高級惡意軟件防護選購標準
責編:admin |2015-01-26 20:57:35眾所周知,手段高超的攻擊者現在擁有足夠的資源、專業知識和毅力,可能隨時危害任何組織的安全。惡意軟件無處不在。傳統的防御措施(包括防火墻和端點保護)已無法有效地抵御這些攻擊,這意味著惡意軟件的處理過程必須有所發展,能夠快速做出應對。
惡意軟件及其代表的有針對性的持續攻擊十分復雜,并非通過單時間點控制和自我防御型產品就能解決。高級惡意軟件防護(AMP)必須像其所要對抗的惡意軟件一樣無處不在。此類防護必須提供一套綜合的控制措施和一種無間斷的流程,能夠在攻擊前、中、后的整個過程中對這些威脅進行檢測、確認、跟蹤和分析,并做出補救。網絡、終端設備及二者之間所有元素所采取的防御措施必須集成起來,以便應對層出不窮的新攻擊手段。
安全問題還在以難以緩解的勢頭不斷加劇。隨著多態惡意軟件的出現,組織所面臨的新惡意軟件正以每小時過萬的速度增加,攻擊者甚至可以通過非常簡單的惡意軟件工具侵入一臺設備。通過匹配已知惡意軟件簽名來識別文件的黑名單方法已無法趕上這種增長速度,而較新的檢測技術(如沙盒方法)也不能保證 100% 有效。與此同時,網絡犯罪分子也開始越來越多地利用互聯網基礎設施的強大能力來發起攻擊,而不再局限于單個計算機。《思科 2014 年度安全報告》證實了這種攻擊的普遍性:所有受訪的財富 500 強公司都存在進入流向惡意軟件托管網站的流量。將電郵和網絡網關納入保護對象勢在必行。
追溯性安全功能是 Sourcefire(現已成為思科的一員)的獨特優勢,可為對抗高級惡意軟件奠定基礎。此功能可通過持續的大數據分析匯聚不同擴展網絡的數據和事件,從而提供持續的文件跟蹤和分析,確保可對最初被認為安全可靠,但隨后發現存在惡意威脅的文件發出警報并做出補救。
本《高級惡意軟件防護選購標準》確定了在選擇高級惡意軟件防護解決方案時應向供應商詢問的重要問題。本文還將介紹思科的綜合方法(包括大數據分析;綜合安全智能;跨網絡、終端設備、安全網關、虛擬系統和移動設備實施能力;以及獨特的追溯性安全功能)如何有效對抗惡意軟件攻擊的源頭。
運用大數據分析和綜合安全智能來解決惡意軟件問題
在已知惡意軟件呈指數級增長的形勢下,為了更好地服務客戶,傳統端點保護解決方案供應商推出了“云計算輔助防病毒”功能,實質上就是將簽名數據庫遷移到云。這種做法解決了需要每隔五分鐘將數十億病毒簽名分發到每臺終端設備的問題,但是對于不斷發展的可以避開基于簽名的檢測的高級惡意軟件,卻束手無策。
需要詢問高級惡意軟件防護解決方案供應商的問題
1. 你們如何利用大數據進行持續的惡意軟件檢測?
2. 你們如何對惡意軟件進行分析,以確定它的具體作用?
3. 你們的惡意軟件分析如何使檢測功能實現自動更新?
4. 你們如何收集與新出現的惡意軟件威脅相關的情報?
5. 你們如何進行不間斷分析,以實現追溯性惡意軟件檢測?
