简介
众所周知,手段高超的攻击者现在拥有足够的资源、专业知识和毅力,可能随时危害任何组织的安全。恶意软件无处不在。传统的防御措施(包括防火墙和端点保护)已无法有效地抵御这些攻击,这意味着恶意软件的处理过程必须有所发展,能够快速做出应对。
恶意软件及其代表的有针对性的持续攻击十分复杂,并非通过单时间点控制和自我防御型产品就能解决。高级恶意软件防护(AMP)必须像其所要对抗的恶意软件一样无处不在。此类防护必须提供一套综合的控制措施和一种无间断的流程,能够在攻击前、中、后的整个过程中对这些威胁进行检测、确认、跟踪和分析,并做出补救。网络、终端设备及二者之间所有元素所采取的防御措施必须集成起来,以便应对层出不穷的新攻击手段。
安全问题还在以难以缓解的势头不断加剧。随着多态恶意软件的出现,组织所面临的新恶意软件正以每小时过万的速度增加,攻击者甚至可以通过非常简单的恶意软件工具侵入一台设备。通过匹配已知恶意软件签名来识别文件的黑名单方法已无法赶上这种增长速度,而较新的检测技术(如沙盒方法)也不能保证 100% 有效。与此同时,网络犯罪分子也开始越来越多地利用互联网基础设施的强大能力来发起攻击,而不再局限于单个计算机。《思科 2014 年度安全报告》证实了这种攻击的普遍性:所有受访的财富 500 强公司都存在进入流向恶意软件托管网站的流量。将电邮和网络网关纳入保护对象势在必行。
图 1. 追溯性安全功能是 Sourcefire(现已成为思科的一员)的独特优势,可为对抗高级恶意软件奠定基础。此功能可通过持续的大数据分析汇聚不同扩展网络的数据和事件,从而提供持续的文件跟踪和分析,确保可对最初被认为安全可靠,但随后发现存在恶意威胁的文件发出警报并做出补救。
本《高级恶意软件防护选购标准》确定了在选择高级恶意软件防护解决方案时应向供应商询问的重要问题。本文还将介绍思科的综合方法(包括大数据分析;综合安全智能;跨网络、终端设备、安全网关、虚拟系统和移动设备实施能力;以及独特的追溯性安全功能)如何有效对抗恶意软件攻击的源头。#p#
运用大数据分析和综合安全智能来解决恶意软件问题
在已知恶意软件呈指数级增长的形势下,为了更好地服务客户,传统端点保护解决方案供应商推出了“云计算辅助防病毒”功能,实质上就是将签名数据库迁移到云。这种做法解决了需要每隔五分钟将数十亿病毒签名分发到每台终端设备的问题,但是对于不断发展的可以避开基于签名的检测的高级恶意软件,却束手无策。
需要询问高级恶意软件防护解决方案供应商的问题
1. 你们如何利用大数据进行持续的恶意软件检测?
2. 你们如何对恶意软件进行分析,以确定它的具体作用?
3. 你们的恶意软件分析如何使检测功能实现自动更新?
4. 你们如何收集与新出现的恶意软件威胁相关的情报?
5. 你们如何进行不间断分析,以实现追溯性恶意软件检测?
