近几年,反恶意软件虽然还是CISO(首席信息安全官)所关注的安全问题,但它已经逐渐失去了其有效作用。是否把反恶意软件作为企业端点保护项目的组成部分,取决于合规性及监管条例的要求,比如PCI DSS和HIPAA,也取决于反恶意软件是否包含在安全“最佳”实践列表中,还取决于它如何取代近三十年来作为传统端点安全性首选工具的不确定性。
不管是什么原因,事实已经越来越明显,攻击者已经成功地研究出可以避免先进的反恶意软件检测的恶意软件,特别是基于Web的恶意软件防御。
一些惊人的事实:
根据2012年Sophos的报告,85%的恶意软件(病毒、蠕虫、间谍软件、广告软件和木马)都来自网页,偷渡式下载被认为是最大的网页威胁。
Sophos的报告还显示,每天有3万个网站被感染,80%是被黑客攻击的合法网站,以至于网络罪犯还可以通过使用这些网站来托管恶意代码。
内容不可知恶意软件保护(CAMP)是谷歌公司今年早些时候内置在谷歌浏览器内的一种恶意软件检测组件,每月可以探测到超过5百万个恶意软件下载。CAMP可以检测到99%的恶意软件,优于四家主要安全厂商基于Web的防病毒产品:McAfee公司的SiteAdvisor、Symantec公司的Safe Web、Trend Micro的Site Safety Center和谷歌自己的Safe Browsing。谷歌最近的一项比较调查显示,这些产品加起来可以检测出它们所遇到恶意代码的40%,表现最出色的的产品只能检测出25%的恶意代码。
测试之后,谷歌的CAMP项目挑选出2200种未知二进制文件并提交给VirusTotal,VirusTotal是一家促进创建新发现恶意代码防病毒签名的服务机构。10天之后,发现CAMP所检测出的99%二进制文件,上述防病毒产品只检测出了20%。
目前恶意软件防御的缺点还没有造成特别明显的过失,这些数据只是说明基于签名的反恶意软件已经难以对付恶意软件。现阶段,我们已经不能信任传统的防病毒产品可以检测恶意软件。那么如果基于签名的反恶意软件工具不合适,那么什么是合适的工具呢?它们真的存在吗?其实我认为它们存在,带着一些警告。这也就是我们在这篇文章中要讨论的问题。
恶意软件检测替代品
和所有的安全产品一样,这个解决方案也不是一个完全适用的方法。对于终端来说,不管是在数据中心防火墙内还是员工手中自带设备,都有很多种工具和方法可以用于实现一个更高级别的安全性。但是根据每个组织所面临的不同挑战,所付出的努力会不同。
内容过滤:因为85%的恶意软件是通过Web传输(配上偷渡式下载成为最大的威胁),这些恶意软件要求企业提供更高级别的内容过滤。企业应该广泛部署两种关键的防御工具:
Web代理:提供Web代理的产商不少,而且这种技术也已经存在相当长的一段时间了。像Blue Coat Systems和Websense提供基于订阅式服务,这样可以提供基于策略的允许或阻止网站访问。此外,这些服务提供情报和动态更新,以阻止用户访问已知的恶意站点。需要说明的是,这些产品不能检测零日漏洞,而由于这些产品带有基于签名的反恶意软件,在不良网站识别和签名检测时会有延迟。虽然Web代理可能只是恶意软件防御装备中的一个环节,但是它们非常重要。
DNS过滤:Open DNS这样的工具可以通过黑名单域名,积极地阻止用户访问已知的有害网站,这样用户就不能浏览有害网站。这样的DNS过滤工具也提供白名单服务。Open DNS利用数百万用户提供的数据,来整合出关于每天检测出的3万个新站点的更快情报。DNS过滤实现方式很简单,有许多大牌客户都使用这种服务作为保护Web用户的第一道防线。DNS过滤最明显的优点是,这种服务并不要求部署昂贵的硬件设备。
基于浏览器的安全性:Web浏览器组件类似于微软的Smart Screen(IE8及其以上系列产品的一部分功能),这些产品都已经有效地过滤用户想要访问的恶意网站。据微软称,它们的产品已经成功阻止了超过10亿的恶意软件下载。谷歌的CAMP是另一项措施,让谷歌浏览器用户可以充分利用谷歌关于恶意站点庞大而动态的知识库。
基于主机的异常/取证工具:这些工具在市场上越发成熟,面向公司更珍贵的资产提供显著的新防御功能,这些资产是:数据库服务器,财务系统,邮件服务器,高级管理人员和其它高风险用户系统。从理论上讲,代理服务会部署在每一个终端上,并且首先开发一个系统正常活动(运行的应用程序,网络连接/开放的分享,内存调用,当在监控其它事件中套接时的文件访问)的基线。一旦基线完成,这些代理就可以继续监控系统,探测可能是恶意的不规则活动。
这些产品的一些厂商和其它厂商或服务提供商合作,如VirusTotal.当用户从网络,邮件甚至是USB驱动器中下载一个应用程序或二进制文件时,为了进行自动分析,他们会自动上传可疑或未知的二进制文件。
当违规事件发生时,这些工具可以提供显著的优势。在一个正常的违例情况下,违例发生之后,受入侵的系统上会安装取证工具。有些工具是由新锐厂商所提供,如Carbon Black。Mandiant和Guidance Software的Encase工具已经预先安装并且可以提供一些预见,如违例发生之前可能发生什么,什么会导致违例和违例的后果会怎样。
虚拟化保护:然而,在过去三年里,通过虚拟化或隔离来实现安全性的技术已经蓄势待发。这些技术不依赖于通过签名或黑名单来检测的老本技术。
厂商Bromium公司寻求通过虚拟化和隔离,在自己计算机的微虚拟机上隔离每个进程和应用程序。这些微虚拟机上的操作在本地主机的云信息中进行,从而分理出一些进程,如Web浏览器,办公套件,电子邮件等相关进程。
另外,FireEye公司提供了一个虚拟化容器,允许安全专家在一个受控环境中评估可疑的恶意软件,从而不需要考虑外来代码对环境带来的未知风险。分析师可以重演可疑攻击,并分析受损的虚拟化系统来评估和识别恶意行为,而且还可以利用这些行为在其它系统和网络中追踪相似行为。
因为恶意软件在不断发展,依赖于一个单一的恶意软件防御系统,或依赖于在较长一段时间内各种防御方法的相同结合,都是不明智的决定。我们不能想当然地认为,我们现在用来保护最宝贵IT资产的工具在五年之后还可以使用。因此,随着基于签名的反恶意软件渐渐退出舞台,新的技术慢慢成熟,一定要记住,不停地重新评估威胁环境,并作出相应的调整是很关键的。
