高级恶意软件检测的转变
2014-03-13 TechTarget中国 编辑:邹铮
在与高级恶意软件的不断升级的武器竞赛中,很多企业需要部署更强的防御措施来实时保护企业网络,而不能只是依靠桌面终端病毒扫描程序和网络入侵防御产品。
然而,对于安全企业而言,高级恶意软件越来越难检测,这主要“归功于”名为“crypters”和“packers”的自动化在线工具的普及(超过100),以及很多利用社交网络来建立信任的新攻击技术,还有内存攻击和勒索软件。所有这一切都意味着,我们正面对着一个越来越讨厌的网络世界。
Crypter和packers让网络罪犯更容易创建(几秒钟内)针对特定桌面的自定义代码。这种“个性化”做法的结果是,签名扫描器变得无效,并且,零日攻击(例如11月Windows XP权限升级攻击)变得非常难以阻止。
根据IT安全公司Sophos表示,勒索软件正越来越受欢迎。例如在11月瞄准SAP安装的最新攻击,以及感染网络的CryptoLocker变体。在这些攻击中,受感染的代码在防护软件(例如假的防病毒或反恶意软件程序)的幌子下,通过钓鱼攻击诱使用户下载。这些代码并不会保护你,反而会要求你付钱(有时候是比特币)才归还你的数据。
提高胜算
攻击事件可以很容易地绕过你的防御。Neohapsis公司高级安全顾问兼加州连锁医院前IT经理Andy Hubbard表示:“在拥有9000到12000用户的企业,平均每个月会遭遇1000到1200起病毒事件,虽然传统反病毒产品可以捕捉很多这些事件,但这些桌面仍然需要进行适当的维护。”
据Hubbard称,“各种版本的假冒防病毒程序仍然很常见,这意味着即使是很小比率的恶意电子邮件流量绕过垃圾邮件过滤器都可能带来严重影响。”
在这种情况下,这意味着管理更新变得至关重要。Brennan IT公司IT经理Dougan McMurray建议:“虽然垃圾邮件和web内容过滤器及网络威胁保护设备可能不是最新技术,但保持它们100%更新绝对是必要之举。”
有时候,正是知识的差距让坏人成功入侵企业。AVOA前首席信息官兼现任战略顾问Tim Crawford表示:“企业不能总是证明除传统防火墙外的附加保护功能的价值。随着威胁向量逐渐从相对简单的基于签名的(威胁)变为更复杂的基于行为的(威胁),很多IT经理的意识还没有随之转变。”
更多反击方式
企业可以利用两种常见技术进行反击。首先,很多企业正在提高其实时全局扫描的能力。(国家安全局并不是唯一监控互联网流量的实体)。McAfee、Norse、FireEye、Palo Alto以及Network Box等供应商都提供这方面的产品和服务。这些安全供应商已经在全世界范围的主要客户或互联网连接点部署了传感器,可以近乎实时地检测零日漏洞。
Palo Alto公司利用其WildFire服务来瞄准和调查威胁,并将威胁信息传输给其客户。McAfee结合了其高级威胁防御设备与其针对端点和服务器的实时软件,以试图更好地捕捉零日攻击。Norse公司提供的软件可以让信用卡公司在几秒钟内通过读卡器来检查信用卡是否已经失密。另外,Network Box的Z-Scan反恶意软件服务则在关键网段部署了数十万探头来检测高级恶意软件和其他异常情况。该公司还增加了十几个反恶意软件扫描器以及3个IPS引擎来检查数据包。
其他公司(例如Verdasys和FireEye)正联手推出集成安全系统。在11月份推出的Verdasys Digital Guardian Connector for FireEye就结合了FireEye公司的检测网络与Verdasys的端点保护。我们期待未来出现更多合作伙伴。
预警系统
另外,还有来自思科、Blue Coat、Bit9和赛门铁克等公司的更先进和综合声誉管理技术。同样地,这些系统在世界各地部署了传感器,但不同的是,它们试图寻找传播恶意软件的特定网络域。虽然声誉服务已经存在好几年,现在的不同在于,这些服务被整合到普通网络防火墙以及IPS服务,使它们可以更好地瞄准恶意软件和异常网络事件。由于这些系统从实际互联网流量收集数据,当新感染开始在全球范围内移动时,它们可以很好地作为预警系统。
思科的安全智能运营中心(Security Intelligence Operations)--根源于SenderBase产品系列,可以用在各种思科设备中,包括其IPS、Web安全设备以及ASA CX防火墙系列。由于思科的覆盖面和市场占用率,这可以作为很好的第一道防线,并发现很多潜在的漏洞利用。
有些防火墙供应商已经更进了一步。这些公司在其自己的专有声誉管理系统中加入了地理围栏,这样他们可以加强其保护,识别发送高级恶意软件的特定域名,以及找出很多漏洞利用的起源地。这意味着你可以利用一系列简单的菜单来拒绝或允许来自特定国家的流量。
但是,即使有了所有这些技术,这仍然是一场不公平的战斗。咨询公司Iron Horse公司总裁Tony Stirk警告说,“没有什么是完美的。坏人想要伤害你,你会犯错误,坏人侵入,事故是不可避免的。考虑到这一点,想象一下,流程如何会出错,对此,你可以开始设计安全程序,让流程变得更加灵活,并部署响应程序以防事情变糟糕。如果你假设你最终会受到攻击,唯一真正的防御是部署可靠的备份和良好的恢复过程。”