云計算輔助防病毒模式的另一個局限性在于,攻擊者可以充分利用他們的優勢,即時間和耐心。大多數防惡意軟件技術通常都缺乏持續性和情景感知能力,僅注重在第一次發現文件時進行檢測(即所謂的時間點檢測)。但是,今天看起來不像惡意軟件的文件在明天(或翌日)可能會輕而易舉地轉變為惡意軟件。因此,必須對網絡進行不間斷分析,并能夠根據最新的威脅情報,將文件狀態從無害轉變為惡意。
高級惡意軟件編寫者會想出并使用各種方法,來掩蓋惡意軟件的目的,增加檢測的難度。這些方法包括多態文件(可進行一定程度的更改,騙過簽名引擎)、復雜的下載程序(可從命令與控制 [CnC] 網絡按需獲取惡意軟件),以及自擦除型木馬(可刪除自身組件,使鑒別程序難以發現并分析該惡意軟件)。還有很多例子,這里不一一列舉。由于惡意軟件可能需要更長時間才能從表現上加以判斷,所以我們需要采用新技術,在惡意軟件的整個生命周期中對其進行捕捉和分析,以便了解其用途和去向,并確定初始檢測完成后可能發生的(以及時間點檢測技術可能會忽略的)惡意行為和危害表現。
Sourcefire(現已成為思科的一員)已開發出一種更加全面的新方法,來應對惡意軟件檢測中存在的上述挑戰。憑借由數千家跨國企業組成的龐大客戶群,以及數百萬投入使用的終端設備惡意軟件防護代理,思科每月都會收集到上百萬份惡意軟件樣本數據。思科會在綜合安全智能云中對上萬種軟件的屬性進行分析,區分出惡意軟件和無害軟件。分析內容還包括軟件的網絡流量特征,這有助于識別出搜索 CnC 網絡的惡意軟件。思科還會利用已安裝 AMP 功能的海量在網設備(涵蓋所有 Sourcefire 和思科[1]產品系列),來確s定正常文件和網絡活動的表現(從全球和特定客戶組織內部兩個角度),用于進行比較。
要想檢測出能夠避開傳統檢測策略的惡意軟件,就必須采用更周全的方法。思科使用了可以根據文件的用途(而非表現)來確定惡意軟件的專用模塊,確保能夠檢測出各種新型攻擊(甚至包括零日攻擊)。為了緊跟惡意軟件的變化速度,這些模塊會根據 Sourcefire VRT?(漏洞研究團隊)發現的新攻擊方法自動實時更新。
即使是在文件已通過任何檢測點之后,Sourcefire 綜合安全智能也會繼續發揮其優勢。Sourcefire 的云分析功能會在更長的時間里,根據最新的威脅情報持續對文件進行評估。
最終,上述優勢將共同服務于整個 AMP 社區,確保其能夠在文件性質發生改變時收到警報。這樣一來,所有使用綜合安全智能云的組織都將能在第一時間察覺到惡意文件,真正獲得依托于云的強大功能的“集體免疫”保護。
需要詢問防惡意軟件解決方案供應商的問題
1. 你們用什么方法,來確定惡意軟件在整個網絡中和受侵害設備上的擴散程度?
2. 如果在受到侵害數小時或數日后才檢測到惡意軟件,你們如何確定哪些設備曾接觸過這些惡意軟件?
3. 你們如何處理已成功避過初始檢測的惡意軟件,以及網絡上未被攔截的惡意軟件?
4. 你們如何能針對可疑活動快速進行根本原因分析?
5. 你們有哪些形式的控制措施,用來阻止感染或解決根本原因?