云计算辅助防病毒模式的另一个局限性在于,攻击者可以充分利用他们的优势,即时间和耐心。大多数防恶意软件技术通常都缺乏持续性和情景感知能力,仅注重在第一次发现文件时进行检测(即所谓的时间点检测)。但是,今天看起来不像恶意软件的文件在明天(或翌日)可能会轻而易举地转变为恶意软件。因此,必须对网络进行不间断分析,并能够根据最新的威胁情报,将文件状态从无害转变为恶意。
高级恶意软件编写者会想出并使用各种方法,来掩盖恶意软件的目的,增加检测的难度。这些方法包括多态文件(可进行一定程度的更改,骗过签名引擎)、复杂的下载程序(可从命令与控制 [CnC] 网络按需获取恶意软件),以及自擦除型木马(可删除自身组件,使鉴别程序难以发现并分析该恶意软件)。还有很多例子,这里不一一列举。由于恶意软件可能需要更长时间才能从表现上加以判断,所以我们需要采用新技术,在恶意软件的整个生命周期中对其进行捕捉和分析,以便了解其用途和去向,并确定初始检测完成后可能发生的(以及时间点检测技术可能会忽略的)恶意行为和危害表现。
Sourcefire(现已成为思科的一员)已开发出一种更加全面的新方法,来应对恶意软件检测中存在的上述挑战。凭借由数千家跨国企业组成的庞大客户群,以及数百万投入使用的终端设备恶意软件防护代理,思科每月都会收集到上百万份恶意软件样本数据。思科会在综合安全智能云中对上万种软件的属性进行分析,区分出恶意软件和无害软件。分析内容还包括软件的网络流量特征,这有助于识别出搜索 CnC 网络的恶意软件。思科还会利用已安装 AMP 功能的海量在网设备(涵盖所有 Sourcefire 和思科[1]产品系列),来确s定正常文件和网络活动的表现(从全球和特定客户组织内部两个角度),用于进行比较。
要想检测出能够避开传统检测策略的恶意软件,就必须采用更周全的方法。思科使用了可以根据文件的用途(而非表现)来确定恶意软件的专用模块,确保能够检测出各种新型攻击(甚至包括零日攻击)。为了紧跟恶意软件的变化速度,这些模块会根据 Sourcefire VRT®(漏洞研究团队)发现的新攻击方法自动实时更新。
即使是在文件已通过任何检测点之后,Sourcefire 综合安全智能也会继续发挥其优势。Sourcefire 的云分析功能会在更长的时间里,根据最新的威胁情报持续对文件进行评估。
最终,上述优势将共同服务于整个 AMP 社区,确保其能够在文件性质发生改变时收到警报。这样一来,所有使用综合安全智能云的组织都将能在第一时间察觉到恶意文件,真正获得依托于云的强大功能的“集体免疫”保护。
需要询问防恶意软件解决方案供应商的问题
1. 你们用什么方法,来确定恶意软件在整个网络中和受侵害设备上的扩散程度?
2. 如果在受到侵害数小时或数日后才检测到恶意软件,你们如何确定哪些设备曾接触过这些恶意软件?
3. 你们如何处理已成功避过初始检测的恶意软件,以及网络上未被拦截的恶意软件?
4. 你们如何能针对可疑活动快速进行根本原因分析?
5. 你们有哪些形式的控制措施,用来阻止感染或解决根本原因?
追溯性安全功能:通过不间断分析,对最初被视为无害或未知,但随后被确定为恶意的文件发出警报。追溯性安全功能可以确定感染的范围,加以抑制,最终使一切恢复如初 - 即实现自动的恶意软件补救。#p#
追溯性安全功能带您回到过去
攻击者不会安于一隅。他们会不断估量现有的安全控制措施,然后调整策略,比各种防御措施抢先一步。实际上,大多数攻击者在发起攻击之前,都会用领先的防恶意软件产品来测试他们的恶意软件。由于黑名单方法的有效性正在减弱,越来越多的安全公司开始依靠基于虚拟机 (VM) 的动态分析,来研究并对抗恶意软件。攻击者也已采用了针锋相对的策略:对于虚拟机环境,他们或者什么也不做,或者会将攻击的时间推迟几个小时(或几天),使攻击文件在检测期内不执行任何恶意活动,从而被误认为安全无害。当然,在经过默默等待后,他们便会开始危害受害者的设备。不幸的是,这类时间点检测技术无法再次对文件进行分析。只要某个文件被视为安全无害,无论检测技术本身有所改进,还是该文件转而表现出恶意软件行为,其状态将一直是“安全无害”。更糟的是,当恶意软件成功避过检测后,这类控制措施无法跟踪恶意软件在环境中的扩散情况、探明根本原因,或确定潜在的恶意软件网关(即重复感染恶意软件,并成为感染扩散源的系统)。
