现在的恶意软件会使用一些巧妙的技术来躲避传统基于签名的反恶意软件的检测。入侵防御系统、网页过滤和防病毒产品已经不能够抵挡新类别的攻击者,这种新类别会把复杂的恶意软件与持续性的远程访问特性结合,目的是在一段较长的时间内,窃取公司敏感数据。
新的威胁检测工具试图通过沙盒(sandboxing)技术提供先进的恶意软件检测系统来解决这个问题。很多公司都提供这样的产品,包括FireEye Inc、Damballa Inc、Palo Alto Networks、NetWitness等,所有这些系统都承诺可以近乎完全抵御恶意软件威胁。本文中,我们将讨论当今先进的恶意软件和威胁检测产品所用到的技术,专注于他们目前所提供的优势和还未解决的挑战。
威胁检测:沙盒技术
目前各种先进的恶意软件检测产品所用到的主要技术就是沙盒。沙盒是用多种技术来识别潜在的恶意软件威胁。其首先使用网络流量分析来发现网络上的潜在威胁,并分析其行为类型和可疑的文件。然后这些文件会在一个虚拟机环境中被审查和分析,这个虚拟机是使用一套不同的操作系统和软件版本。最后这些文件对虚拟机环境所作的更改会被记录下来,生成一个报告,展示虚拟操作系统和软件各个部分的更改。基于该报告,这些文件可以被确认为恶意软件。
这种方法好处在于,无论恶意软件使用哪些技术来隐藏其载体,它总会需要以某种方式来影响操作系统,这样沙盒软件就会检测到它。沙盒技术包含两个阶段:首先检测到威胁,然后将其送入沙盒。这样可以很大程度地降低误报和漏报。
文件在其进入网络那一瞬间也会被沙盒软件分析,比如在文件从网站上被下载时。基于沙盒技术的威胁检测产品会重新集合网页流量,检测编码中的可疑数据并为其分配优先权。在一个特定的阈值内,可疑的数据流量会被送到沙盒中。基于网络流量分析的防止数据外泄行为会将已经在网络上的威胁最小化。当恶意软件最初的感染用于下载更多的恶意软件时,会被“回调”行为阻止。而且由于沙盒技术并不是基于签名的,所以它可以发现新品种的恶意软件。一旦恶意软件的信息被发现,那么就会共享给所有的设备,这样可以在最快的时间内检测到威胁。
威胁检测产品选择过程
这些威胁检测工具并不便宜,所以你需要慎重考虑,以确保你所选择的威胁检测系统适合你的组织。花时间去试用厂商所提供的免费检测产品是有必要的,这样才能了解系统对你的组织是否有价值。重要的是要注意,一旦你选中一个产品,你需要将其推广到所有的办事处。远程分支机构往往是攻击的起始目标,你也需要将威胁检测软件部署到这些地方。
另外要知道,没有一款产品是万能的。这些系统不能分析SSL加密流量,而且在大多数情况下,他们只能分析对于Windows环境的威胁。他们也不能检测到已经安装在员工个人设备上的恶意软件。但是,用于防止数据泄露的网络流量分析是一个很棒的特性,它可以帮助对付一些弱点。
纵深防御是阻止恶意软件和先进持续性威胁渗透你的网络、窃取秘密和机密数据的关键。这些新的技术应该被视为一层防御,企业应该建立一支优秀的事件响应专家团队来研究它们,团队要采取频繁的渗透测试来模拟真实攻击。高度复杂的对手会无视威胁检测产品所提供的防御,不停地攻击你。随着这些产品类型变得越来越受欢迎,坚定的攻击者会试图开发技术来骗过沙盒软件。这就像军事竞赛中的一个步骤,企业需要投资建立多层防御来保证其资产和敏感数据的安全。
