高級惡意軟件防護(hù)選購標(biāo)準(zhǔn)
簡介
眾所周知,手段高超的攻擊者現(xiàn)在擁有足夠的資源、專業(yè)知識和毅力,可能隨時危害任何組織的安全。惡意軟件無處不在。傳統(tǒng)的防御措施(包括防火墻和端點保護(hù))已無法有效地抵御這些攻擊,這意味著惡意軟件的處理過程必須有所發(fā)展,能夠快速做出應(yīng)對。
惡意軟件及其代表的有針對性的持續(xù)攻擊十分復(fù)雜,并非通過單時間點控制和自我防御型產(chǎn)品就能解決。高級惡意軟件防護(hù)(AMP)必須像其所要對抗的惡意軟件一樣無處不在。此類防護(hù)必須提供一套綜合的控制措施和一種無間斷的流程,能夠在攻擊前、中、后的整個過程中對這些威脅進(jìn)行檢測、確認(rèn)、跟蹤和分析,并做出補救。網(wǎng)絡(luò)、終端設(shè)備及二者之間所有元素所采取的防御措施必須集成起來,以便應(yīng)對層出不窮的新攻擊手段。
安全問題還在以難以緩解的勢頭不斷加劇。隨著多態(tài)惡意軟件的出現(xiàn),組織所面臨的新惡意軟件正以每小時過萬的速度增加,攻擊者甚至可以通過非常簡單的惡意軟件工具侵入一臺設(shè)備。通過匹配已知惡意軟件簽名來識別文件的黑名單方法已無法趕上這種增長速度,而較新的檢測技術(shù)(如沙盒方法)也不能保證 100% 有效。與此同時,網(wǎng)絡(luò)犯罪分子也開始越來越多地利用互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的強大能力來發(fā)起攻擊,而不再局限于單個計算機。《思科 2014 年度安全報告》證實了這種攻擊的普遍性:所有受訪的財富 500 強公司都存在進(jìn)入流向惡意軟件托管網(wǎng)站的流量。將電郵和網(wǎng)絡(luò)網(wǎng)關(guān)納入保護(hù)對象勢在必行。
圖 1. 追溯性安全功能是 Sourcefire(現(xiàn)已成為思科的一員)的獨特優(yōu)勢,可為對抗高級惡意軟件奠定基礎(chǔ)。此功能可通過持續(xù)的大數(shù)據(jù)分析匯聚不同擴展網(wǎng)絡(luò)的數(shù)據(jù)和事件,從而提供持續(xù)的文件跟蹤和分析,確保可對最初被認(rèn)為安全可靠,但隨后發(fā)現(xiàn)存在惡意威脅的文件發(fā)出警報并做出補救。
本《高級惡意軟件防護(hù)選購標(biāo)準(zhǔn)》確定了在選擇高級惡意軟件防護(hù)解決方案時應(yīng)向供應(yīng)商詢問的重要問題。本文還將介紹思科的綜合方法(包括大數(shù)據(jù)分析;綜合安全智能;跨網(wǎng)絡(luò)、終端設(shè)備、安全網(wǎng)關(guān)、虛擬系統(tǒng)和移動設(shè)備實施能力;以及獨特的追溯性安全功能)如何有效對抗惡意軟件攻擊的源頭。#p#
運用大數(shù)據(jù)分析和綜合安全智能來解決惡意軟件問題
在已知惡意軟件呈指數(shù)級增長的形勢下,為了更好地服務(wù)客戶,傳統(tǒng)端點保護(hù)解決方案供應(yīng)商推出了“云計算輔助防病毒”功能,實質(zhì)上就是將簽名數(shù)據(jù)庫遷移到云。這種做法解決了需要每隔五分鐘將數(shù)十億病毒簽名分發(fā)到每臺終端設(shè)備的問題,但是對于不斷發(fā)展的可以避開基于簽名的檢測的高級惡意軟件,卻束手無策。
需要詢問高級惡意軟件防護(hù)解決方案供應(yīng)商的問題
1. 你們?nèi)绾卫么髷?shù)據(jù)進(jìn)行持續(xù)的惡意軟件檢測?