上面只是一个简单的例子,用来说明恶意软件编写者如何比安全公司抢先一步,以及现有防恶意软件控件的局限性。不过,最好的方法是假定没有任何一种检测防御措施能做到 100% 有效,假定您的所有保护仅基于看似可靠的检测(不仅高估了您保护关键资产的能力,而且低估了攻击者的能力)。因此,组织需要对已被避过的现有防御措施进行规划:这些措施必须能够探明感染的范围和情景,然后快速抑制损害,并全面消除威胁、根本原因和恶意软件网关。要实现所有这些目标,追溯性安全功能必不可少。
从本质上讲,AMP 的 Retrospective Security™(追溯性安全)功能可使组织回到过去,确保无论恶意软件是在何时最终定性,都能确定曾与其发生接触的设备。此功能需要跟踪每一个穿越受保护网络的文件、查看每个受保护设备上的每一项操作的完整沿袭情况,并将文件在组织中的移动轨迹与它们在系统中的行为进行直观的映射。
使用传统防恶意软件保护时,如果恶意软件是在其已造成危害之后才被发现,您的选择通常非常有限。您无法乘时光机回到过去,将该文件拦截在入口,因为它已经进入您的环境,很可能正在大搞破坏。而在这时,大多数防恶意软件控件都早已停止工作,以至于您无法搞清问题的整体情况,只能不知所措地问:“现在该怎么办?”
也正是在这种情况下,AMP 的大数据分析能力可以大派用场。利用名为“文件轨迹” (File Trajectory) 的功能,您可以快速准确地确定文件如何进入组织,对恶意软件进行跟踪,并立即清除受影响设备中的病毒(而且在很多情况下会自动进行)。更重要的是,由于 AMP 可以跟踪每个文件的每次使用,所以组织可以找到“病原体”(恶意软件的第一个受害者)以及所有其他受感染的设备,从而彻底根除感染。众所周知,在清除恶意软件后,即使留下一个实例,也极有可能发生再感染。
而且,文件轨迹功能不仅会分析与文件活动相关的信息,还会跟踪有关文件沿袭、使用、依赖关系、通信和协议的信息,并确定哪些文件会安装恶意软件,以帮助对检测到的恶意软件或可疑活动进行快速的根本原因分析。在发生攻击时,安全团队可以立即从检测模式切换到控制模式,快速探明感染的规模和根本原因,从而有效阻止进一步感染。
图 2. 文件轨迹功能演示屏幕,显示了恶意软件扩散情况(包括进入点信息)、恶意软件活动,以及受感染的终端设备。
在面对大量检测事件(尤其是恶意软件)时,另一个难题是确定哪个事件具有最高的优先级,且必须做出应对。通常,单个事件(即使是在终端设备上拦截到恶意文件)不一定意味着网络受到侵害。但是,当多个事件(即使是看似无害的活动)一起产生作用时,就会大大提高系统受到侵害的风险,威胁很可能正在迫近或正在发生。
危害指示器 (Indicators of Compromise) 是 AMP 的另一个功能,它能执行更加深入的分析,以发现表现出受侵害症状的系统。此功能让时间点检测技术望尘莫及。通过在最初检测到恶意软件相关活动后,持续对其进行捕捉、分析和关联,危害指示器可自动完成分析和风险优先级的确定。
图 3. 危害指示器演示屏幕,显示了表明系统可能已经受到侵害但看似无害的事件。此功能非常重要,因为高级恶意软件很少会“自投罗网”地与防病毒签名完全匹配。
最后,当恶意软件在企业中扎稳脚跟后,它通常会尝试与 CnC 服务器进行通信;如果恶意软件是由攻击者直接控制的,则会开始进行一些侦测活动,悄悄向其预期目标接近。
AMP 会监控受保护终端设备上的通信活动,并与综合安全智能分析数据进行比较,以确定危害是否已经发生。在必要的情况下,它会阻止该终端设备进行通信,分发恶意软件。此功能在针对未受企业网络保护的终端设备(例如远程或移动员工使用的系统)控制恶意软件扩散方面,为安全人员提供了独特的优势。不仅如此,文件轨迹和危害指示器功能还可以使用已捕获的网络活动,帮助加快调查以及危害优先级的确认。#p#
出类拔萃的协同性:在网络、安全网关、物理和虚拟终端,以及移动设备上全面实施
安全控制不能孤军奋战。要抵御高级恶意软件,就必须在网络、网关和终端设备的防御措施与跟踪威胁及补救活动的管理控制台之间,进行大量的协调。思科提供包含综合安全智能云、高级网络分析和多个实施点的集成系统,帮助您的组织确保高级恶意软件不会乘隙而入。
需要询问 AMP 供应商的问题
1. 你们能对安全网关和网络、物理和虚拟终端,以及移动设备上的恶意软件进行全面的拦截、跟踪、分析和修复,并确定其根本原因吗?