追溯性安全功能:通過不間斷分析,對最初被視為無害或未知,但隨后被確定為惡意的文件發出警報。追溯性安全功能可以確定感染的范圍,加以抑制,最終使一切恢復如初 – 即實現自動的惡意軟件補救。
追溯性安全功能帶您回到過去
攻擊者不會安于一隅。他們會不斷估量現有的安全控制措施,然后調整策略,比各種防御措施搶先一步。實際上,大多數攻擊者在發起攻擊之前,都會用領先的防惡意軟件產品來測試他們的惡意軟件。由于黑名單方法的有效性正在減弱,越來越多的安全公司開始依靠基于虛擬機 (VM) 的動態分析,來研究并對抗惡意軟件。攻擊者也已采用了針鋒相對的策略:對于虛擬機環境,他們或者什么也不做,或者會將攻擊的時間推遲幾個小時(或幾天),使攻擊文件在檢測期內不執行任何惡意活動,從而被誤認為安全無害。當然,在經過默默等待后,他們便會開始危害受害者的設備。不幸的是,這類時間點檢測技術無法再次對文件進行分析。只要某個文件被視為安全無害,無論檢測技術本身有所改進,還是該文件轉而表現出惡意軟件行為,其狀態將一直是“安全無害”。更糟的是,當惡意軟件成功避過檢測后,這類控制措施無法跟蹤惡意軟件在環境中的擴散情況、探明根本原因,或確定潛在的惡意軟件網關(即重復感染惡意軟件,并成為感染擴散源的系統)。
上面只是一個簡單的例子,用來說明惡意軟件編寫者如何比安全公司搶先一步,以及現有防惡意軟件控件的局限性。不過,最好的方法是假定沒有任何一種檢測防御措施能做到 100% 有效,假定您的所有保護僅基于看似可靠的檢測(不僅高估了您保護關鍵資產的能力,而且低估了攻擊者的能力)。因此,組織需要對已被避過的現有防御措施進行規劃:這些措施必須能夠探明感染的范圍和情景,然后快速抑制損害,并全面消除威脅、根本原因和惡意軟件網關。要實現所有這些目標,追溯性安全功能必不可少。
從本質上講,AMP 的 Retrospective Security?(追溯性安全)功能可使組織回到過去,確保無論惡意軟件是在何時最終定性,都能確定曾與其發生接觸的設備。此功能需要跟蹤每一個穿越受保護網絡的文件、查看每個受保護設備上的每一項操作的完整沿襲情況,并將文件在組織中的移動軌跡與它們在系統中的行為進行直觀的映射。
使用傳統防惡意軟件保護時,如果惡意軟件是在其已造成危害之后才被發現,您的選擇通常非常有限。您無法乘時光機回到過去,將該文件攔截在入口,因為它已經進入您的環境,很可能正在大搞破壞。而在這時,大多數防惡意軟件控件都早已停止工作,以至于您無法搞清問題的整體情況,只能不知所措地問:“現在該怎么辦?”
也正是在這種情況下,AMP 的大數據分析能力可以大派用場。利用名為“文件軌跡” (File Trajectory) 的功能,您可以快速準確地確定文件如何進入組織,對惡意軟件進行跟蹤,并立即清除受影響設備中的病毒(而且在很多情況下會自動進行)。更重要的是,由于 AMP 可以跟蹤每個文件的每次使用,所以組織可以找到“病原體”(惡意軟件的第一個受害者)以及所有其他受感染的設備,從而徹底根除感染。眾所周知,在清除惡意軟件后,即使留下一個實例,也極有可能發生再感染。
而且,文件軌跡功能不僅會分析與文件活動相關的信息,還會跟蹤有關文件沿襲、使用、依賴關系、通信和協議的信息,并確定哪些文件會安裝惡意軟件,以幫助對檢測到的惡意軟件或可疑活動進行快速的根本原因分析。在發生攻擊時,安全團隊可以立即從檢測模式切換到控制模式,快速探明感染的規模和根本原因,從而有效阻止進一步感染。
在面對大量檢測事件(尤其是惡意軟件)時,另一個難題是確定哪個事件具有最高的優先級,且必須做出應對。通常,單個事件(即使是在終端設備上攔截到惡意文件)不一定意味著網絡受到侵害。但是,當多個事件(即使是看似無害的活動)一起產生作用時,就會大大提高系統受到侵害的風險,威脅很可能正在迫近或正在發生。
危害指示器 (Indicators of Compromise) 是 AMP 的另一個功能,它能執行更加深入的分析,以發現表現出受侵害癥狀的系統。此功能讓時間點檢測技術望塵莫及。通過在最初檢測到惡意軟件相關活動后,持續對其進行捕捉、分析和關聯,危害指示器可自動完成分析和風險優先級的確定。
最后,當惡意軟件在企業中扎穩腳跟后,它通常會嘗試與 CnC 服務器進行通信;如果惡意軟件是由攻擊者直接控制的,則會開始進行一些偵測活動,悄悄向其預期目標接近。
AMP 會監控受保護終端設備上的通信活動,并與綜合安全智能分析數據進行比較,以確定危害是否已經發生。在必要的情況下,它會阻止該終端設備進行通信,分發惡意軟件。此功能在針對未受企業網絡保護的終端設備(例如遠程或移動員工使用的系統)控制惡意軟件擴散方面,為安全人員提供了獨特的優勢。不僅如此,文件軌跡和危害指示器功能還可以使用已捕獲的網絡活動,幫助加快調查以及危害優先級的確認。
出類拔萃的協同性:在網絡、安全網關、物理和虛擬終端,以及移動設備上全面實施
安全控制不能孤軍奮戰。要抵御高級惡意軟件,就必須在網絡、網關和終端設備的防御措施與跟蹤威脅及補救活動的管理控制臺之間,進行大量的協調。思科提供包含綜合安全智能云、高級網絡分析和多個實施點的集成系統,幫助您的組織確保高級惡意軟件不會乘隙而入。
需要詢問 AMP 供應商的問題
1. 你們能對安全網關和網絡、物理和虛擬終端,以及移動設備上的惡意軟件進行全面的攔截、跟蹤、分析和修復,并確定其根本原因嗎?