2. 你們?nèi)绾螌阂廛浖M(jìn)行分析,以確定它的具體作用?
3. 你們的惡意軟件分析如何使檢測功能實現(xiàn)自動更新?
4. 你們?nèi)绾问占c新出現(xiàn)的惡意軟件威脅相關(guān)的情報?
5. 你們?nèi)绾芜M(jìn)行不間斷分析,以實現(xiàn)追溯性惡意軟件檢測?
云計算輔助防病毒模式的另一個局限性在于,攻擊者可以充分利用他們的優(yōu)勢,即時間和耐心。大多數(shù)防惡意軟件技術(shù)通常都缺乏持續(xù)性和情景感知能力,僅注重在第一次發(fā)現(xiàn)文件時進(jìn)行檢測(即所謂的時間點檢測)。但是,今天看起來不像惡意軟件的文件在明天(或翌日)可能會輕而易舉地轉(zhuǎn)變?yōu)閻阂廛浖R虼耍仨殞W(wǎng)絡(luò)進(jìn)行不間斷分析,并能夠根據(jù)最新的威脅情報,將文件狀態(tài)從無害轉(zhuǎn)變?yōu)閻阂狻?/p>
高級惡意軟件編寫者會想出并使用各種方法,來掩蓋惡意軟件的目的,增加檢測的難度。這些方法包括多態(tài)文件(可進(jìn)行一定程度的更改,騙過簽名引擎)、復(fù)雜的下載程序(可從命令與控制 [CnC] 網(wǎng)絡(luò)按需獲取惡意軟件),以及自擦除型木馬(可刪除自身組件,使鑒別程序難以發(fā)現(xiàn)并分析該惡意軟件)。還有很多例子,這里不一一列舉。由于惡意軟件可能需要更長時間才能從表現(xiàn)上加以判斷,所以我們需要采用新技術(shù),在惡意軟件的整個生命周期中對其進(jìn)行捕捉和分析,以便了解其用途和去向,并確定初始檢測完成后可能發(fā)生的(以及時間點檢測技術(shù)可能會忽略的)惡意行為和危害表現(xiàn)。
Sourcefire(現(xiàn)已成為思科的一員)已開發(fā)出一種更加全面的新方法,來應(yīng)對惡意軟件檢測中存在的上述挑戰(zhàn)。憑借由數(shù)千家跨國企業(yè)組成的龐大客戶群,以及數(shù)百萬投入使用的終端設(shè)備惡意軟件防護(hù)代理,思科每月都會收集到上百萬份惡意軟件樣本數(shù)據(jù)。思科會在綜合安全智能云中對上萬種軟件的屬性進(jìn)行分析,區(qū)分出惡意軟件和無害軟件。分析內(nèi)容還包括軟件的網(wǎng)絡(luò)流量特征,這有助于識別出搜索 CnC 網(wǎng)絡(luò)的惡意軟件。思科還會利用已安裝 AMP 功能的海量在網(wǎng)設(shè)備(涵蓋所有 Sourcefire 和思科[1]產(chǎn)品系列),來確s定正常文件和網(wǎng)絡(luò)活動的表現(xiàn)(從全球和特定客戶組織內(nèi)部兩個角度),用于進(jìn)行比較。
要想檢測出能夠避開傳統(tǒng)檢測策略的惡意軟件,就必須采用更周全的方法。思科使用了可以根據(jù)文件的用途(而非表現(xiàn))來確定惡意軟件的專用模塊,確保能夠檢測出各種新型攻擊(甚至包括零日攻擊)。為了緊跟惡意軟件的變化速度,這些模塊會根據(jù) Sourcefire VRT®(漏洞研究團(tuán)隊)發(fā)現(xiàn)的新攻擊方法自動實時更新。
即使是在文件已通過任何檢測點之后,Sourcefire 綜合安全智能也會繼續(xù)發(fā)揮其優(yōu)勢。Sourcefire 的云分析功能會在更長的時間里,根據(jù)最新的威脅情報持續(xù)對文件進(jìn)行評估。
最終,上述優(yōu)勢將共同服務(wù)于整個 AMP 社區(qū),確保其能夠在文件性質(zhì)發(fā)生改變時收到警報。這樣一來,所有使用綜合安全智能云的組織都將能在第一時間察覺到惡意文件,真正獲得依托于云的強大功能的“集體免疫”保護(hù)。
需要詢問防惡意軟件解決方案供應(yīng)商的問題
1. 你們用什么方法,來確定惡意軟件在整個網(wǎng)絡(luò)中和受侵害設(shè)備上的擴散程度?
