在过去几年中,反恶意软件已经逐渐失去显著效果,但众多CISO仍然把它作为保障案例的主要方案。之所以坚持将反恶意软件作为企业终端保护规划中的组成部分,通常是为了迎合合规性以及监管委托(例如PCI DSS与HIPAA)的要求。是继续把反恶意软件保留在安全“最佳”实践清单当中,还是利用一套效果尚不明确的新机制取代这位在终端安全领域奋战了三十年的老将?我想答案是显而易见的。
无论出于何种原因,目前的情况已经愈发明显——攻击者们已经开始在与反恶意软件之间的猫鼠游戏中占得先机,特别是在Web恶意软件防御领域——谷歌的测试表明,即使是表现最出色的杀毒产品也只能检测出25%的恶意代码【详见:反恶意软件走向末路:最高检测率仅25%】。
然而,如果基于签名的反恶意软件已经不再合适、那么什么样的工具有能力顶替上来?这样的工具是否真实存在?我给出的答案是肯定的。
与所有安全机制一样,这些替代方案也不可能做到放之四海而皆准。目前我们可以选择多种工具及方案帮助自身实现更高级别的终端安全水平,其作用范围涵盖数据中心与员工两大方面。不过根据每家企业所面临的具体挑战,实施过程也可能会有所区别。
内容过滤: 由于85%的恶意软件通过网络传播(其中最大的威胁源自下载),所以我们必须为自己的企业提供一定级别的内容过滤机制。目前得到广泛部署的过滤工具主要分为两类:
一是网络代理。 主推此类方案的厂商规模已经达到两位数,而且这项技术也已经存在了相当长的一段时间。Blue Coat Systems以及Websense等公司都提供订阅式服务,根据具体政策对目标网站加以放行或者阻断。另外,这些服务还提供情报与动态更新,从而阻止用户访问已经曝光的恶意站点。需要强调的是,这些产品无法检测零日漏洞;由于采用基于签名的反恶意软件机制,此类产品在识别恶意站点并推出签名方面存在一定延迟。尽管网络代理仅仅作为我们恶意软件防御铠甲上的连接部分,但它的地位仍然非常重要。
二是DNS过滤。OpenDNS等工具能够通过黑名单主动阻止用户访问已知恶意网站,从而帮助用户远离安全威胁。它还提供白名单服务。OpenDNS用户能够与数以百万计其他用户共同合作,从而更快掌握每天新增的三万个受感染网站的情报。其使用过程非常简便,又有多家使用该服务的大牌客户作为防御前沿保护网络用户。最重要的一点?这些服务并不需要搭配昂贵的硬件设备。
基于浏览器的安全机制: 网络浏览器组件,例如微软的Smart Screen(作为IE 8及更新版本的组成部分),能够有效过滤用户对恶意网站的访问。根据微软的说法,其产品到目前为止已经成功阻止了超过十亿次恶意代码下载尝试。谷歌CAMP则是另一项举措,允许Chrome用户充分利用谷歌对恶意网站的规模化识别能力与动态知识储备。
基于主机的异常/取证工具: 这类工具在市场上的表现还不够成熟,但却能够带来出色的新型防御能力,从而帮助企业保护那些更为珍贵的资产,其中包括数据库服务器、财务系统、电子邮件服务器以及高管与其他高风险用户的业务系统等。从理论角度讲,每个终端都拥有配套代理机制,而且会首先对系统的正常活动进行基准设定(例如应用程序运行、网络连接/共享开启、内存调用以及监控开启状态下的文件访问等情况)。一旦基准设定完成,这些代理会继续对系统进行监控,从而寻找那些可能属于恶意行为的不规则活动。
某些产品供应商还会与其它厂商及服务供应商合作,VirusTotal就是其中的典型代表。他们会在用户从互联网下载应用程序、二进制文件、电子邮件甚至U盘数据时自动上传可疑或者未知二进制代码,并进行自动分析。
这些工具在出现安全事故后也能发挥显著作用。在一般的违规状况下,取证工具需要在违规发生后才被安装在受影响系统当中。但某些来自Carbon Black、Mandiant以及Guidance Software的Encase等新锐厂商的工具会被预先安装并在必要时提供违规前系统中发生的所有活动,从而帮助技术人员了解违规事件的产生原因以及违规事件造成的影响。
虚拟化保护: 在过去三年中,还有另一种技术日渐成熟并蓄势待发,这就是虚拟化或者隔离机制。这些技术并没有继续沿用已经暴露出严重局限的签名或者黑名单方案。
通过虚拟化与隔离机制,Bromium公司希望能凭借自己的微虚拟机系统将计算机上的每个进程与每个应用程序进行分别隔离。这些微虚拟机在本地主机内形成云体系,并进一步按照进程的关联性进行划分,例如网络浏览器、办公套件以及电子邮件等等。
除此之外,FireEye公司还推出了一款虚拟化容器,允许安全专业人士在受控环境下对可疑恶意软件进行评估——这样一来分析过程将不会受到其它未知风险或者不相关代码的影响。分析师们能够重现可疑攻击过程,分析恶意代码如何影响相关虚拟化系统,从而汇总出其行为基准。这套基准信息将成为重要依据,帮助安全专家判断恶意代码是否会对其它系统及网络产生类似的影响。
由于恶意软件始终处于不断发展之中,过度依赖于单一恶意软件防御系统或者同一套方案组合就显得非常愚蠢。我们不能想当然地认为目前正有效保护宝贵IT资产的工具能够在五年后仍然发挥同样理想的作用。因此,请以向新技术过渡为出发点逐步远离基于签名的反恶意软件——请记住,我们必须不断重新评估当前威胁环境并做出相应调整,这才是保障安全的不二法门。
【本文编译自searchsecurity.techtarget.com,原文标题"Malware defense revisited How to improve Web based malware detection"(原文链接:http://searchsecurity.techtarget.com/tip/Malware-defense-revisited-How-to-improve-Web-based-malware-detection),核子可乐协助编译。】
