如何利用安全分析技術來檢測高級惡意軟件?(一)
責編:admin |2015-02-09 16:33:25幾年前,有一家公司試圖向我推銷他們的最新產品,說這個產品可以幫我檢測并阻止惡意軟件感染企業系統。我禮貌地拒絕了,并解釋說我的公司有很多工程師,不可能受到席卷互聯網的惡意軟件的困擾。而且我還告訴這家供應商,我們已經部署了企業級防病毒產品來應對這類問題。
不過最終我還是嘗試了他們的試用版產品,設置它來捕捉離開交換端口分析器(Switched Port Analyzer)端口的邊緣互聯網流量。讓我非常震驚的是,當我打開該設備并登錄后,我才發現我們的問題有多么嚴重。我看到公司內有十多個系統都檢測到了惡意軟件,盡管它們都安裝了防病毒軟件,并且更新了最新的病毒庫。這些病毒感染都在忙著進行命令控制回調到世界各地的服務器,并可能已經存在一段時間了,只是我們不知道。其中有些流量似乎是相當良性的鏈接欺詐,而其他惡意軟件正在發送我們根本無法破譯的加密數據。無論如何,很顯然,我們存在問題,而且必須采取行動。從此我開始接觸安全分析技術。
惡意軟件影響著我們所有人,無論我們的企業部署了怎樣的防御措施。這是一種隱形和復雜的威脅,我們長久以來依賴的反惡意軟件只是給我們制造了一個安全的幻覺。
在這篇文章中,我們將討論檢測和防止當今惡意軟件、高級持續威脅(APT)、零日漏洞等所需要的不同類型的產品,并探討如何將數據整合到安全分析技術中,以對企業面臨的威脅提供一個新的更廣闊的視圖。
首先,可以說是最重要的,支持惡意軟件為中心安全分析系統的技術是專門的高級惡意軟件防御產品,正如上面描述的產品。就我而言,FireEye是我選擇的供應商,因為其特別利用了虛擬化技術,另外Damballa、Bit9和很多其他供應商也提供類似的引人注目的產品。
FireEye的威脅防御平臺可以實時分析流量,并限制惡意軟件在虛擬機中進行進一步分析。該產品還能夠尋找共同的惡意軟件簽名,它也能夠基于系統的啟發式行為進行檢測。這在檢測APT和零日攻擊中尤為重要,因為其中根本不存在簽名。
FireEye產品的一個缺點是,它只能檢測連接到該設備覆蓋網絡的系統上的惡意軟件。這是一個巨大的缺陷,為此,很多移動設備可能無法受到保護。這正是Trusteer或Bit9等公司的基于代理的方法派上用場的地方。通過在每個端點安裝代理,你可以保護設備–無論設備的位置:在辦公室、家里或在路上。
如果專有惡意軟件防御系統不可行,你可能需要再看看你的入侵防御系統(IPS)。我注意到很多IPS供應商構建惡意軟件檢測規則到他們的產品中,其中有些非常接近專有高級惡意軟件檢測供應商提供的功能。
配置管理也是安全分析程序的關鍵組成部分。這里的重點是,你需要盤查關鍵系統(域服務器、應用服務器、Web服務器、數據庫服務器等)上的關鍵配置和可執行文件,因為攻擊者通常會試圖用新版本取代這些文件以保護他們在你環境中的立足點。Tripwire的開源版本是一個免費的數據完整性監控工具,這是個很不錯的工具,安全專業人士已經使用了很長時間。
我們的網絡掃描工具在安全分析程序中發揮了很大的作用,這可能聽起來有點奇怪。防止惡意軟件感染環境的最好方法是通過有效的硬化。如果我們可以使用網絡掃描器來搜索網絡中未打補丁和過時的系統,我們就可以在攻擊者攻擊它們之前進行修復。好消息是,因為有很多網絡掃描供應商相互競爭,還發生了很多收購和并購交易,產品之間的功能差別并不大。還有一些免費工具可以執行網絡掃描,包括Nessus和OpenVAS,雖然與付費工具相比,它們有一定的局限性。