反歹意软件早已不再是简单的签名匹配,此刻的反歹意软件手艺添加了良多新的检测手艺。企业应当从头考虑若何选择反歹意软件……
为了选出最好反歹意软件,你必需体味威胁、若何检测威胁和相干产品若何修复传染。反歹意软件早已不再是简单的签名匹配,此刻的反歹意软件添加了良多新的检测手艺来肯定软件法度是不是为歹意和是不是可以在设备上履行。在我们会商选择最好反歹意软件的首要考虑身分之前,让我们先来看看歹意软件编写者利用的战术,他们的战术让检测工作很是具有挑战性。
防病毒(AV)手艺源自一个很是简单的设法:假定代码是不好的,就禁止它。是以,防病毒厂商怀揣着一个“坏东西”的大年夜名单,并将每个进进设备的文件与这个清单进行比较。另外一方面,报复打击者们的对策是略微改变每个歹意文件,让每个文件都很接近,但其实不完全近似于已知的坏文件。这是简单的回避检测的编制。对此,供给商们分发数百万的新签名到每个设备,很明显,这类计谋和营业模式其实不克不及扩大。
然后,业界开端测验测验一种积极的安然模式,即对授权软件法度成立白名单。假定软件没有被授权,将没法运行。这类编制可以或许很好地禁止歹意软件(它不成能呈此刻白名单中),但这严重影响了可用性。用户将需要很是频繁地加载软件,假定他们想要利用的软件不在白名单中,他们会感应很懊末路。
黑名单模式不克不及进行扩大,而白名单模式没法让用户接管。是以,该行业不克不及不从头来过,从头考虑歹意软件的运作编制以肯定最好检测编制。
歹意软件的根基要素
所有歹意软件的根基元素是一个文件,这个文件起首会履行,随后做坏事。反歹意软件的感化是在它们做坏事之前检测出这些文件。鉴于歹意软件编写者能混合坏文件,检测不克不及再相信文件看起来像甚么;而应当评估“每个文件做甚么”。
要明白,查找已知歹意文件仍然是有效的,但这其实不克不及扩大到每个设备上,所以反歹意软件供给商操纵云计较来记实保留数十亿文件(软件哈希)。每个设备上的反歹意软件代办署理查抄文件的“诺言”来肯定1)之前他们是不是看过它2)是不是是歹意文件。
禁止已知歹意文件,罢了知合法文件则承诺履行。那么,当你碰着从未见过的文件呢?这恰是下一代反歹意软件阐扬感化的处所。代办署剪发送未知文件到办事来阐发该文件,经由过程在隔离环境来履行该文件来查找是不是存在歹意身分。然后,该办事会发还一份“判决”到设备以承诺或禁止该文件。
很明显,在这个过程中存在必然的延迟性,在获得明白鉴定之前,你可以肯定是不是让未知文件经由过程(如许做存在风险)或隔离该文件。任何没有操纵这类基于云的反歹意软件手艺都没法禁止今天的报复打击。
在哪里检测歹意软件
大年夜大都业浑家士已习惯觉得反歹意软件需要直接在终端设备上运行。基于合规要求,良多企业***采取这类摆设模式,即在每个Windows设备上运行反歹意软件。跟着Mac和Linux加快进进企业桌面和数据中间,反歹意软件也需要考虑这些平台的歹意软件检测。可是要记住,MacOSX和Linux的底层架构可以或许比WindowsXP更好地禁止歹意软件。
虚拟化的呈现让选择最好反歹意软件手艺加倍复杂化。考虑一下,假定虚拟设备上运行的每个客户机运行一个反歹意软件代办署理,你将需要在不异硬件上反几次复运行不异的代码,这背反了虚拟化的目标。所以,反歹意软件供给商此刻优化其引擎来运行在单个客户机(或在治理法度内),并与虚拟化环境通信以确保虚拟机资本获得优化。
回到尽可能禁止歹意文件接近外围的设法,反歹意软件应当被摆设在更接近进口点的位置--在企业外围或云办事内。查抄歹意软件最便利的处所是在web或电子邮件安然网关或云办事。因为电子邮件和Web仍然是首要报复打击对象,凡是这都是第一个摆设的位置。
还有一些新的设备,我们一向称其为基于收集的歹意软件检测,这类检测编制查看所有进进的收集流量,并对进进收集的文件进行阐发,这与我们上面描述端点摆设近似—确保具有报复打击特点的文件没法进进。
措置编制
当你发现歹意文件时应当如何做?这时候辰,你需要连络其他已摆设的系统/节制。所以你寻觅的最好反歹意软件手艺需要可以或许与这些系统或设备互把持,因为你的收集设备需要禁止/隔离可能被传染的设备。你还需要确保警报发送到陈述节制界面,反歹意软件治理系统、SIEM/日记治理产品、或帮忙台系统来启动修复过程。
虽然你支出了最大年夜尽力来进行检测,但假定你蒙受歹意软件传染,凡是最好反歹意软件手艺都有清理设备的功能。在节制界面中,你只需要点击一个按钮,设备就会被修复。跟着歹意软件变得加倍复杂和“暴虐”,清理成了一场必败之仗。歹意报复打击者城市设法留下一些歹意软件的残存来确保再次传染。所以,企业应当几次进行清理。你明明可以进行多次清理,为甚么只清理一次呢?
是以,我们此刻建议从头镜像被传染的设备。当然这类编制凡是会导致数据丢掉,并且给用户带来不便,但鉴于再次传染的高风险,我们觉得确保歹意软件已被肃除加倍首要。