反恶意软件早已不再是简单的签名匹配,现在的反恶意软件技术添加了很多新的检测技术。企业应该重新考虑如何选择反恶意软件……
为了选出最佳反恶意软件,你必须了解威胁、如何检测威胁以及相关产品如何修复感染。反恶意软件早已不再是简单的签名匹配,现在的反恶意软件添加了很多新的检测技术来确定软件程序是否为恶意以及是否可以在设备上执行。在我们讨论选择最佳反恶意软件的主要考虑因素之前,让我们先来看看恶意软件编写者使用的战术,他们的战术让检测工作非常具有挑战性。
防病毒(AV)技术源自一个非常简单的想法:如果代码是不好的,就阻止它。因此,防病毒厂商怀揣着一个“坏东西”的大名单,并将每个进入设备的文件与这个清单进行比较。另一方面,攻击者们的对策是稍微改变每一个恶意文件,让每个文件都很接近,但并不完全类似于已知的坏文件。这是简单的逃避检测的方法。对此,供应商们分发数百万的新签名到每个设备,很显然,这种战略和业务模式并不能扩展。
然后,业界开始尝试一种积极的安全模式,即对授权软件程序建立白名单。如果软件没有被授权,将无法运行。这种方法能够很好地阻止恶意软件(它不可能出现在白名单中),但这严重影响了可用性。用户将需要非常频繁地加载软件,如果他们想要使用的软件不在白名单中,他们会感到很懊恼。
黑名单模式不能进行扩展,而白名单模式无法让用户接受。因此,该行业不得不从头来过,重新考虑恶意软件的运作方式以确定最佳检测方法。
恶意软件的基本要素
所有恶意软件的基本元素是一个文件,这个文件首先会执行,随后做坏事。反恶意软件的作用是在它们做坏事之前检测出这些文件。鉴于恶意软件编写者能混淆坏文件,检测不能再相信文件看起来像什么;而应该评估“每个文件做什么”。
要明确,查找已知恶意文件仍然是有用的,但这并不能扩展到每个设备上,所以反恶意软件供应商利用云计算来记录保存数十亿文件(软件哈希)。每个设备上的反恶意软件代理检查文件的“信誉”来确定1)之前他们是否看过它2)是否是恶意文件。
阻止已知恶意文件,而已知合法文件则允许执行。那么,当你遇到从未见过的文件呢?这正是下一代反恶意软件发挥作用的地方。代理发送未知文件到服务来分析该文件,通过在隔离环境来执行该文件来查找是否存在恶意因素。然后,该服务会发回一份“裁决”到设备以允许或阻止该文件。
很显然,在这个过程中存在一定的延迟性,在得到明确判断之前,你可以确定是否让未知文件通过(这样做存在风险)或者隔离该文件。任何没有利用这种基于云的反恶意软件技术都无法阻止今天的攻击。#p#
在哪里检测恶意软件
大多数业内人士已经习惯认为反恶意软件需要直接在终端设备上运行。基于合规要求,很多企业被迫采用这种部署模式,即在每个Windows设备上运行反恶意软件。随着Mac和Linux加速进入企业桌面和数据中心,反恶意软件也需要考虑这些平台的恶意软件检测。但是要记住,MacOSX和Linux的底层架构能够比WindowsXP更好地阻止恶意软件。
虚拟化的出现让选择最佳反恶意软件技术更加复杂化。考虑一下,如果虚拟设备上运行的每个客户机运行一个反恶意软件代理,你将需要在相同硬件上反反复复运行相同的代码,这违背了虚拟化的目的。所以,反恶意软件供应商现在优化其引擎来运行在单个客户机(或在管理程序内),并与虚拟化环境通信以确保虚拟机资源得到优化。
回到尽可能阻止恶意文件靠近外围的想法,反恶意软件应该被部署在更靠近入口点的位置--在企业外围或者云服务内。检查恶意软件最方便的地方是在web或者电子邮件安全网关或者云服务。由于电子邮件和Web仍然是主要攻击对象,通常这都是第一个部署的位置。
还有一些新的设备,我们一直称其为基于网络的恶意软件检测,这种检测方法查看所有进入的网络流量,并对进入网络的文件进行分析,这与我们上面描述端点部署类似—确保具有攻击特征的文件无法进入。
处理办法
当你发现恶意文件时应该怎么做?这时候,你需要结合其他已经部署的系统/控制。所以你寻找的最佳反恶意软件技术需要能够与这些系统或设备互操作,因为你的网络设备需要阻止/隔离可能被感染的设备。你还需要确保警报发送到报告控制界面,反恶意软件管理系统、SIEM/日志管理产品、或帮助台系统来启动修复过程。
尽管你付出了最大努力来进行检测,但如果你遭受恶意软件感染,通常最佳反恶意软件技术都有清理设备的功能。在控制界面中,你只需要点击一个按钮,设备就会被修复。随着恶意软件变得更加复杂和“恶毒”,清理成了一场必败之仗。恶意攻击者都会设法留下一些恶意软件的残存来确保再次感染。所以,企业应该反复进行清理。你明明可以进行多次清理,为什么只清理一次呢?
因此,我们现在建议重新镜像被感染的设备。虽然这种方法通常会导致数据丢失,并且给用户带来不便,但鉴于再次感染的高风险,我们认为确保恶意软件已被根除更加重要。