基于網(wǎng)絡(luò)的惡意軟件檢測部署的成功關(guān)鍵

2013-10-29 10:41:02 TechTarget中國　點擊量：評論 (0)

　　惡意軟件變體的瘋狂增長給端點安全帶來了巨大挑戰(zhàn)。隨著端點的數(shù)量和種類的明顯增加，企業(yè)必須部署外圍網(wǎng)絡(luò)安全技術(shù)來保護所有最終用戶、服務(wù)器和流量，以及應(yīng)對不斷增長的流量、惡意軟件以及其它網(wǎng)絡(luò)威脅。

　　基于網(wǎng)絡(luò)的惡意軟件檢測（NBMD）是基于簽名的端點反惡意軟件檢測的替代品。這種產(chǎn)品“總是開啟狀態(tài)”，并且能夠應(yīng)對現(xiàn)代惡意軟件用來繞過客戶端安全使用的技巧。然而，部署往往是一個挑戰(zhàn)：要發(fā)揮其最大的效果，NBMD必須采用串聯(lián)部署，而且，如果沒有精心配置，它可能變得過于“激進”，破壞關(guān)鍵任務(wù)應(yīng) 用以及業(yè)務(wù)流程。

　　在本文中，我們將討論如何成功地串聯(lián)部署基于網(wǎng)絡(luò)的惡意軟件檢測，包括如何管理和配置這些系統(tǒng)來避免影響應(yīng)用基礎(chǔ)設(shè)施的最佳做法。

　　NBMD的優(yōu)勢

　　傳統(tǒng)的反惡意軟件檢測是基于供應(yīng)商的簽名：供應(yīng)商會隔離并檢查在網(wǎng)絡(luò)中發(fā)現(xiàn)的惡意軟件，并編寫簽名來告訴反惡意軟件產(chǎn)品應(yīng)該如何辨識這種惡意軟件，然后，分發(fā)簽名到其反惡意軟件產(chǎn)品的客戶。

　　相比之下，NBMD則是在沙盒環(huán)境實際執(zhí)行可疑文件，以確定其行為是可疑還是惡意，從而確定已知和未知的惡意軟件。NBMD產(chǎn)品提供的這種額外分析可以發(fā)現(xiàn)難以檢測的定制的多態(tài)惡意軟件，這種惡意軟件通常用于高級持續(xù)威脅或者說APT攻擊中。

　　雖然位于外圍的設(shè)備具有低延遲性（它不需要發(fā)送文件進行分析），但在繁忙的網(wǎng)絡(luò)中檢查所有流量和未知文件仍然是一個巨大的挑戰(zhàn)，即使入站點和出站點保持在最低限度。對于這個問題，最新的NBMD產(chǎn)品的做法是，將部分或者全部分析轉(zhuǎn)移到云中，幫助降低成本、提高可擴展性和準確性。

　　基于云的NBMD服務(wù)的一大優(yōu)勢在于，通過對很多客戶遇到的大量惡意軟件進行分析，客戶可以從中收益。并且，它能夠作為所有文件哈希、指標和測試的中央資料庫，這樣，新的惡意軟件的暴露面減少了，因為我們不需要將更新的結(jié)果分發(fā)到所有本地設(shè)備。然而，NBMD在網(wǎng)絡(luò)內(nèi)部署的方式對其有效性以及普及率有著很大的影響。

　　成功地部署基于網(wǎng)絡(luò)的惡意軟件檢測

　　為了最大限度地發(fā)揮NBMD產(chǎn)品的優(yōu)勢，NBMD需要進行串聯(lián)式部署；與其他串聯(lián)部署的安全設(shè)備（例如防火墻和入侵防御系統(tǒng)）一樣，NBMD產(chǎn)品可以在惡意軟件進入網(wǎng)絡(luò)前，捕獲并阻止惡意軟件。帶外或者端口鏡像部署模型意味著它更像是典型的監(jiān)控器，檢查流量，當發(fā)現(xiàn)惡意軟件進入網(wǎng)絡(luò)時發(fā)送警報。但這種部署不能很好地在服務(wù)器或者云中擴展，因為管理員可能被警報“淹沒”，畢竟所有這些警報都需要進行調(diào)查，并盡快解決以防止造成損害。串聯(lián)部署NBMD給了企業(yè) 更多的靈活性來發(fā)出警報或阻止。

　　雖然在惡意軟件進入網(wǎng)絡(luò)前進行阻止很好，但自動地阻止所有可疑文件進入網(wǎng)絡(luò)也有其缺點，即誤報可能會破壞關(guān)鍵應(yīng)用程序和影響用戶工作流程。順利地過渡到串聯(lián)檢測以及從警報過渡到攔截的唯一方法是，花時間慢慢收緊規(guī)則來消除誤報造成的問題。企業(yè)應(yīng)該對于供應(yīng)商所謂的自學(xué)型系統(tǒng)持懷疑態(tài)度；企業(yè)應(yīng)該定義政策，并隨著時間的推移調(diào)整政策直到其可行，這里并沒有捷徑可走。

　　最初，企業(yè)可以將NBMD設(shè)備設(shè)置為僅阻止已知惡意文件，同時，對于任何存在不確定因素的文件發(fā)送警報，并確保有足夠的資源可用來處理這可能帶來的額外的工作量。一旦確定某些文件類型不會破壞任何進程或者應(yīng)用程序，它們就可以從警報要求移除。在此期間，定期檢查關(guān)鍵應(yīng)用程序的日志以捕捉錯誤消息，這可能發(fā) 現(xiàn)關(guān)鍵文件被阻止或延遲的跡象。同時警告支持臺，對于常見的工作流程，用戶可能會遇到延遲或者中斷，他們應(yīng)該會從用戶得到反饋，這個過程將有助于定義規(guī) 則。

　　NBMD也可用于識別各種其他企業(yè)威脅，包括可能是惡意的出站網(wǎng)絡(luò)流量，例如，感染的設(shè)備和攻擊者的命令控制中心之間的典型的通信。根據(jù)協(xié)議、目的地、時間、文件類型和數(shù)據(jù)包內(nèi)容等指標，企業(yè)可以只允許某些應(yīng)用程序發(fā)送數(shù)據(jù)到網(wǎng)絡(luò)外部，這樣企業(yè)可以防止受感染設(shè)備發(fā)送數(shù)據(jù)出去，從而阻止數(shù)據(jù)泄漏。

　　然而，即使部署了良好設(shè)置的NBMD產(chǎn)品，企業(yè)仍需要在端點部署一些傳統(tǒng)反惡意軟件保護來加強保護，無論設(shè)備是否位于企業(yè)網(wǎng)絡(luò)。

　　展望NBMD的未來

　　對于努力應(yīng)對高級威脅的企業(yè)而言，在補充并最終取代傳統(tǒng)反惡意軟件程序的過程中，基于網(wǎng)絡(luò)的惡意軟件檢測產(chǎn)品是一個有吸引力的產(chǎn)品。雖然在NBMD部署過程中，仍然有很多障礙需要突破，如果企業(yè)能夠有足夠的毅力和決心來配置這些設(shè)備，最終將獲得豐富的回報。