幾年前，有一家公司試圖向我推銷他們的最新產品，說這個產品可以幫我檢測并阻止惡意軟件感染企業系統。我禮貌地拒絕了，并解釋說我的公司有很多工程師，不可能受到席卷互聯網的惡意軟件的困擾。而且我還告訴這家供應商，我們已經部署了企業級防病毒產品來應對這類問題。

[[109019]]

不過最終我還是嘗試了他們的試用版產品，設置它來捕捉離開交換端口分析器(Switched Port Analyzer)端口的邊緣互聯網流量。讓我非常震驚的是，當我打開該設備并登錄后，我才發現我們的問題有多么嚴重。我看到公司內有十多個系統都檢測到了惡意軟件，盡管它們都安裝了防病毒軟件，并且更新了最新的病毒庫。這些病毒感染都在忙著進行命令控制回調到世界各地的服務器，并可能已經存在一段時間了，只是我們不知道。其中有些流量似乎是相當良性的鏈接欺詐，而其他惡意軟件正在發送我們根本無法破譯的加密數據。無論如何，很顯然，我們存在問題，而且必須采取行動。從此我開始接觸安全分析技術。

惡意軟件影響著我們所有人，無論我們的企業部署了怎樣的防御措施。這是一種隱形和復雜的威脅，我們長久以來依賴的反惡意軟件只是給我們制造了一個安全的幻覺。

在這篇文章中，我們將討論檢測和防止當今惡意軟件、高級持續威脅(APT)、零日漏洞等所需要的不同類型的產品，并探討如何將數據整合到安全分析技術中，以對企業面臨的威脅提供一個新的更廣闊的視圖。

首先，可以說是最重要的，支持惡意軟件為中心安全分析系統的技術是專門的高級惡意軟件防御產品，正如上面描述的產品。就我而言，FireEye是我選擇的供應商，因為其特別利用了虛擬化技術，另外Damballa、Bit9和很多其他供應商也提供類似的引人注目的產品。

FireEye的威脅防御平臺可以實時分析流量，并限制惡意軟件在虛擬機中進行進一步分析。該產品還能夠尋找共同的惡意軟件簽名，它也能夠基于系統的啟發式行為進行檢測。這在檢測APT和零日攻擊中尤為重要，因為其中根本不存在簽名。

FireEye產品的一個缺點是，它只能檢測連接到該設備覆蓋網絡的系統上的惡意軟件。這是一個巨大的缺陷，為此，很多移動設備可能無法受到保護。這正是Trusteer或Bit9等公司的基于代理的方法派上用場的地方。通過在每個端點安裝代理，你可以保護設備--無論設備的位置：在辦公室、家里或在路上。

如果專有惡意軟件防御系統不可行，你可能需要再看看你的入侵防御系統(IPS)。我注意到很多IPS供應商構建惡意軟件檢測規則到他們的產品中，其中有些非常接近專有高級惡意軟件檢測供應商提供的功能。

配置管理也是安全分析程序的關鍵組成部分。這里的重點是，你需要盤查關鍵系統(域服務器、應用服務器、Web服務器、數據庫服務器等)上的關鍵配置和可執行文件，因為攻擊者通常會試圖用新版本取代這些文件以保護他們在你環境中的立足點。Tripwire的開源版本是一個免費的數據完整性監控工具，這是個很不錯的工具，安全專業人士已經使用了很長時間。

我們的網絡掃描工具在安全分析程序中發揮了很大的作用，這可能聽起來有點奇怪。防止惡意軟件感染環境的最好方法是通過有效的硬化。如果我們可以使用網絡掃描器來搜索網絡中未打補丁和過時的系統，我們就可以在攻擊者攻擊它們之前進行修復。好消息是，因為有很多網絡掃描供應商相互競爭，還發生了很多收購和并購交易，產品之間的功能差別并不大。還有一些免費工具可以執行網絡掃描，包括Nessus和OpenVAS，雖然與付費工具相比，它們有一定的局限性。

