恶意软件变体的疯狂增长给端点安全带来了巨大挑战。随着端点的数量和种类的明显增加,企业必须部署外围网络安全技术来保护所有最终用户、服务器和流量,以及应对不断增长的流量、恶意软件以及其它网络威胁。
基于网络的恶意软件检测(NBMD)是基于签名的端点反恶意软件检测的替代品。这种产品“总是开启状态”,并且能够应对现代恶意软件用来绕过客户端安全使用的技巧。然而,部署往往是一个挑战:要发挥其最大的效果,NBMD必须采用串联部署,而且,如果没有精心配置,它可能变得过于“激进”,破坏关键任务应用以及业务流程。
在本文中,我们将讨论如何成功地串联部署基于网络的恶意软件检测,包括如何管理和配置这些系统来避免影响应用基础设施的最佳做法。
NBMD的优势
传统的反恶意软件检测是基于供应商的签名:供应商会隔离并检查在网络中发现的恶意软件,并编写签名来告诉反恶意软件产品应该如何辨识这种恶意软件,然后,分发签名到其反恶意软件产品的客户。
相比之下,NBMD则是在沙盒环境实际执行可疑文件,以确定其行为是可疑还是恶意,从而确定已知和未知的恶意软件。NBMD产品提供的这种额外分析可以发现难以检测的定制的多态恶意软件,这种恶意软件通常用于高级持续威胁或者说APT攻击中。
虽然位于外围的设备具有低延迟性(它不需要发送文件进行分析),但在繁忙的网络中检查所有流量和未知文件仍然是一个巨大的挑战,即使入站点和出站点保持在最低限度。对于这个问题,最新的NBMD产品的做法是,将部分或者全部分析转移到云中,帮助降低成本、提高可扩展性和准确性。
基于云的NBMD服务的一大优势在于,通过对很多客户遇到的大量恶意软件进行分析,客户可以从中收益。并且,它能够作为所有文件哈希、指标和测试的中央资料库,这样,新的恶意软件的暴露面减少了,因为我们不需要将更新的结果分发到所有本地设备。然而,NBMD在网络内部署的方式对其有效性以及普及率有着很大的影响。
成功地部署基于网络的恶意软件检测
为了最大限度地发挥NBMD产品的优势,NBMD需要进行串联式部署;与其他串联部署的安全设备(例如防火墙和入侵防御系统)一样,NBMD产品可以在恶意软件进入网络前,捕获并阻止恶意软件。带外或者端口镜像部署模型意味着它更像是典型的监控器,检查流量,当发现恶意软件进入网络时发送警报。但这种部署不能很好地在服务器或者云中扩展,因为管理员可能被警报“淹没”,毕竟所有这些警报都需要进行调查,并尽快解决以防止造成损害。串联部署NBMD给了企业更多的灵活性来发出警报或阻止。
虽然在恶意软件进入网络前进行阻止很好,但自动地阻止所有可疑文件进入网络也有其缺点,即误报可能会破坏关键应用程序和影响用户工作流程。顺利地过渡到串联检测以及从警报过渡到拦截的唯一方法是,花时间慢慢收紧规则来消除误报造成的问题。企业应该对于供应商所谓的自学型系统持怀疑态度;企业应该定义政策,并随着时间的推移调整政策直到其可行,这里并没有捷径可走。
最初,企业可以将NBMD设备设置为仅阻止已知恶意文件,同时,对于任何存在不确定因素的文件发送警报,并确保有足够的资源可用来处理这可能带来的额外的工作量。一旦确定某些文件类型不会破坏任何进程或者应用程序,它们就可以从警报要求移除。在此期间,定期检查关键应用程序的日志以捕捉错误消息,这可能发现关键文件被阻止或延迟的迹象。同时警告支持台,对于常见的工作流程,用户可能会遇到延迟或者中断,他们应该会从用户得到反馈,这个过程将有助于定义规则。
NBMD也可用于识别各种其他企业威胁,包括可能是恶意的出站网络流量,例如,感染的设备和攻击者的命令控制中心之间的典型的通信。根据协议、目的地、时间、文件类型和数据包内容等指标,企业可以只允许某些应用程序发送数据到网络外部,这样企业可以防止受感染设备发送数据出去,从而阻止数据泄漏。
然而,即使部署了良好设置的NBMD产品,企业仍需要在端点部署一些传统反恶意软件保护来加强保护,无论设备是否位于企业网络。
展望NBMD的未来
对于努力应对高级威胁的企业而言,在补充并最终取代传统反恶意软件程序的过程中,基于网络的恶意软件检测产品是一个有吸引力的产品。虽然在NBMD部署过程中,仍然有很多障碍需要突破,如果企业能够有足够的毅力和决心来配置这些设备,最终将获得丰富的回报
