行為。
對於企業環境而言,NGAV 仍然是一項重要的演進。但其主要是針對受管企業裝置、專職資安團隊,以及以端點入侵為核心的威脅模型所設計。其運作依賴廣泛的行為遙測數據,而這正是首重隱私權的消費產品不應蒐集的資料。
因此,「防毒軟體」一詞如今具有兩種定義——一種是針對一般使用者設計的傳統模式,當時惡意檔案是主要威脅;另一種則是為受管企業環境打造的企業級 NGAV 模型。傳統的定義已過時,而企業級的定義從未意在服務個人使用者。這兩者都無法涵蓋當今人們在個人裝置上所面臨的威脅。
人們在搜尋「防毒軟體」時,其實真正需要的卻是針對惡意軟體、網路釣魚、身分盜用、詐騙及帳戶遭竊的防護。這項定義理應與其預期涵蓋的威脅保持同步。
NordVPN 將「新一代防毒軟體」定義為一套全面的數位威脅防護工具。根據此定義,新一代防毒軟體涵蓋以下五個方面的防護:
- 詐騙防護:偵測詐騙網站與假冒商店、針對詐騙簡訊發出警示、識別可疑來電,並保護銀行交易連線。
- 網路釣魚防護:即時評估網址、電子郵件連結及網頁內容,在憑證竊取行為觸及使用者之前予以攔截。
- 身分與帳戶接管防護:監測身分盜用企圖、偵測詐騙模式、掃描暗網外洩資料以查找外洩的個人資訊,並針對遭竊的憑證發出警示。在帳戶方面:偵測並警示透過憑證填充、連謝劫持、SIM 卡交換攻擊及社交工程進行的未經授權存取企圖,並在攻擊者利用弱密碼前先行將其標記出來。
- 追蹤程式與廣告攔截:移除會侵犯隱私、拖慢效能,並為針對性社交工程製造額外入侵點的跨站追蹤程式、數位指紋追蹤指令碼和侵入式廣告。
- 檔案與裝置防護:掃描下載檔案,並在惡意檔案執行前將其隔離或移除。
NordVPN 並非要重新定義防毒軟體的範疇,只是將其功能擴展,以涵蓋使用者原本就期望防毒軟體能處理的威脅。
我們如何打造新一代防毒工具
有效的數位防護需要平衡三項相互衝突的承諾——我們不分析使用者、僅蒐集有助於改善產品的資料,以及將產品設計成能在無需使用者介入的情況下運作。
犧牲其中任何一項來成就另一項,所產生的產品不是過度侵犯隱私、就是不可靠,或是複雜到難以使用。一款同時遵循這三項原則的產品雖然更難開發,但也更容易贏得使用者的信賴。
不進行使用者資料分析
NordVPN 是一家致力於保障隱私權的公司。我們的使用者之所以信任我們,正是因為我們不會監控他們。這項承諾帶來了一項嚴格的限制——威脅偵測必須在比正常情況下更少的數據量下運作。
我們的原則很簡單——只有識別威脅所需的數據才會離開裝置。當分析必須在我們的伺服器而非裝置上進行時,我們會在數據傳輸前移除任何與使用者的關聯。
在實作上這表示:
- 在可能的情況下,檔案是透過雜湊值進行檢查,而非內容。
- 在進行任何雲端查詢前,網址會被移除查詢參數和個人路徑片段——沒有任何網址與特定使用者相關聯。
- 驗證 Cookie 會經過雜湊處理,只有前 8 個字元會離開裝置。
我們的資料結構中沒有任何用於直接識別使用者的欄位。這表示隱私防護無需仰賴任何人遵守規則——系統在設計上就已強制執行這項防護。
在不監控的情況下進行數據測量
缺乏數據測量的威脅偵測純屬臆測。我們需要瞭解釣魚分類程式是否有所進步、詐騙偵測是否能捕捉到新模式,以及模型在哪些地方漏檢了威脅。要回答這些問題,就需要回饋數據。
然而,若在毫無限制的情況下蒐集回饋數據,安全軟體便會淪為監控軟體。為了避免這種風險,我們只測量偵測系統的效能,而不蒐集個人資料。我們架構的每一層都會產生彙整後的效能數據:
- 機器學習分類程式會回報偵測率與誤報率。
- 模糊雜湊會回報分類速度。