威脅檢測安全分析的另一個重要部分是日志管理。我們的想法是把所有系統的日志信息保存在集中的安全位置，以備將來使用。當攻擊者侵入系統時，他或她通常會通過編輯或刪除系統日志來刪除侵入的證據。轉移這些日志到中央存儲庫可以增加攻擊者篡改日志的難度。此外，通過集中日志記錄，企業可以更容易地在系統和應用上搜索和運行報告。

在你的日志中你應該檢查這些事件：成功登錄之前經過多次失敗登錄嘗試;通常從某個IP或位置登錄的用戶突然從其他位置登錄;沒有進行DNS查詢連接到網絡IP地址的機器，或者具有大量出口流量的連接。這些事件中的任何一個都可能或者可能不會構成問題，但任何兩個或以上的問題同時出現就可能意味著攻擊。

另外，如果無法選擇商業日志管理或安全信息和事件管理產品，還有很多免費的SIEM工具。Splunk可作為你的日志搜索引擎，你每天可以免費使用它來處理高達500MB的日志。我從沒用過其他工具，但我知道還有一個不錯的免費開源日志管理工具，即LogStash。

對于安全分析程序，我強烈推薦的最后一個工具是網絡分析工具，這種工具能夠捕捉和分析來自不同網絡的流量數據。這些流量數據包括IP地址、端口、協議和穿越網絡的流量的數據大小?；旧?，這就是數據本身。

你的網絡分析工具將允許你搜索先前隱藏的流量中的模式。例如，早在去年，HD Moore發布了一篇關于漏洞利用統一即插即用(或UPnP)和簡單服務發現協議設備的博客文章。通過利用我的網絡分析工具，我對外部源IP地址進行了模式查詢--針對我的公網IP地址之一，使用端口1900的用戶數據報文協議。在24小時內，出現539個匹配模式。這表明攻擊者確實存在。

因為轉發流量數據只是一些路由器和交換機的一個功能，你需要找到一種方法來捕捉和查看這些數據。你可以使用來自SolarWinds、NetScout或Lancope等公司的專有網絡分析工具，或者利用上述提到的日志管理工具。我選擇了21CT的LYNXeon的工具，因為它不僅能夠對流量數據進行模式分析，還包括其他數據類型。下面讓我詳細介紹。

去年我在名為The Magic of Symbiotic Security的會議上做了一個演講，其中我介紹了促進融合的安全生態系統—突破工具孤島，讓它們一起運作以獲得最大效率。我們安全分析的終極目標是讓上述提到的每個組件一起運作，以獲得對所面臨威脅的清晰視圖。我們從惡意軟件以及入侵防御系統收集警報數據--其中包含關于惡意類型、目標和來源的信息;我們還會收集關于文件簽名突然發生改變的系統的信息;我們收集環境中不同系統存在的漏洞信息;然后，我們收集日志文件生成的信息，例如失敗登錄嘗試或賬戶鎖定。我們利用供應商為我們提供的訪問數據的工具來實現這些數據收集工作。這可以是通過API調用，簡單網絡管理協議警報或者直接的數據庫查詢。最后，所有這些數據都被整合到LYNXeon。接下來，我們使用模式查詢語言來尋找所有數據集的潛在惡意模式。

下面是一些報告例子，它們讓我們更好地了解網絡安全狀況：

連接到http://www.malwaredomainlist.com服務器的內部系統

在很短的時間內，連接到很多其他內部系統的內部系統

連接到惡意軟件或入侵檢測平臺已經觸發警報的外部系統的內部系統

使用不屬于企業基礎設施的DNS服務器的內部系統

此外，在我的公司整合流量數據與其他數據類型的好處之一是，我們能夠根據一個位置發生事件來創建模式，并利用這些模式來尋找其他位置的類似問題，這些其他位置可能沒有部署完全相同的檢測機制。

上述建議是我自己的經驗，并不是全面的工具或工具類別清單，但這為你提供了一個基礎，讓你可以開始利用威脅檢測安全分析。在你的公司建立一個安全分析程序可能不會在一夜之間發生，但這肯定可以實現，并能夠幫助你提高檢測惡意軟件的能力。在這個過程中，不要忘了保持良好的數據指標，這樣你就可以向高管展示投資回報率。