2. 你們如何保護游離于受保護網絡之外的設備?
3. 你們如何確定哪些設備已經受到危害?
4. 你們如何確認系統是否正在受到侵害?你們如何進行補救?
5. 你們是否支持使用自定義惡意軟件檢測規則來補救獨特的攻擊?具體方法是什么?
思科豐富的 AMP 功能以網絡為起點,幫助檢測并攔截任何外來的惡意軟件。當每個文件進入(或離開)網絡時,AMP 會生成文件指紋,然后咨詢 Sourcefire FireSIGHT? 中央管理控制臺,以確定該文件是否已被識別為惡意文件。
如果 FireSIGHT 控制臺未曾見過該文件,它會與綜合安全智能云進行核對,快速確定該文件是否曾在綜合安全智能網絡中留下記錄。這種輕量級查找不會造成任何延遲。而且,與在沙盒中運行網絡中的每個文件相比,此方法的可擴展性也大大提升。對于已確定為惡意的文件,FireSIGHT 控制臺會執行文件軌跡功能,來探明受侵害的情景和范圍。
此外,也可以在每臺要保護的設備上部署輕量級的終端惡意軟件防護代理(FireAMP? 連接器),這樣,所有文件活動都可以通過綜合安全智能云進行檢查,識別出那些已知是惡意軟件的文件。FireAMP 連接器的作用不只是查找惡意文件,它還能檢測和阻止設備中的惡意軟件的行為(即使相關文件以前從未見過),以此保護終端不受零日攻擊的威脅。FireAMP 連接器還會使用前面介紹的追溯性安全功能和文件軌跡功能來識別任何感染事件的范圍,并找出需要立即補救的設備。
如果確定文件可疑,AMP 會執行更深入的分析。如前面所述,基于云的分析能準確地確定文件的用途,一旦確定文件可疑,即會建立攻擊簡檔,生成危害表現及其他屬性。您可以使用功能強大的大數據分析功能來搜索這些數據。
利用這些簡檔,AMP 能為組織提供主動防范惡意軟件感染的能力(見圖 2)。如果追溯性安全功能根據另一個環境中發生的事件確定某個文件存在惡意威脅,綜合安全智能云可以將這些確定的信息下發到您組織中的 FireSIGHT 控制臺,以便您在網絡或終端設備攔截這些惡意軟件,并與 AMP 社區中的其他成員一起獲得集體免疫保護。此外,如果本地管理員發現有本地化的攻擊,且需要立即采取措施,組織也可以建立自定義規則來阻止特定文件和 IP 地址。
FireAMP Mobile 連接器也依賴該綜合安全智能云,來實時地快速分析 Android 應用中的潛在威脅。通過將可視性擴展到移動設備,您可以快速了解哪些設備受到感染,以及哪些應用將惡意軟件帶入了系統。當您需要對攻擊造成的影響進行補救時,FireAMP Mobile 中強大的控制功能可幫助您阻止特定應用(加入黑名單),讓您可以限制允許在訪問企業資源的移動設備上使用的應用。FireAMP Virtual 可將同樣的功能和高級惡意軟件防護擴展到 VMware 虛擬實例。
在思科于 2013 年收購 Sourcefire 后,思科電郵和網絡安全網關現在也加入了 AMP 功能,用于增強在這些潛在進入點對高級惡意軟件的檢測與攔截。關鍵的 AMP 功能包括上文所述的文件信譽和文件沙盒。此外,追溯性警報可以對穿越電郵和網絡網關的文件進行不間斷分析,通過來自綜合安全智能云的實時更新隨時獲得最新的威脅等級動態。一旦將某個文件識別為威脅,AMP 將將會對管理員發出警告,讓管理員一目了然地了解哪些人有可能已被感染以及何時被感染。這樣,客戶就可以在攻擊還沒來得及擴散之前,就迅速識別并處理掉它們。