2. 如果在受到侵害數(shù)小時或數(shù)日后才檢測到惡意軟件,你們?nèi)绾未_定哪些設(shè)備曾接觸過這些惡意軟件?
3. 你們?nèi)绾翁幚硪殉晒Ρ苓^初始檢測的惡意軟件,以及網(wǎng)絡(luò)上未被攔截的惡意軟件?
4. 你們?nèi)绾文茚槍梢苫顒涌焖龠M(jìn)行根本原因分析?
5. 你們有哪些形式的控制措施,用來阻止感染或解決根本原因?
追溯性安全功能:通過不間斷分析,對最初被視為無害或未知,但隨后被確定為惡意的文件發(fā)出警報。追溯性安全功能可以確定感染的范圍,加以抑制,最終使一切恢復(fù)如初 - 即實現(xiàn)自動的惡意軟件補救。#p#
追溯性安全功能帶您回到過去
攻擊者不會安于一隅。他們會不斷估量現(xiàn)有的安全控制措施,然后調(diào)整策略,比各種防御措施搶先一步。實際上,大多數(shù)攻擊者在發(fā)起攻擊之前,都會用領(lǐng)先的防惡意軟件產(chǎn)品來測試他們的惡意軟件。由于黑名單方法的有效性正在減弱,越來越多的安全公司開始依靠基于虛擬機 (VM) 的動態(tài)分析,來研究并對抗惡意軟件。攻擊者也已采用了針鋒相對的策略:對于虛擬機環(huán)境,他們或者什么也不做,或者會將攻擊的時間推遲幾個小時(或幾天),使攻擊文件在檢測期內(nèi)不執(zhí)行任何惡意活動,從而被誤認(rèn)為安全無害。當(dāng)然,在經(jīng)過默默等待后,他們便會開始危害受害者的設(shè)備。不幸的是,這類時間點檢測技術(shù)無法再次對文件進(jìn)行分析。只要某個文件被視為安全無害,無論檢測技術(shù)本身有所改進(jìn),還是該文件轉(zhuǎn)而表現(xiàn)出惡意軟件行為,其狀態(tài)將一直是“安全無害”。更糟的是,當(dāng)惡意軟件成功避過檢測后,這類控制措施無法跟蹤惡意軟件在環(huán)境中的擴散情況、探明根本原因,或確定潛在的惡意軟件網(wǎng)關(guān)(即重復(fù)感染惡意軟件,并成為感染擴散源的系統(tǒng))。
上面只是一個簡單的例子,用來說明惡意軟件編寫者如何比安全公司搶先一步,以及現(xiàn)有防惡意軟件控件的局限性。不過,最好的方法是假定沒有任何一種檢測防御措施能做到 100% 有效,假定您的所有保護(hù)僅基于看似可靠的檢測(不僅高估了您保護(hù)關(guān)鍵資產(chǎn)的能力,而且低估了攻擊者的能力)。因此,組織需要對已被避過的現(xiàn)有防御措施進(jìn)行規(guī)劃:這些措施必須能夠探明感染的范圍和情景,然后快速抑制損害,并全面消除威脅、根本原因和惡意軟件網(wǎng)關(guān)。要實現(xiàn)所有這些目標(biāo),追溯性安全功能必不可少。
從本質(zhì)上講,AMP 的 Retrospective Security™(追溯性安全)功能可使組織回到過去,確保無論惡意軟件是在何時最終定性,都能確定曾與其發(fā)生接觸的設(shè)備。此功能需要跟蹤每一個穿越受保護(hù)網(wǎng)絡(luò)的文件、查看每個受保護(hù)設(shè)備上的每一項操作的完整沿襲情況,并將文件在組織中的移動軌跡與它們在系統(tǒng)中的行為進(jìn)行直觀的映射。
