如何改善基于Web的惡意軟件檢測(cè)

近幾年，反惡意軟件雖然還是CISO（首席信息安全官）所關(guān)注的安全問題，但它已經(jīng)逐漸失去了其有效作用。是否把反惡意軟件作為企業(yè)端點(diǎn)保護(hù)項(xiàng)目的組成部分，取決于合規(guī)性及監(jiān)管條例的要求，比如PCI DSS和HIPAA，也取決于反惡意軟件是否包含在安全“最佳”實(shí)踐列表中，還取決于它如何取代近三十年來作為傳統(tǒng)端點(diǎn)安全性首選工具的不確定性

不管是什么原因，事實(shí)已經(jīng)越來越明顯，攻擊者已經(jīng)成功地研究出可以避免先進(jìn)的反惡意軟件檢測(cè)的惡意軟件，特別是基于Web的惡意軟件防御。

一些驚人的事實(shí)：

根據(jù)2012年Sophos的報(bào)告，85%的惡意軟件（病毒、蠕蟲、間諜軟件、廣告軟件和木馬）都來自網(wǎng)頁，偷渡式下載被認(rèn)為是最大的網(wǎng)頁威脅。

Sophos的報(bào)告還顯示，每天有3萬個(gè)網(wǎng)站被感染，80%是被黑客攻擊的合法網(wǎng)站，以至于網(wǎng)絡(luò)罪犯還可以通過使用這些網(wǎng)站來托管惡意代碼。

內(nèi)容不可知惡意軟件保護(hù)（CAMP）是谷歌公司今年早些時(shí)候內(nèi)置在谷歌瀏覽器內(nèi)的一種惡意軟件檢測(cè)組件，每月可以探測(cè)到超過5百萬個(gè)惡意軟件下載。CAMP可以檢測(cè)到99%的惡意軟件，優(yōu)于四家主要安全廠商基于Web的防病毒產(chǎn)品：McAfee公司的 SiteAdvisor、Symantec 公 司 的 Safe Web、Trend Micro的Site Safety Center和谷歌自己的Safe Browsing。谷歌最近的一項(xiàng)比較調(diào)查顯示，這些產(chǎn)品加起來可以檢測(cè)出它們所遇到惡意代碼的40%，表現(xiàn)最出色的的產(chǎn)品只能檢測(cè)出25%的惡意代碼。

測(cè)試之后，谷歌的CAMP項(xiàng)目挑選出2200種未知二進(jìn)制文件并提交給 VirusTotal，VirusTotal是一家促進(jìn)創(chuàng)建新發(fā)現(xiàn)惡意代碼防病毒簽名的服務(wù)機(jī)構(gòu)。10天之后，發(fā)現(xiàn)CAMP所檢測(cè)出的99%二進(jìn)制文件，上述防病毒產(chǎn)品只檢測(cè)出了20%。

目前惡意軟件防御的缺點(diǎn)還沒有造成特別明顯的過失，這些數(shù)據(jù)只是說明基于簽名的反惡意軟件已經(jīng)難以對(duì)付惡意軟件?，F(xiàn)階段，我們已經(jīng)不能信任傳統(tǒng)的防病毒產(chǎn)品可以檢測(cè)惡意軟件。那么如果基于簽名的反惡意軟件工具不合適，那么什么是合適的工具呢？它們真的存在嗎？其實(shí)我認(rèn)為它們存在，帶著一些警告。這也就是我們?cè)谶@篇文章中要討論的問題。

惡意軟件檢測(cè)替代品

和所有的安全產(chǎn)品一樣，這個(gè)解決方案也不是一個(gè)完全適用的方法。對(duì)于終端來說，不管是在數(shù)據(jù)中心防火墻內(nèi)還是員工手中自帶設(shè)備，都有很多種工具和方法可以用于實(shí)現(xiàn)一個(gè)更高級(jí)別的安全性。但是根據(jù)每個(gè)組織所面臨的不同挑戰(zhàn)，所付出的努力會(huì)不同。

內(nèi)容過濾：因?yàn)?5%的惡意軟件是通過Web傳輸（配上偷渡式下載成為最大的威脅），這些惡意軟件要求企業(yè)提供更高級(jí)別的內(nèi)容過濾。企業(yè)應(yīng)該廣泛部署兩種關(guān)鍵的防御工具：

Web代理：提供Web代理的產(chǎn)商不少，而且這種技術(shù)也已經(jīng)存在相當(dāng)長的一段時(shí)間了。像Blue Coat Systems和Websense提供基于訂閱式服務(wù)，這樣可以提供基于策略的允許或阻止網(wǎng)站訪問。此外，這些服務(wù)提供情報(bào)和動(dòng)態(tài)更新，以阻止用戶訪問已知的惡意站點(diǎn)。需要說明的是，這些產(chǎn)品不能檢測(cè)零日漏洞，而由于這些產(chǎn)品帶有基于簽名的反惡意軟件，在不良網(wǎng)站識(shí)別和簽名檢測(cè)時(shí)會(huì)有延遲。雖然Web代理可能只是惡意軟件防御裝備中的一個(gè)環(huán)節(jié)，但是它們非常重要。