- 威脅情資來源會回報資訊的新鮮度。
產品會針對整體樣本群體計算這些指標。模型會使用匿名化的威脅樣本及統計摘要進行重新訓練。使用者的瀏覽紀錄不會進入回饋迴路。我們可以告訴您網路釣魚模型是否有改善,但無法告知您當系統標記某項威脅時,特定使用者當時正在進行什麼操作。
產品設計旨在隱形運作
最理想的安全防護,是讓人們無需費心去想的那種——無需設定、不會引發警報疲勞,也不需要任何技術專業知識。要打造一款對使用者而言隱形的產品,我們必須觀察人們如何與其互動。我們僅定義改善使用者體驗所需的最低限度資料,並以此為限。
在取得使用者同意的前提下,我們會追蹤:
- 各項功能是否啟用,以及使用頻率。
- 量級指標——在特定期間內攔截了多少威脅。
- 透過直接問卷調查蒐集的使用者滿意度評分。
這些數據點均無法揭示特定使用者的具體行為,僅能告訴我們,產品是否運作得足夠完善,讓使用者無需費心去思考其存在。
此層級的數據在設計上即屬非敏感資訊。無法透過組合這些數據來重構行為、推斷意圖或建立個人檔案。
NordVPN 的 AI 策略:針對特定任務的小型模型
NordVPN 採用小型且專用的機器學習模型,每個模型皆針對明確界定的偵測任務進行訓練。我們並非建立單一模型來嘗試分類所有威脅,而是針對不同的威脅類別開發專用模型:
- 訓練用來評估網址是否具備網路釣魚特徵的模型。
- 專注於識別詐騙電子商務網頁模式的模型。
- 分析檔案行為以尋找惡意軟體指標的模型。
- 經過微調以偵測訊息中社交工程模式的模型。
部分模型輕量化程度足以直接在使用者裝置上運行;其他模型則在瀏覽器擴充功能內執行;而需要更多處理能力的模型則在後端運行。當處理在本機進行時,相關資料會保留在裝置上,不會傳送至外部伺服器進行分析。
每個模型都能獨立進行驗證和更新,因此當效能下降時,我們可以追溯原因。而且由於每個模型都是獨立運作的,因此不會佔用使用者的注意力,也不會中斷使用體驗。
這種分離也使評估更加精確。當專用的網路釣魚攻擊模型表現不佳時,我們能精確掌握應重新訓練哪些部分以及使用哪些數據。當詐騙偵測模型產生誤報時,我們可以進行調整,而不會對惡意軟體偵測造成副作用。由於每個模型僅負責單一任務,我們能精確找出哪個環節出錯以及原因為何。
機器學習模型在特定範圍內運作良好,但若被視為完整的解決方案,便會失效。我們的模型與基於規則的系統、威脅情資來源以及人工審查協同運作,各司其職,涵蓋彼此無法觸及的領域。
對於在數百萬台不同裝置和情境中即時分類威脅,我們發現小型專用模型是迄今為止最有效且不會犧牲使用者隱私權的方法。
未來展望
「防毒軟體」這個詞彙不會消失。它代表了人們對數位防護的認知、搜尋方式以及購買行為。業界可以選擇繼續將定義侷限於檔案掃描,並將其餘的威脅環境視為他人的問題;或者開發出符合使用者對這個詞彙既有認知的產品。
我們選擇了第二種方案。我們打造了一款涵蓋詐騙防護、網路釣魚偵測、身分監測及檔案安全的產品——以隱私為根基、經過嚴格測試,且設計上不強求使用者必須成為資安專家也可輕鬆使用。
一款能涵蓋網路釣魚攻擊、詐騙、身分盜用及惡意軟體的數位威脅防護工具——這正是我們認為當今「防毒軟體」類別所應具備的服務。
參考資料
1 Šlekytė, I. (2025, June 25). NordVPN research reveals: One in three people fall victim to online scams. NordVPN. https://www.nordvpn.com/blog/scam-experience-research/