使用傳統(tǒng)防惡意軟件保護(hù)時,如果惡意軟件是在其已造成危害之后才被發(fā)現(xiàn),您的選擇通常非常有限。您無法乘時光機回到過去,將該文件攔截在入口,因為它已經(jīng)進(jìn)入您的環(huán)境,很可能正在大搞破壞。而在這時,大多數(shù)防惡意軟件控件都早已停止工作,以至于您無法搞清問題的整體情況,只能不知所措地問:“現(xiàn)在該怎么辦?”
也正是在這種情況下,AMP 的大數(shù)據(jù)分析能力可以大派用場。利用名為“文件軌跡” (File Trajectory) 的功能,您可以快速準(zhǔn)確地確定文件如何進(jìn)入組織,對惡意軟件進(jìn)行跟蹤,并立即清除受影響設(shè)備中的病毒(而且在很多情況下會自動進(jìn)行)。更重要的是,由于 AMP 可以跟蹤每個文件的每次使用,所以組織可以找到“病原體”(惡意軟件的第一個受害者)以及所有其他受感染的設(shè)備,從而徹底根除感染。眾所周知,在清除惡意軟件后,即使留下一個實例,也極有可能發(fā)生再感染。
而且,文件軌跡功能不僅會分析與文件活動相關(guān)的信息,還會跟蹤有關(guān)文件沿襲、使用、依賴關(guān)系、通信和協(xié)議的信息,并確定哪些文件會安裝惡意軟件,以幫助對檢測到的惡意軟件或可疑活動進(jìn)行快速的根本原因分析。在發(fā)生攻擊時,安全團(tuán)隊可以立即從檢測模式切換到控制模式,快速探明感染的規(guī)模和根本原因,從而有效阻止進(jìn)一步感染。
圖 2. 文件軌跡功能演示屏幕,顯示了惡意軟件擴散情況(包括進(jìn)入點信息)、惡意軟件活動,以及受感染的終端設(shè)備。
在面對大量檢測事件(尤其是惡意軟件)時,另一個難題是確定哪個事件具有最高的優(yōu)先級,且必須做出應(yīng)對。通常,單個事件(即使是在終端設(shè)備上攔截到惡意文件)不一定意味著網(wǎng)絡(luò)受到侵害。但是,當(dāng)多個事件(即使是看似無害的活動)一起產(chǎn)生作用時,就會大大提高系統(tǒng)受到侵害的風(fēng)險,威脅很可能正在迫近或正在發(fā)生。
危害指示器 (Indicators of Compromise) 是 AMP 的另一個功能,它能執(zhí)行更加深入的分析,以發(fā)現(xiàn)表現(xiàn)出受侵害癥狀的系統(tǒng)。此功能讓時間點檢測技術(shù)望塵莫及。通過在最初檢測到惡意軟件相關(guān)活動后,持續(xù)對其進(jìn)行捕捉、分析和關(guān)聯(lián),危害指示器可自動完成分析和風(fēng)險優(yōu)先級的確定。
圖 3. 危害指示器演示屏幕,顯示了表明系統(tǒng)可能已經(jīng)受到侵害但看似無害的事件。此功能非常重要,因為高級惡意軟件很少會“自投羅網(wǎng)”地與防病毒簽名完全匹配。
最后,當(dāng)惡意軟件在企業(yè)中扎穩(wěn)腳跟后,它通常會嘗試與 CnC 服務(wù)器進(jìn)行通信;如果惡意軟件是由攻擊者直接控制的,則會開始進(jìn)行一些偵測活動,悄悄向其預(yù)期目標(biāo)接近。