2. 你们如何保护游离于受保护网络之外的设备?
3. 你们如何确定哪些设备已经受到危害?
4. 你们如何确认系统是否正在受到侵害?你们如何进行补救?
5. 你们是否支持使用自定义恶意软件检测规则来补救独特的攻击?具体方法是什么?
思科丰富的 AMP 功能以网络为起点,帮助检测并拦截任何外来的恶意软件。当每个文件进入(或离开)网络时,AMP 会生成文件指纹,然后咨询 Sourcefire FireSIGHT® 中央管理控制台,以确定该文件是否已被识别为恶意文件。
如果 FireSIGHT 控制台未曾见过该文件,它会与综合安全智能云进行核对,快速确定该文件是否曾在综合安全智能网络中留下记录。这种轻量级查找不会造成任何延迟。而且,与在沙盒中运行网络中的每个文件相比,此方法的可扩展性也大大提升。对于已确定为恶意的文件,FireSIGHT 控制台会执行文件轨迹功能,来探明受侵害的情景和范围。
此外,也可以在每台要保护的设备上部署轻量级的终端恶意软件防护代理(FireAMP™ 连接器),这样,所有文件活动都可以通过综合安全智能云进行检查,识别出那些已知是恶意软件的文件。FireAMP 连接器的作用不只是查找恶意文件,它还能检测和阻止设备中的恶意软件的行为(即使相关文件以前从未见过),以此保护终端不受零日攻击的威胁。FireAMP 连接器还会使用前面介绍的追溯性安全功能和文件轨迹功能来识别任何感染事件的范围,并找出需要立即补救的设备。
如果确定文件可疑,AMP 会执行更深入的分析。如前面所述,基于云的分析能准确地确定文件的用途,一旦确定文件可疑,即会建立攻击简档,生成危害表现及其他属性。您可以使用功能强大的大数据分析功能来搜索这些数据。
利用这些简档,AMP 能为组织提供主动防范恶意软件感染的能力(见图 2)。如果追溯性安全功能根据另一个环境中发生的事件确定某个文件存在恶意威胁,综合安全智能云可以将这些确定的信息下发到您组织中的 FireSIGHT 控制台,以便您在网络或终端设备拦截这些恶意软件,并与 AMP 社区中的其他成员一起获得集体免疫保护。此外,如果本地管理员发现有本地化的攻击,且需要立即采取措施,组织也可以建立自定义规则来阻止特定文件和 IP 地址。
FireAMP Mobile 连接器也依赖该综合安全智能云,来实时地快速分析 Android 应用中的潜在威胁。通过将可视性扩展到移动设备,您可以快速了解哪些设备受到感染,以及哪些应用将恶意软件带入了系统。当您需要对攻击造成的影响进行补救时,FireAMP Mobile 中强大的控制功能可帮助您阻止特定应用(加入黑名单),让您可以限制允许在访问企业资源的移动设备上使用的应用。FireAMP Virtual 可将同样的功能和高级恶意软件防护扩展到 VMware 虚拟实例。
在思科于 2013 年收购 Sourcefire 后,思科电邮和网络安全网关现在也加入了 AMP 功能,用于增强在这些潜在进入点对高级恶意软件的检测与拦截。关键的 AMP 功能包括上文所述的文件信誉和文件沙盒。此外,追溯性警报可以对穿越电邮和网络网关的文件进行不间断分析,通过来自综合安全智能云的实时更新随时获得最新的威胁等级动态。一旦将某个文件识别为威胁,AMP 将将会对管理员发出警告,让管理员一目了然地了解哪些人有可能已被感染以及何时被感染。这样,客户就可以在攻击还没来得及扩散之前,就迅速识别并处理掉它们。
