如今的恶意软件正利用各种独具创新的技术回避传统签名类反恶意软件的搜捕。入侵防御系统、Web过滤及杀毒产品在对抗将精密恶意软件与持久性远程访问相结合的新型攻击方面有点力不从心。一些恶意人士正虎视眈眈,想利用先进的技术,通过持久战拿下企业敏感业务数据这一重要城池。
这种情况下,新型威胁检测工具呼之欲出,它利用沙箱技术实现高级恶意软件识别以加固安全防线。目前已经有多家企业开发这类产品,其中包括FireEye有限公司、Damballa有限公司、Pal Alto网络以及NetWitness等等,他们承诺提供无懈可击的恶意软件保护效果。在本文中,我们将一同探讨当前高级恶意软件及威胁检测产品中所采用的新兴技术,关注其工作原理、优势以及应用中存在的问题和注意事项。
高级威胁检测产品的秘籍:沙箱机制
各类高级恶意软件检测产品中的主干技术就是近年来声名大噪的沙箱机制。在沙箱机制的帮助下,我们可以通过一系列技术和流程揪出潜在的恶意软件威胁。
利用网络流量分析功能识别网络环境下的潜在威胁,利用行为模式功能将可疑文件发往沙箱环境当中,这些文件随后将在一套类似于虚拟机的独立环境中接受检查。具体来说,这套机制能够提供不同操作系统及软件版本搭配并能够了解其具体行为方式:文件在不同配置环境下的表现将被一一记录,并为技术人员提供一份不同系统与软件引发的文件变化报告。基于这份报告,我们能够准确判断对应文件是否属于恶意软件。
这套机制的可行性在于:无论恶意软件利用哪种技术来隐藏自己的形迹,都必然需要以某种方式影响操作系统来实现自己的恶意目的,而沙箱软件则负责全程监督这一流程。沙箱机制共分为两步:第一、检测威胁,第二、将其发送至沙箱环境(它的出现能够显著降低错误主、被动反应的出现机率)。
文件在进入网络环境之前也将被加以分析——最常见的例子就是从网站中下载文件。安全产品会汇总网络流量并检测其中的异常代码以及指定优先级。一旦分析结果达到特定临界值,这部分流量就会被定义为“可疑”并被发送至沙箱环境中。
网络流量分析技术阻断了数据泄露的通路,从而将网络威胁的出现机率降至最低。这样一来,恶意软件就无法发出所谓“回叫信号”(即:初步感染成功后发起的进一步恶意代码下载活动)了。由于沙箱技术并非以签名机制为基础,因此能够检测出最新恶意软件类型。恶意软件的识别结果信息往往会被共享至所有设备端,从而加快对同类威胁的后续识别速度。
如何选择威胁检测产品
由于这类安全方案往往价格不菲,因此对于企业而言必须在购买之前认真考量方案的可行性与适用性,从而确保自己选择正确的威胁检测系统。选择时要注意以下几点:
免费试用了解产品
很明显,大家应该拿出一部分时间体验产品的免费试用版本,借此机会了解该系统是否能为企业带来切实收益。
制定一致的安全方案
需要注意的是:一旦产品选择流程结束,我们需要将其推广至企业中的每一个分支机构。异地分支机构往往会成为攻击者们的首选目标,因此这些机构需要具备与企业其它部门相一致的保护方案。
接受产品的优缺点
因为没有哪种安全产品是面面俱到的,所以在选择高级威胁监测产品时一定要明确到底需要解决什么问题。CSO要清楚这些系统无法分析SSL加密流量,而且在大多数情况下只能针对Windows环境实现威胁分析;它们也无法检测出已经安装在员工个人设备当中的恶意软件。但是,用于预防数据泄露的网络流量分析功能却非常有效,的确能够帮助企业对抗某些安全短板。
深度防御是防止恶意软件及高级持久性威胁通过网络窃取我们重要信息与机密数据的关键所在。这些新技术应当成为防御体系中的一部分,并与优秀的事故响应专家团队及频繁入侵测试相结合,通过模拟真实攻击强化自身保护能力。
结语:即使已经把防御产品部署到位,狡猾的攻击者仍然会不断向我们发起攻势。随着此类安全产品日趋流行,经验老道的攻击者终将开发出足以愚弄这些方案的新型技术。这相当于新一轮军备竞赛,企业必须加大投资力度、建立多种安全防御层,从而保证自己的资产与敏感数据远离恶意困扰。