AMP 會監(jiān)控受保護(hù)終端設(shè)備上的通信活動,并與綜合安全智能分析數(shù)據(jù)進(jìn)行比較,以確定危害是否已經(jīng)發(fā)生。在必要的情況下,它會阻止該終端設(shè)備進(jìn)行通信,分發(fā)惡意軟件。此功能在針對未受企業(yè)網(wǎng)絡(luò)保護(hù)的終端設(shè)備(例如遠(yuǎn)程或移動員工使用的系統(tǒng))控制惡意軟件擴散方面,為安全人員提供了獨特的優(yōu)勢。不僅如此,文件軌跡和危害指示器功能還可以使用已捕獲的網(wǎng)絡(luò)活動,幫助加快調(diào)查以及危害優(yōu)先級的確認(rèn)。#p#
出類拔萃的協(xié)同性:在網(wǎng)絡(luò)、安全網(wǎng)關(guān)、物理和虛擬終端,以及移動設(shè)備上全面實施
安全控制不能孤軍奮戰(zhàn)。要抵御高級惡意軟件,就必須在網(wǎng)絡(luò)、網(wǎng)關(guān)和終端設(shè)備的防御措施與跟蹤威脅及補救活動的管理控制臺之間,進(jìn)行大量的協(xié)調(diào)。思科提供包含綜合安全智能云、高級網(wǎng)絡(luò)分析和多個實施點的集成系統(tǒng),幫助您的組織確保高級惡意軟件不會乘隙而入。
需要詢問 AMP 供應(yīng)商的問題
1. 你們能對安全網(wǎng)關(guān)和網(wǎng)絡(luò)、物理和虛擬終端,以及移動設(shè)備上的惡意軟件進(jìn)行全面的攔截、跟蹤、分析和修復(fù),并確定其根本原因嗎?
2. 你們?nèi)绾伪Wo(hù)游離于受保護(hù)網(wǎng)絡(luò)之外的設(shè)備?
3. 你們?nèi)绾未_定哪些設(shè)備已經(jīng)受到危害?
4. 你們?nèi)绾未_認(rèn)系統(tǒng)是否正在受到侵害?你們?nèi)绾芜M(jìn)行補救?
5. 你們是否支持使用自定義惡意軟件檢測規(guī)則來補救獨特的攻擊?具體方法是什么?
思科豐富的 AMP 功能以網(wǎng)絡(luò)為起點,幫助檢測并攔截任何外來的惡意軟件。當(dāng)每個文件進(jìn)入(或離開)網(wǎng)絡(luò)時,AMP 會生成文件指紋,然后咨詢 Sourcefire FireSIGHT® 中央管理控制臺,以確定該文件是否已被識別為惡意文件。
如果 FireSIGHT 控制臺未曾見過該文件,它會與綜合安全智能云進(jìn)行核對,快速確定該文件是否曾在綜合安全智能網(wǎng)絡(luò)中留下記錄。這種輕量級查找不會造成任何延遲。而且,與在沙盒中運行網(wǎng)絡(luò)中的每個文件相比,此方法的可擴展性也大大提升。對于已確定為惡意的文件,F(xiàn)ireSIGHT 控制臺會執(zhí)行文件軌跡功能,來探明受侵害的情景和范圍。
此外,也可以在每臺要保護(hù)的設(shè)備上部署輕量級的終端惡意軟件防護(hù)代理(FireAMP™ 連接器),這樣,所有文件活動都可以通過綜合安全智能云進(jìn)行檢查,識別出那些已知是惡意軟件的文件。FireAMP 連接器的作用不只是查找惡意文件,它還能檢測和阻止設(shè)備中的惡意軟件的行為(即使相關(guān)文件以前從未見過),以此保護(hù)終端不受零日攻擊的威脅。FireAMP 連接器還會使用前面介紹的追溯性安全功能和文件軌跡功能來識別任何感染事件的范圍,并找出需要立即補救的設(shè)備。
