歹意软件变体的疯狂增加给端点安然带来了巨大年夜挑战。跟着端点的数量和种类的较着增加,企业必需摆设外围收集安然手艺来呵护所有最终用户、办事器和流量,和应对不竭增加的流量、歹意软件和其它收集威胁。
基于收集的歹意软件检测(NBMD)是基于签名的端点反歹意软件检测的替代品。这类产品“老是开启状况”,并且可以或许应对现代歹意软件用来绕过客户端安然利用的技能。但是,摆设常常是一个挑战:要阐扬其最大年夜的结果,NBMD必需采取串连摆设,并且,假定没有精心建设,它可能变得过于“激进”,粉碎关头任务利用和营业流程。
在本文中,我们将会商若何成功地串连摆设基于收集的歹意软件检测,包含若何治理和建设这些系统来避免影响利用根本举措措施的最好做法。
NBMD的优势
传统的反歹意软件检测是基于供给商的签名:供给商会隔离并查抄在收集中发现的歹意软件,并编写签名来奉告反歹意软件产品应当若何辨识这类歹意软件,然后,分发签名到其反歹意软件产品的客户。
比拟之下,NBMD则是在沙盒环境实际履行可疑文件,以肯定其行动是可疑仍是歹意,从而肯定已知和未知的歹意软件。NBMD产品供给的这类额外阐发可以发现难以检测的定制的多态歹意软件,这类歹意软件凡是常利用于高级延续威胁或说APT报复打击中。
当然位于外围的设备具有低延迟性(它不需要发送文件进行阐发),但在繁忙的收集中查抄所有流量和未知文件仍然是一个巨大年夜的挑战,即便进站点和出站点保持在最低限度。对这个标题问题,最新的NBMD产品的做法是,将部门或全数门析转移到云中,帮忙降落成本、进步可扩大性和准确性。
基于云的NBMD办事的一大年夜优势在于,经由过程对良多客户碰着的大年夜量歹意软件进行阐发,客户可以从中收益。并且,它可以或许作为所有文件哈希、指标和测试的中间资料库,如许,新的歹意软件的透露面削减了,因为我们不需要将更新的成果分发到所有本地设备。但是,NBMD在收集内摆设的编制对其有效性和普及率有着很大年夜的影响。
成功地摆设基于收集的歹意软件检测
为了最大年夜限度地阐扬NBMD产品的优势,NBMD需要进行串连式摆设;与其他串连摆设的安然设备(例如防火墙和进侵防御系统)一样,NBMD产品可以在歹意软件进进收集前,捕获并禁止歹意软件。带外或端口镜像摆设模型意味着它更像是典型的监控器,查抄流量,当发现歹意软件进进收集时发送警报。但这类摆设不克不及很好地在办事器或云中扩大,因为治理员可能被警报“沉没”,事实所有这些警报都需要进行查询拜访,并尽快解决以避免造成侵害。串连摆设NBMD给了企业更多的矫捷性来发出警报或禁止。
当然在歹意软件进进收集进步行禁止很好,但主动地禁止所有可疑文件进进收集也有其错误谬误,即误报可能会粉碎关头利用法度和影响用户工作流程。顺利地过渡到串连检测和从警报过渡到反对的独一编制是,花时候渐渐收紧法则来消弭误报酿成的标题问题。企业应当对供给商所谓的自学型系统持思疑立场;企业应当定义政策,并跟着时候的推移调剂政策直到其可行,这里并没有捷径可走。
最初,企业可以将NBMD设备设置为仅禁止已知歹意文件,同时,对任何存在不肯定身分的文件发送警报,并确保有足够的资本可用来措置这可能带来的额外的工作量。一旦肯定某些文件类型不会粉碎任何过程或利用法度,它们便可以从警报要求移除。在此期间,按期查抄关头利用法度的日记以捕获弊端动静,这可能发现关头文件被禁止或延迟的迹象。同时警告撑持台,对常见的工作流程,用户可能会碰着延迟或间断,他们应当会从用户获得反馈,这个过程将有助于定义法则。
NBMD也可用于辨认各类其他企业威胁,包含多是歹意的出站收集流量,例如,传染的设备和报复打击者的号令节制中间之间的典型的通信。按照和谈、目标地、时候、文件类型和数据包内容等指标,企业可以只承诺某些利用法度发送数据到收集外部,如许企业可以避免受传染设备发送数据出往,从而禁止数据泄漏。
但是,即便摆设了杰出设置的NBMD产品,企业仍需要在端点摆设一些传统反歹意软件呵护来加强呵护,不管设备是不是位于企业收集。
展看NBMD的将来
对尽力应对高级威胁的企业而言,在弥补并最终代替传统反歹意软件法度的过程中,基于收集的歹意软件检测产品是一个有吸引力的产品。当然在NBMD摆设过程中,仍然有良多障碍需冲要破,假定企业可以或许有足够的毅力和决心来建设这些设备,最终将获得丰硕的回报