过去，安全行业曾很简单。你只需开发能够对给定内容说“不”或“是”的产品，并“祝福”其安全与否。但这已经是2007年的事了……正如我们在动荡的2008年（没错，其实从2007年就开始了）所见证的，如今判断给定内容（注意内容与文件的区别）是否恶意要复杂得多。让我们回顾一些曾经帮助我们走安全软件逻辑决策树的要素：

• 来源。如果内容来自一个不怀好意的网站（比如服务于黑客论坛、存储恶意文件，甚至托管在外国——或者使用不太合适的顶级域名，如.cn或.ru），安全软件过去可以直接说“不”。内容会立即被视为过于可疑，甚至无需开始处理，整个交易就会被阻止。回到现在——我们看到大多数恶意内容和攻击来自.com网站，托管在美国，而且很可能是在某一天开始攻击用户的合法网站上。

• 外观。基于网络的威胁曾经是安全扫描软件的解脱——无需反编译或使用低级语言——一切都是纯文本，很容易通过“查看”代码并找到所有使一段JavaScript变得恶意的坏调用来判断其意图。现实是——混淆技术出现了。如今网络上看到的大多数（如果不是全部）恶意代码都被混淆到标准语言驱动算法会自毁的程度。浏览器如今赋予的强大功能，使得恶意代码很容易以加扰（几乎是加密模式）和动态方式隐藏，以至于标准安全软件无法看到它。

• 区分。在过去，如果某物看起来可疑，它就会被阻止。现实是——合法和恶意内容在现代网络攻击中交织并存。当一个充满合法内容的页面中有几段恶意内容时，很难直接说“不”。安全软件如今必须扮演新闻编辑的角色，剪掉网络的部分内容，使其再次安全。简单地阻止网站和页面是行不通的，尤其是当（如上所述）大多数攻击来自合法网站，而这些网站的内容仍然需要提供给客户端时。

我写这些并不是为了描绘一幅严峻的图景——相反，我们正面临一个新时代，一个创新、变革（我知道有人在我之前说过这话，所以我就乘着成功的浪潮吧）和更好安全的时代。这种新现实将推动我们作为一个社区和一个行业走向新领域，在那里我们不再需要回答简单的“是/非”问题。欢迎来到赋权时代，为任何需要的人安全地提供所有新工具、技术和内容。“工作中禁止使用Facebook”的日子一去不复返了，欢迎“工作中使用Facebook很棒——但上午9点到下午5点之间禁止消息、聊天或游戏应用”的日子。欢迎到一个所有网站都被平等对待、访问“始终在线”的时代，但我们会努力将坏的部分排除在外。

欢迎来到变革。我知道我们不是唯一拥抱它的人——所以准备好迎接它吧！

-Iftach Ian Amit
安全研究总监，Aladdin