如果確定文件可疑,AMP 會執(zhí)行更深入的分析。如前面所述,基于云的分析能準(zhǔn)確地確定文件的用途,一旦確定文件可疑,即會建立攻擊簡檔,生成危害表現(xiàn)及其他屬性。您可以使用功能強大的大數(shù)據(jù)分析功能來搜索這些數(shù)據(jù)。
利用這些簡檔,AMP 能為組織提供主動防范惡意軟件感染的能力(見圖 2)。如果追溯性安全功能根據(jù)另一個環(huán)境中發(fā)生的事件確定某個文件存在惡意威脅,綜合安全智能云可以將這些確定的信息下發(fā)到您組織中的 FireSIGHT 控制臺,以便您在網(wǎng)絡(luò)或終端設(shè)備攔截這些惡意軟件,并與 AMP 社區(qū)中的其他成員一起獲得集體免疫保護(hù)。此外,如果本地管理員發(fā)現(xiàn)有本地化的攻擊,且需要立即采取措施,組織也可以建立自定義規(guī)則來阻止特定文件和 IP 地址。
FireAMP Mobile 連接器也依賴該綜合安全智能云,來實時地快速分析 Android 應(yīng)用中的潛在威脅。通過將可視性擴展到移動設(shè)備,您可以快速了解哪些設(shè)備受到感染,以及哪些應(yīng)用將惡意軟件帶入了系統(tǒng)。當(dāng)您需要對攻擊造成的影響進(jìn)行補救時,F(xiàn)ireAMP Mobile 中強大的控制功能可幫助您阻止特定應(yīng)用(加入黑名單),讓您可以限制允許在訪問企業(yè)資源的移動設(shè)備上使用的應(yīng)用。FireAMP Virtual 可將同樣的功能和高級惡意軟件防護(hù)擴展到 VMware 虛擬實例。
在思科于 2013 年收購 Sourcefire 后,思科電郵和網(wǎng)絡(luò)安全網(wǎng)關(guān)現(xiàn)在也加入了 AMP 功能,用于增強在這些潛在進(jìn)入點對高級惡意軟件的檢測與攔截。關(guān)鍵的 AMP 功能包括上文所述的文件信譽和文件沙盒。此外,追溯性警報可以對穿越電郵和網(wǎng)絡(luò)網(wǎng)關(guān)的文件進(jìn)行不間斷分析,通過來自綜合安全智能云的實時更新隨時獲得最新的威脅等級動態(tài)。一旦將某個文件識別為威脅,AMP 將將會對管理員發(fā)出警告,讓管理員一目了然地了解哪些人有可能已被感染以及何時被感染。這樣,客戶就可以在攻擊還沒來得及擴散之前,就迅速識別并處理掉它們。
如我們之前所述,惡意軟件能從移動設(shè)備、甚至虛擬系統(tǒng)開始,穿過安全網(wǎng)關(guān)和網(wǎng)絡(luò),進(jìn)入組織內(nèi)部,直達(dá)終端設(shè)備。擁有對整個組織中所有活動的全面可視性非常重要。通過使用全球安全智能網(wǎng)絡(luò),并獲得對網(wǎng)關(guān)、網(wǎng)絡(luò)、終端設(shè)備、移動設(shè)備和虛擬系統(tǒng)進(jìn)行感染檢測、攔截、跟蹤、調(diào)查和補救的能力,組織可以消除其他安全控制措施由于覆蓋范圍有限所導(dǎo)致的盲點。#p#
高級惡意軟件防護(hù)實例