DNS過濾：Open DNS這樣的工具可以通過黑名單域名，積極地阻止用戶訪問已知的有害網(wǎng)站，這樣用戶就不能瀏覽有害網(wǎng)站。這樣的DNS過濾工具也提供白名單服務(wù)。Open DNS利用數(shù)百萬用戶提供的數(shù)據(jù)，來整合出關(guān)于每天檢測(cè)出的3萬個(gè)新站點(diǎn)的更快情報(bào)。DNS過濾實(shí)現(xiàn)方式很簡單，有許多大牌客戶都使用這種服務(wù)作為保護(hù)Web用戶的第一道防線。DNS過濾最明顯的優(yōu)點(diǎn)是，這種服務(wù)并不要求部署昂貴的硬件設(shè)備。

基于瀏覽器的安全性：Web瀏覽器組件類似于微軟的Smart Screen(IE8及其以上系列產(chǎn)品的一部分功能)，這些產(chǎn)品都已經(jīng)有效地過濾用戶想要訪問的惡意網(wǎng)站。據(jù)微軟稱，它們的產(chǎn)品已經(jīng)成功阻止了超過10億的惡意軟件下載。谷歌的CAMP是另一項(xiàng)措施，讓谷歌瀏覽器用戶可以充分利用谷歌關(guān)于惡意站點(diǎn)龐大而動(dòng)態(tài)的知識(shí)庫。

基于主機(jī)的異常/取證工具：這些工具在市場(chǎng)上越發(fā)成熟，面向公司更珍貴的資產(chǎn)提供顯著的新防御功能，這些資產(chǎn)是：數(shù)據(jù)庫服務(wù)器，財(cái)務(wù)系統(tǒng)，郵件服務(wù)器，高級(jí)管理人員和其他高風(fēng)險(xiǎn)用戶系統(tǒng)。從理論上講，代理服務(wù)會(huì)部署在每一個(gè)終端上，并且首先開發(fā)一個(gè)系統(tǒng)正?；顒?dòng)(運(yùn)行的應(yīng)用程序，網(wǎng)絡(luò)連接/開放的分享，內(nèi)存調(diào)用，當(dāng)在監(jiān)控其他事件中套接時(shí)的文件訪問)的基線。一旦基線完成，這些代理就可以繼續(xù)監(jiān)控系統(tǒng)，探測(cè)可能是惡意的不規(guī)則活動(dòng)。

這些產(chǎn)品的一些廠商和其他廠商或服務(wù)提供商合作，如VirusTotal.當(dāng)用戶從網(wǎng)絡(luò)，郵件甚至是USB驅(qū)動(dòng)器中下載一個(gè)應(yīng)用程序或二進(jìn)制文件時(shí)，為了進(jìn)行自動(dòng)分析，他們會(huì)自動(dòng)上傳可疑或未知的二進(jìn)制文件。

當(dāng)違規(guī)事件發(fā)生時(shí)，這些工具可以提供顯著的優(yōu)勢(shì)。在一個(gè)正常的違例情況下，違例發(fā)生之后，受入侵的系統(tǒng)上會(huì)安裝取證工具。有些工具是由新銳廠商所提供，如Carbon Black。Mandiant和 Guidance Software的Encase工具已經(jīng)預(yù)先安裝并且可以提供一些預(yù)見，如違例發(fā)生之前可能發(fā)生什么，什么會(huì)導(dǎo)致違例和違例的后果會(huì)怎樣。

虛擬化保護(hù)：然而，在過去三年里，通過虛擬化或隔離來實(shí)現(xiàn)安全性的技術(shù)已經(jīng)蓄勢(shì)待發(fā)。這些技術(shù)不依賴于通過簽名或黑名單來檢測(cè)的老本技術(shù)。

廠商Bromium公司尋求通過虛擬化和隔離，在自己計(jì)算機(jī)的微虛擬機(jī)上隔離每個(gè)進(jìn)程和應(yīng)用程序。這些微虛擬機(jī)上的操作在本地主機(jī)的云信息中進(jìn)行，從而分理出一些進(jìn)程，如Web瀏覽器，辦公套件，電子郵件等相關(guān)進(jìn)程。

另外，F(xiàn)ireEye公司提供了一個(gè)虛擬化容器，允許安全專家在一個(gè)受控環(huán)境中評(píng)估可疑的惡意軟件，從而不需要考慮外來代碼對(duì)環(huán)境帶來的未知風(fēng)險(xiǎn)。分析師可以重演可疑攻擊，并分析受損的虛擬化系統(tǒng)來評(píng)估和識(shí)別惡意行為，而且還可以利用這些行為在其他系統(tǒng)和網(wǎng)絡(luò)中追蹤相似行為。

因?yàn)閻阂廛浖诓粩喟l(fā)展，依賴于一個(gè)單一的惡意軟件防御系統(tǒng)，或依賴于在較長一段時(shí)間內(nèi)各種防御方法的相同結(jié)合，都是不明智的決定。我們不能想當(dāng)然地認(rèn)為，我們現(xiàn)在用來保護(hù)最寶貴IT資產(chǎn)的工具在五年之后還可以使用。因此，隨著基于簽名的反惡意軟件漸漸退出舞臺(tái)，新的技術(shù)慢慢成熟，一定要記住，不停地重新評(píng)估威脅環(huán)境，并作出相應(yīng)的調(diào)整是很關(guān)鍵的。