高級惡意軟件檢測的轉變
在與高級惡意軟件的不斷升級的武器競賽中,很多企業需要部署更強的防御措施來實時保護企業網絡,而不能只是依靠桌面終端病毒掃描程序和網絡入侵防御產品。
然而,對于安全企業而言,高級惡意軟件越來越難檢測,這主要“歸功于”名為“crypters”和“packers”的自動化在線工具的普及(超過100),以及很多利用社交網絡來建立信任的新攻擊技術,還有內存攻擊和勒索軟件。所有這一切都意味著,我們正面對著一個越來越討厭的網絡世界。
Crypter和packers讓網絡罪犯更容易創建(幾秒鐘內)針對特定桌面的自定義代碼。這種“個性化”做法的結果是,簽名掃描器變得無效,并且,零日攻擊(例如11月Windows XP權限升級攻擊)變得非常難以阻止。
根據IT安全公司Sophos表示,勒索軟件正越來越受歡迎。例如在11月瞄準SAP安裝的最新攻擊,以及感染網絡的CryptoLocker變體。在這些攻擊中,受感染的代碼在防護軟件(例如假的防病毒或反惡意軟件程序)的幌子下,通過釣魚攻擊誘使用戶下載。這些代碼并不會保護你,反而會要求你付錢(有時候是比特幣)才歸還你的數據。
提高勝算
攻擊事件可以很容易地繞過你的防御。Neohapsis公司高級安全顧問兼加州連鎖醫院前IT經理Andy Hubbard表示:“在擁有9000到12000用戶的企業,平均每個月會遭遇1000到1200起病毒事件,雖然傳統反病毒產品可以捕捉很多這些事件,但這些桌面仍然需要進行適當的維護。”
據Hubbard稱,“各種版本的假冒防病毒程序仍然很常見,這意味著即使是很小比率的惡意電子郵件流量繞過垃圾郵件過濾器都可能帶來嚴重影響。”
在這種情況下,這意味著管理更新變得至關重要。Brennan IT公司IT經理Dougan McMurray建議:“雖然垃圾郵件和web內容過濾器及網絡威脅保護設備可能不是最新技術,但保持它們100%更新絕對是必要之舉。”
有時候,正是知識的差距讓壞人成功入侵企業。AVOA前首席信息官兼現任戰略顧問Tim Crawford表示:“企業不能總是證明除傳統防火墻外的附加保護功能的價值。隨著威脅向量逐漸從相對簡單的基于簽名的(威脅)變為更復雜的基于行為的(威脅),很多IT經理的意識還沒有隨之轉變。”
更多反擊方式
企業可以利用兩種常見技術進行反擊。首先,很多企業正在提高其實時全局掃描的能力。(國家安全局并不是唯一監控互聯網流量的實體)。McAfee、Norse、FireEye、Palo Alto以及Network Box等供應商都提供這方面的產品和服務。這些安全供應商已經在全世界范圍的主要客戶或互聯網連接點部署了傳感器,可以近乎實時地檢測零日漏洞。
Palo Alto公司利用其WildFire服務來瞄準和調查威脅,并將威脅信息傳輸給其客戶。McAfee結合了其高級威脅防御設備與其針對端點和服務器的實時軟件,以試圖更好地捕捉零日攻擊。Norse公司提供的軟件可以讓信用卡公司在幾秒鐘內通過讀卡器來檢查信用卡是否已經失密。另外,Network Box的Z-Scan反惡意軟件服務則在關鍵網段部署了數十萬探頭來檢測高級惡意軟件和其他異常情況。該公司還增加了十幾個反惡意軟件掃描器以及3個IPS引擎來檢查數據包。
其他公司(例如Verdasys和FireEye)正聯手推出集成安全系統。在11月份推出的Verdasys Digital Guardian Connector for FireEye就結合了FireEye公司的檢測網絡與Verdasys的端點保護。我們期待未來出現更多合作伙伴。
預警系統
另外,還有來自思科、Blue Coat、Bit9和賽門鐵克等公司的更先進和綜合聲譽管理技術。同樣地,這些系統在世界各地部署了傳感器,但不同的是,它們試圖尋找傳播惡意軟件的特定網絡域。雖然聲譽服務已經存在好幾年,現在的不同在于,這些服務被整合到普通網絡防火墻以及IPS服務,使它們可以更好地瞄準惡意軟件和異常網絡事件。由于這些系統從實際互聯網流量收集數據,當新感染開始在全球范圍內移動時,它們可以很好地作為預警系統。
思科的安全智能運營中心(Security Intelligence Operations)--根源于SenderBase產品系列,可以用在各種思科設備中,包括其IPS、Web安全設備以及ASA CX防火墻系列。由于思科的覆蓋面和市場占用率,這可以作為很好的第一道防線,并發現很多潛在的漏洞利用。
有些防火墻供應商已經更進了一步。這些公司在其自己的專有聲譽管理系統中加入了地理圍欄,這樣他們可以加強其保護,識別發送高級惡意軟件的特定域名,以及找出很多漏洞利用的起源地。這意味著你可以利用一系列簡單的菜單來拒絕或允許來自特定國家的流量。
但是,即使有了所有這些技術,這仍然是一場不公平的戰斗。咨詢公司Iron Horse公司總裁Tony Stirk警告說,“沒有什么是完美的。壞人想要傷害你,你會犯錯誤,壞人侵入,事故是不可避免的。考慮到這一點,想象一下,流程如何會出錯,對此,你可以開始設計安全程序,讓流程變得更加靈活,并部署響應程序以防事情變糟糕。如果你假設你最終會受到攻擊,唯一真正的防御是部署可靠的備份和良好的恢復過程。”