如我们之前所述,恶意软件能从移动设备、甚至虚拟系统开始,穿过安全网关和网络,进入组织内部,直达终端设备。拥有对整个组织中所有活动的全面可视性非常重要。通过使用全球安全智能网络,并获得对网关、网络、终端设备、移动设备和虚拟系统进行感染检测、拦截、跟踪、调查和补救的能力,组织可以消除其他安全控制措施由于覆盖范围有限所导致的盲点。#p#
高级恶意软件防护实例
要了解集成高级恶意软件防护的功能,最好的办法就是了解它如何在 Java 零日攻击公开宣布的整整两天之前就将其检测出来。在本实例中,一位查看 FireAMP 控制台(终端设备、移动设备和虚拟连接器的管理控制台)的客户在一些设备上检测到一些奇怪的活动,看起来像恶意软件的行为方式。这位客户通过综合安全智能云对相关文件进行分析,并获得了明确的确认:的确存在恶意软件。
接下来需要确定攻击所涉范围并尽快进行清理。该客户使用了 FireAMP 轨迹功能来查找曾接触过相关文件或曾表现出攻击行为方式的设备。受影响设备清理完毕后,该客户立即建立了自定义规则来阻止这些文件和相关的恶意软件危害表现。
不过,客户只会在短期内需要这些自定义规则,因为这些文件和危害表现被添加到大数据分析引擎后,每位 AMP 客户都能从随之形成的集体免疫保护中获益。当他们自己的环境中出现同样的攻击时,他们会得到警报。由此,整个 AMP 客户群都可以提前得到保护,甚至早于零日攻击的公开宣布。
小结
尽管业内都知道需要创新性的解决方案才能检测和补救高级恶意软件攻击,但无论采用的是传统的终端保护套件,还是新的“银色要点”防御,太多的组织仍然大意地将全部努力都放在检测上。这样必然会导致问题,业内也在不断地曝出关于数据丢失或泄露的重大新闻。
要想有机会有效抵御最新的攻击,解决方案必须采用大数据分析功能来跟踪在整个网络中、在物理和虚拟环境中,以及在受保护终端和移动设备上的文件交互和活动。许多攻击在传统检测方式工作期间会保持静止状态,客户需要有能力回顾历史记录,并以追溯方式将判断结果更改为“恶意”,然后跟踪这些文件在组织中的轨迹和表现,才能更有效地遏制和补救这些高级攻击所造成的损害。
最后,高级恶意软件防护必须密切关注的不仅仅是受保护的终端设备,还应该包括网络、移动设备和虚拟系统,这样才能提供一致的防护水平。没有人能预测下一轮攻击的目标会是什么。
高级恶意软件防护的好处包括:
● 可以使用一致的策略灵活部署到多个位置,包括终端设备、网络、安全网关、移动设备和虚拟系统
● 利用综合安全智能云的优势识别并分析新出现的攻击方式,甚至赶在业内人士发现它之前
● 能够追溯识别恶意软件,并利用文件轨迹功能,在恶意软件扩散之前即找到您组织中的所有相关实例
● 可以加入 AMP 社区,获得来自 Sourcefire VRT 的前沿研究成果,以及部署在全球数千客户环境中的无数终端恶意软件防护代理所收集的文件样本,借此获得集体免疫保护优势。
