|
高级恶意软件检测的转变
对于安全企业而言,高级恶意软件越来越难检测,这主要“归功于”名为“crypters”和“packers”的自动化在线工具的普及(超过100),以及很多利用社交网络来建立信任的新攻击技术,还有内存攻击和勒索软件。
企业可以利用两种常见技术进行反击。首先,很多企业正在提高其实时全局扫描的能力。(国家安全局并不是唯一监控互联网流量的实体)。McAfee、Norse、FireEye、Palo Alto以及Network Box等供应商都提供这方面的产品和服务。这些安全供应商已经在全世界范围的主要客户或互联网连接点部署了传感器,可以近乎实时地检测零日漏洞。 Palo Alto公司利用其WildFire服务来瞄准和调查威胁,并将威胁信息传输给其客户。McAfee结合了其高级威胁防御设备与其针对端点和服务器的实时软件,以试图更好地捕捉零日攻击。Norse公司提供的软件可以让信用卡公司在几秒钟内通过读卡器来检查信用卡是否已经失密。另外,Network Box的Z-Scan反恶意软件服务则在关键网段部署了数十万探头来检测高级恶意软件和其他异常情况。该公司还增加了十几个反恶意软件扫描器以及3个IPS引擎来检查数据包。 其他公司(例如Verdasys和FireEye)正联手推出集成安全系统。在11月份推出的Verdasys Digital Guardian Connector for FireEye就结合了FireEye公司的检测网络与Verdasys的端点保护。我们期待未来出现更多合作伙伴。 预警系统 另外,还有来自思科、Blue Coat、Bit9和赛门铁克等公司的更先进和综合声誉管理技术。同样地,这些系统在世界各地部署了传感器,但不同的是,它们试图寻找传播恶意软件的特定网络域。虽然声誉服务已经存在好几年,现在的不同在于,这些服务被整合到普通网络防火墙以及IPS服务,使它们可以更好地瞄准恶意软件和异常网络事件。由于这些系统从实际互联网流量收集数据,当新感染开始在全球范围内移动时,它们可以很好地作为预警系统。 思科的安全智能运营中心(Security Intelligence Operations)--根源于SenderBase产品系列,可以用在各种思科设备中,包括其IPS、Web安全设备以及ASA CX防火墙系列。由于思科的覆盖面和市场占用率,这可以作为很好的第一道防线,并发现很多潜在的漏洞利用。 有些防火墙供应商已经更进了一步。这些公司在其自己的专有声誉管理系统中加入了地理围栏,这样他们可以加强其保护,识别发送高级恶意软件的特定域名,以及找出很多漏洞利用的起源地。这意味着你可以利用一系列简单的菜单来拒绝或允许来自特定国家的流量。 但是,即使有了所有这些技术,这仍然是一场不公平的战斗。咨询公司Iron Horse公司总裁Tony Stirk警告说,“没有什么是完美的。坏人想要伤害你,你会犯错误,坏人侵入,事故是不可避免的。考虑到这一点,想象一下,流程如何会出错,对此,你可以开始设计安全程序,让流程变得更加灵活,并部署响应程序以防事情变糟糕。如果你假设你最终会受到攻击,唯一真正的防御是部署可靠的备份和良好的恢复过程。”
责编:王雅京
微信扫一扫实时了解行业动态
微信扫一扫分享本文给好友
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
|
最新专题
|
|