要了解集成高級惡意軟件防護(hù)的功能,最好的辦法就是了解它如何在 Java 零日攻擊公開宣布的整整兩天之前就將其檢測出來。在本實例中,一位查看 FireAMP 控制臺(終端設(shè)備、移動設(shè)備和虛擬連接器的管理控制臺)的客戶在一些設(shè)備上檢測到一些奇怪的活動,看起來像惡意軟件的行為方式。這位客戶通過綜合安全智能云對相關(guān)文件進(jìn)行分析,并獲得了明確的確認(rèn):的確存在惡意軟件。
接下來需要確定攻擊所涉范圍并盡快進(jìn)行清理。該客戶使用了 FireAMP 軌跡功能來查找曾接觸過相關(guān)文件或曾表現(xiàn)出攻擊行為方式的設(shè)備。受影響設(shè)備清理完畢后,該客戶立即建立了自定義規(guī)則來阻止這些文件和相關(guān)的惡意軟件危害表現(xiàn)。
不過,客戶只會在短期內(nèi)需要這些自定義規(guī)則,因為這些文件和危害表現(xiàn)被添加到大數(shù)據(jù)分析引擎后,每位 AMP 客戶都能從隨之形成的集體免疫保護(hù)中獲益。當(dāng)他們自己的環(huán)境中出現(xiàn)同樣的攻擊時,他們會得到警報。由此,整個 AMP 客戶群都可以提前得到保護(hù),甚至早于零日攻擊的公開宣布。
小結(jié)
盡管業(yè)內(nèi)都知道需要創(chuàng)新性的解決方案才能檢測和補救高級惡意軟件攻擊,但無論采用的是傳統(tǒng)的終端保護(hù)套件,還是新的“銀色要點”防御,太多的組織仍然大意地將全部努力都放在檢測上。這樣必然會導(dǎo)致問題,業(yè)內(nèi)也在不斷地曝出關(guān)于數(shù)據(jù)丟失或泄露的重大新聞。
要想有機會有效抵御最新的攻擊,解決方案必須采用大數(shù)據(jù)分析功能來跟蹤在整個網(wǎng)絡(luò)中、在物理和虛擬環(huán)境中,以及在受保護(hù)終端和移動設(shè)備上的文件交互和活動。許多攻擊在傳統(tǒng)檢測方式工作期間會保持靜止?fàn)顟B(tài),客戶需要有能力回顧歷史記錄,并以追溯方式將判斷結(jié)果更改為“惡意”,然后跟蹤這些文件在組織中的軌跡和表現(xiàn),才能更有效地遏制和補救這些高級攻擊所造成的損害。
最后,高級惡意軟件防護(hù)必須密切關(guān)注的不僅僅是受保護(hù)的終端設(shè)備,還應(yīng)該包括網(wǎng)絡(luò)、移動設(shè)備和虛擬系統(tǒng),這樣才能提供一致的防護(hù)水平。沒有人能預(yù)測下一輪攻擊的目標(biāo)會是什么。
高級惡意軟件防護(hù)的好處包括:
● 可以使用一致的策略靈活部署到多個位置,包括終端設(shè)備、網(wǎng)絡(luò)、安全網(wǎng)關(guān)、移動設(shè)備和虛擬系統(tǒng)
● 利用綜合安全智能云的優(yōu)勢識別并分析新出現(xiàn)的攻擊方式,甚至趕在業(yè)內(nèi)人士發(fā)現(xiàn)它之前
● 能夠追溯識別惡意軟件,并利用文件軌跡功能,在惡意軟件擴散之前即找到您組織中的所有相關(guān)實例
● 可以加入 AMP 社區(qū),獲得來自 Sourcefire VRT 的前沿研究成果,以及部署在全球數(shù)千客戶環(huán)境中的無數(shù)終端惡意軟件防護(hù)代理所收集的文件樣本,借此獲得集體免疫保護(hù)優(yōu)勢。