如我們之前所述,惡意軟件能從移動設備、甚至虛擬系統開始,穿過安全網關和網絡,進入組織內部,直達終端設備。擁有對整個組織中所有活動的全面可視性非常重要。通過使用全球安全智能網絡,并獲得對網關、網絡、終端設備、移動設備和虛擬系統進行感染檢測、攔截、跟蹤、調查和補救的能力,組織可以消除其他安全控制措施由于覆蓋范圍有限所導致的盲點。
高級惡意軟件防護實例
要了解集成高級惡意軟件防護的功能,最好的辦法就是了解它如何在 Java 零日攻擊公開宣布的整整兩天之前就將其檢測出來。在本實例中,一位查看 FireAMP 控制臺(終端設備、移動設備和虛擬連接器的管理控制臺)的客戶在一些設備上檢測到一些奇怪的活動,看起來像惡意軟件的行為方式。這位客戶通過綜合安全智能云對相關文件進行分析,并獲得了明確的確認:的確存在惡意軟件。
接下來需要確定攻擊所涉范圍并盡快進行清理。該客戶使用了 FireAMP 軌跡功能來查找曾接觸過相關文件或曾表現出攻擊行為方式的設備。受影響設備清理完畢后,該客戶立即建立了自定義規則來阻止這些文件和相關的惡意軟件危害表現。
不過,客戶只會在短期內需要這些自定義規則,因為這些文件和危害表現被添加到大數據分析引擎后,每位 AMP 客戶都能從隨之形成的集體免疫保護中獲益。當他們自己的環境中出現同樣的攻擊時,他們會得到警報。由此,整個 AMP 客戶群都可以提前得到保護,甚至早于零日攻擊的公開宣布。
小結
盡管業內都知道需要創新性的解決方案才能檢測和補救高級惡意軟件攻擊,但無論采用的是傳統的終端保護套件,還是新的“銀色要點”防御,太多的組織仍然大意地將全部努力都放在檢測上。這樣必然會導致問題,業內也在不斷地曝出關于數據丟失或泄露的重大新聞。
要想有機會有效抵御最新的攻擊,解決方案必須采用大數據分析功能來跟蹤在整個網絡中、在物理和虛擬環境中,以及在受保護終端和移動設備上的文件交互和活動。許多攻擊在傳統檢測方式工作期間會保持靜止狀態,客戶需要有能力回顧歷史記錄,并以追溯方式將判斷結果更改為“惡意”,然后跟蹤這些文件在組織中的軌跡和表現,才能更有效地遏制和補救這些高級攻擊所造成的損害。
最后,高級惡意軟件防護必須密切關注的不僅僅是受保護的終端設備,還應該包括網絡、移動設備和虛擬系統,這樣才能提供一致的防護水平。沒有人能預測下一輪攻擊的目標會是什么。
高級惡意軟件防護的好處包括:
可以使用一致的策略靈活部署到多個位置,包括終端設備、網絡、安全網關、移動設備和虛擬系統
利用綜合安全智能云的優勢識別并分析新出現的攻擊方式,甚至趕在業內人士發現它之前
能夠追溯識別惡意軟件,并利用文件軌跡功能,在惡意軟件擴散之前即找到您組織中的所有相關實例
可以加入 AMP 社區,獲得來自 Sourcefire VRT 的前沿研究成果,以及部署在全球數千客戶環境中的無數終端惡意軟件防護代理所收集的文件樣本,借此獲得集體免疫保護優勢。