高级恶意软件是网络世界里最新、最具潜在破坏性的威胁。它们隐秘,具有针对性且极具“耐心”。一些知名的恶意软件尽管通常带有易于识别的签名,但通过不断变化总能逃过一般识别模式的防御。此外,它们通常专注于特定目标,并在达到目的之前“小心翼翼”,尽量减少在网络上的“踪迹”。可以说,高级恶意软件在被发现和被消除之前其实已经活跃很久了。与此同时,在未被发现期间,这些软件对系统和组织已造成重大破坏。
针对高级恶意软件如上特殊性,传统网络安全解决方案的开发方式不再百分之百的有效。基于“签名”方法的整体解决方案对于捕获那些已知恶意软件高效准确,但仅靠这些方法显然不足以使机构或组织得到充分保护。
那么,我们应该如何应对这种高级恶意软件?我想先谈谈目前普遍存在的对高级恶意软件解决方案的两大误解,继而分析怎样才是最有效的方式。
误解一:高级恶意软件的主要问题在于如何识别
正如前面所分析的高级恶意软件的特性,传统的解决方案已经无法满足我们的需求,因此需要另辟蹊径。目前,应对这种威胁的一个常见方法是一种基于“行为”的技术,称为沙盒技术。
沙盒是一种强大的离线查找工具,可将未知或可疑文件隔离在一个虚拟环境里,允许它们在其中充分“表演”,就好像它们已达到目标;而沙盒内置的设备会监控文件的“一举一动”。如果疑似病毒确认具有威胁性,那么它则无法在隔离的虚拟环境里产生真正威胁。沙盒技术创造出了一个相对安全的环境,可以用来测试可疑文件。此外,由于沙盒无需在分析前了解文件情况,即无需“签名”,因此它成为了一项识别高级恶意软件的强大技术。
但是,“沙盒”也有其局限性。例如,许多沙盒技术只能在既定操作系统的通用版本上运行,并非是客户实际操作环境的真正影像。这就可能导致对可疑文件行为的错误假设。这种局限性在某种程度上限制了它们捕获高级威胁的能力。
但这种基于行为的方法在识别大量高级威胁方面仍表现得相当有效,因此市场对该项技术反响热烈。然而,正是这种热烈反响产生了一个共同的传言——高级恶意软件的主要问题在于如何识别。
事实上,识别高级恶意软件非常重要,但是真正的挑战是如何处理高级恶意软件,阻止并修复其造成的伤害。
沙盒技术是一项功能,而非产品,识别高级恶意软件只是其中的一个步骤,而非解决方案。虽然传统的解决方案通常无法识别高级恶意软件,但它们却具有良好的防护能力。沙盒的局限是只能识别威胁,而不能进行阻止和修复,因此,为了真正地抵御高级恶意软件,沙盒必须配有阻止威胁并修复其所造成的损害的工具。如果没有这些附加功能,安全行业只是解决了问题的一部分,而将大多数工作留给了客户。
误解二:沙盒可以隔离恶意软件
对恶意软件的分析往往是复杂且耗时的,因此沙盒并不是一项实时技术。事实上,大多数沙盒只能对文件复本进行分析,而原始文件则被发送到目标终点。所以即使发现一个可疑文件是恶意的,实际文件早已到达终点并造成损害。
就这一点而言,沙盒只能发现可疑文件是恶意的,但不能真正地阻止它。
此外,沙盒通常是缓慢从一个入口点进入环境,它甚至不会注意到可能还有其它的高级恶意软件溜进了其它入口点。但真正安全的技术必须能够识别和阻止溜进任何入口点的恶意软件,而无需其它额外软件帮助。
那么,我们如何提升安全级别呢?我们需要在每个入口点设置监控,并采用一些技术阻止被列入黑名单的文件。如果沙盒解决方案有一些附加的文件屏蔽功能,并假设这些功能是成熟的,那么将面临两个选择:可以在每个入口点部署这种技术——这需要我们支付高额的费用;或者可以通过使用一个解决方案,对这些入口点现有的安全产品发现的可疑文件进行集中分析。
显然第二种方法能更有效地降低成本并使网络控制更加严格。
总而言之,与传统防御系统实时分析和阻止恶意软件的方式不同,沙盒不能实时操作。为了真正有效地应对高级威胁,必须将沙盒部署为高度集成或综合安全环境的一部分:可处理多个入口点,且能将信息传回操作环境,警告发现新恶意软件,并尽可能地在发现前阻止和修复相应损害。
(作者为迈克菲全球首席技术官)