高级歹意软件是收集世界里最新、最具暗藏粉碎性的威胁。它们隐蔽,具有针对性且极具“耐烦”。一些驰名的歹意软件虽然凡是带有易于辨认的签名,但经由过程不竭改变总能逃过一般辨认模式的防御。别的,它们凡是专注于特定方针,并在达到目标之前“谨慎翼翼”,尽可能削减在收集上的“踪迹”。可以说,高级歹意软件在被发现和被消弭之前其实已活跃好久了。与此同时,在未被发现期间,这些软件对系统和组织已造成重大年夜粉碎。
针对高级歹意软件如上特别性,传统收集安然解决方案的开辟编制不再百分之百的有效。基于“签名”编制的整体解决方案对捕获那些已知歹意软件高效准确,但仅靠这些编制明显不足以使机构或组织获得充分呵护。
那么,我们应当若何应对这类高级歹意软件?我想先谈谈今朝遍及存在的对高级歹意软件解决方案的两大年夜曲解,继而阐发如何才是最有效的编制。
曲解一:高级歹意软件的首要标题问题在于若何辨认
正如前面所阐发的高级歹意软件的特点,传统的解决方案已没法知足我们的需求,是以需要另辟道路。今朝,应对这类威胁的一个常见编制是一种基于“行动”的手艺,称为沙盒手艺。
沙盒是一种强大年夜的离线查找东西,可将未知或可疑文件隔离在一个虚拟环境里,承诺它们在此中充分“表演”,就仿佛它们已达到方针;而沙盒内置的设备会监控文件的“一举一动”。假定疑似病毒确认具有威胁性,那么它则没法在隔离的虚拟环境里产生真正威胁。沙盒手艺创作发现出了一个相对安然的环境,可以用来测试可疑文件。别的,因为沙盒无需在阐发前体味文件环境,即无需“签名”,是以它成了一项辨认高级歹意软件的强大年夜手艺。
可是,“沙盒”也有其局限性。例如,良多沙盒手艺只能在既定把持系统的通用版本上运行,并不是是客户实际把持环境的真正影象。这便可能导致对可疑文件行动的弊端假定。这类局限性在某种程度上限制了它们捕获高级威胁的能力。
但这类基于行动的编制在辨认大年夜量高级威胁方面仍表示得相当有效,是以市场对该项手艺反应强烈热烈。但是,恰是这类强烈热烈反应产生了一个共同的传言——高级歹意软件的首要标题问题在于若何辨认。
事实上,辨认高级歹意软件很是首要,可是真实的挑战是若何措置高级歹意软件,禁止并修复其酿成的危险。
沙盒手艺是一项功能,而非产品,辨认高级歹意软件只是此中的一个步调,而非解决方案。当然传统的解决方案凡是没法辨认高级歹意软件,但它们却具有杰出的防护能力。沙盒的局限是只能辨认威胁,而不克不及进行禁止和修复,是以,为了真正地抵抗高级歹意软件,沙盒必需配有禁止威胁并修复其所酿成的侵害的东西。假定没有这些附加功能,安然行业只是解决了标题问题标一部门,而将大年夜大都工作留给了客户。
曲解二:沙盒可以隔离歹意软件
对歹意软件的阐发常常是复杂且耗时的,是以沙盒其实不是一项及时手艺。事实上,大年夜大都沙盒只能对文件复本进行阐发,而原始文件则被发送到方针终点。所以即便发现一个可疑文件是歹意的,实际文件早已达到终点并造成侵害。
就这一点而言,沙盒只能发现可疑文件是歹意的,但不克不及真正地禁止它。
别的,沙盒凡是是迟缓从一个进口点进进环境,它乃至不会寄望到可能还有其它的高级歹意软件溜进了其它进口点。但真正安然的手艺必需可以或许辨认和禁止溜进任何进口点的歹意软件,而无需其它额外软件帮忙。
那么,我们若何晋升安然级别呢?我们需要在每个进口点设置监控,并采取一些手艺禁止被列进黑名单的文件。假定沙盒解决方案有一些附加的文件樊篱功能,并假定这些功能是成熟的,那么将面对两个选择:可以在每个进口点摆设这类手艺——这需要我们付出高额的费用;或可以经由过程利用一个解决方案,对这些进口点现有的安然产品发现的可疑文件进行集中阐发。
明显第二种编制能更有效地降落成本并使收集节制加倍严格。
总而言之,与传统防御系统及时阐发和禁止歹意软件的编制不合,沙盒不克不及及时把持。为了真正有效地应对高级威胁,必需将沙盒摆设为高度集成或综合安然环境的一部门:可措置多个进口点,且能将信息传回把持环境,警告密现新歹意软件,并尽可能地在发现前禁止和修复响应侵害。
(作者为迈克菲全球首席手艺官)