• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      如何改善基于Web的惡意軟件檢測(cè)

      2013-04-16 07:06:26SPYROMALASPINAS
      關(guān)鍵詞:違例防病毒瀏覽器

      近幾年,反惡意軟件雖然還是CISO(首席信息安全官)所關(guān)注的安全問題,但它已經(jīng)逐漸失去了其有效作用。是否把反惡意軟件作為企業(yè)端點(diǎn)保護(hù)項(xiàng)目的組成部分,取決于合規(guī)性及監(jiān)管條例的要求,比如PCI DSS和HIPAA,也取決于反惡意軟件是否包含在安全“最佳”實(shí)踐列表中,還取決于它如何取代近三十年來作為傳統(tǒng)端點(diǎn)安全性首選工具的不確定性

      不管是什么原因,事實(shí)已經(jīng)越來越明顯,攻擊者已經(jīng)成功地研究出可以避免先進(jìn)的反惡意軟件檢測(cè)的惡意軟件,特別是基于Web的惡意軟件防御。

      一些驚人的事實(shí):

      根據(jù)2012年Sophos的報(bào)告,85%的惡意軟件(病毒、蠕蟲、間諜軟件、廣告軟件和木馬)都來自網(wǎng)頁,偷渡式下載被認(rèn)為是最大的網(wǎng)頁威脅。

      Sophos的報(bào)告還顯示,每天有3萬個(gè)網(wǎng)站被感染,80%是被黑客攻擊的合法網(wǎng)站,以至于網(wǎng)絡(luò)罪犯還可以通過使用這些網(wǎng)站來托管惡意代碼。

      內(nèi)容不可知惡意軟件保護(hù)(CAMP)是谷歌公司今年早些時(shí)候內(nèi)置在谷歌瀏覽器內(nèi)的一種惡意軟件檢測(cè)組件,每月可以探測(cè)到超過5百萬個(gè)惡意軟件下載。CAMP可以檢測(cè)到99%的惡意軟件,優(yōu)于四家主要安全廠商基于Web的防病毒產(chǎn)品:McAfee公司的 SiteAdvisor、Symantec 公 司 的 Safe Web、Trend Micro的Site Safety Center和谷歌自己的Safe Browsing。谷歌最近的一項(xiàng)比較調(diào)查顯示,這些產(chǎn)品加起來可以檢測(cè)出它們所遇到惡意代碼的40%,表現(xiàn)最出色的的產(chǎn)品只能檢測(cè)出25%的惡意代碼。

      測(cè)試之后,谷歌的CAMP項(xiàng)目挑選出2200種未知二進(jìn)制文件并提交給 VirusTotal,VirusTotal是一家促進(jìn)創(chuàng)建新發(fā)現(xiàn)惡意代碼防病毒簽名的服務(wù)機(jī)構(gòu)。10天之后,發(fā)現(xiàn)CAMP所檢測(cè)出的99%二進(jìn)制文件,上述防病毒產(chǎn)品只檢測(cè)出了20%。

      目前惡意軟件防御的缺點(diǎn)還沒有造成特別明顯的過失,這些數(shù)據(jù)只是說明基于簽名的反惡意軟件已經(jīng)難以對(duì)付惡意軟件?,F(xiàn)階段,我們已經(jīng)不能信任傳統(tǒng)的防病毒產(chǎn)品可以檢測(cè)惡意軟件。那么如果基于簽名的反惡意軟件工具不合適,那么什么是合適的工具呢?它們真的存在嗎?其實(shí)我認(rèn)為它們存在,帶著一些警告。這也就是我們?cè)谶@篇文章中要討論的問題。

      惡意軟件檢測(cè)替代品

      和所有的安全產(chǎn)品一樣,這個(gè)解決方案也不是一個(gè)完全適用的方法。對(duì)于終端來說,不管是在數(shù)據(jù)中心防火墻內(nèi)還是員工手中自帶設(shè)備,都有很多種工具和方法可以用于實(shí)現(xiàn)一個(gè)更高級(jí)別的安全性。但是根據(jù)每個(gè)組織所面臨的不同挑戰(zhàn),所付出的努力會(huì)不同。

      內(nèi)容過濾:因?yàn)?5%的惡意軟件是通過Web傳輸(配上偷渡式下載成為最大的威脅),這些惡意軟件要求企業(yè)提供更高級(jí)別的內(nèi)容過濾。企業(yè)應(yīng)該廣泛部署兩種關(guān)鍵的防御工具:

      Web代理:提供Web代理的產(chǎn)商不少,而且這種技術(shù)也已經(jīng)存在相當(dāng)長的一段時(shí)間了。像Blue Coat Systems和Websense提供基于訂閱式服務(wù),這樣可以提供基于策略的允許或阻止網(wǎng)站訪問。此外,這些服務(wù)提供情報(bào)和動(dòng)態(tài)更新,以阻止用戶訪問已知的惡意站點(diǎn)。需要說明的是,這些產(chǎn)品不能檢測(cè)零日漏洞,而由于這些產(chǎn)品帶有基于簽名的反惡意軟件,在不良網(wǎng)站識(shí)別和簽名檢測(cè)時(shí)會(huì)有延遲。雖然Web代理可能只是惡意軟件防御裝備中的一個(gè)環(huán)節(jié),但是它們非常重要。

      DNS過濾:Open DNS這樣的工具可以通過黑名單域名,積極地阻止用戶訪問已知的有害網(wǎng)站,這樣用戶就不能瀏覽有害網(wǎng)站。這樣的DNS過濾工具也提供白名單服務(wù)。Open DNS利用數(shù)百萬用戶提供的數(shù)據(jù),來整合出關(guān)于每天檢測(cè)出的3萬個(gè)新站點(diǎn)的更快情報(bào)。DNS過濾實(shí)現(xiàn)方式很簡單,有許多大牌客戶都使用這種服務(wù)作為保護(hù)Web用戶的第一道防線。DNS過濾最明顯的優(yōu)點(diǎn)是,這種服務(wù)并不要求部署昂貴的硬件設(shè)備。

      基于瀏覽器的安全性:Web瀏覽器組件類似于微軟的Smart Screen(IE8及其以上系列產(chǎn)品的一部分功能),這些產(chǎn)品都已經(jīng)有效地過濾用戶想要訪問的惡意網(wǎng)站。據(jù)微軟稱,它們的產(chǎn)品已經(jīng)成功阻止了超過10億的惡意軟件下載。谷歌的CAMP是另一項(xiàng)措施,讓谷歌瀏覽器用戶可以充分利用谷歌關(guān)于惡意站點(diǎn)龐大而動(dòng)態(tài)的知識(shí)庫。

      基于主機(jī)的異常/取證工具:這些工具在市場(chǎng)上越發(fā)成熟,面向公司更珍貴的資產(chǎn)提供顯著的新防御功能,這些資產(chǎn)是:數(shù)據(jù)庫服務(wù)器,財(cái)務(wù)系統(tǒng),郵件服務(wù)器,高級(jí)管理人員和其他高風(fēng)險(xiǎn)用戶系統(tǒng)。從理論上講,代理服務(wù)會(huì)部署在每一個(gè)終端上,并且首先開發(fā)一個(gè)系統(tǒng)正?;顒?dòng)(運(yùn)行的應(yīng)用程序,網(wǎng)絡(luò)連接/開放的分享,內(nèi)存調(diào)用,當(dāng)在監(jiān)控其他事件中套接時(shí)的文件訪問)的基線。一旦基線完成,這些代理就可以繼續(xù)監(jiān)控系統(tǒng),探測(cè)可能是惡意的不規(guī)則活動(dòng)。

      這些產(chǎn)品的一些廠商和其他廠商或服務(wù)提供商合作,如VirusTotal.當(dāng)用戶從網(wǎng)絡(luò),郵件甚至是USB驅(qū)動(dòng)器中下載一個(gè)應(yīng)用程序或二進(jìn)制文件時(shí),為了進(jìn)行自動(dòng)分析,他們會(huì)自動(dòng)上傳可疑或未知的二進(jìn)制文件。

      當(dāng)違規(guī)事件發(fā)生時(shí),這些工具可以提供顯著的優(yōu)勢(shì)。在一個(gè)正常的違例情況下,違例發(fā)生之后,受入侵的系統(tǒng)上會(huì)安裝取證工具。有些工具是由新銳廠商所提供,如Carbon Black。Mandiant和 Guidance Software的Encase工具已經(jīng)預(yù)先安裝并且可以提供一些預(yù)見,如違例發(fā)生之前可能發(fā)生什么,什么會(huì)導(dǎo)致違例和違例的后果會(huì)怎樣。

      虛擬化保護(hù):然而,在過去三年里,通過虛擬化或隔離來實(shí)現(xiàn)安全性的技術(shù)已經(jīng)蓄勢(shì)待發(fā)。這些技術(shù)不依賴于通過簽名或黑名單來檢測(cè)的老本技術(shù)。

      廠商Bromium公司尋求通過虛擬化和隔離,在自己計(jì)算機(jī)的微虛擬機(jī)上隔離每個(gè)進(jìn)程和應(yīng)用程序。這些微虛擬機(jī)上的操作在本地主機(jī)的云信息中進(jìn)行,從而分理出一些進(jìn)程,如Web瀏覽器,辦公套件,電子郵件等相關(guān)進(jìn)程。

      另外,F(xiàn)ireEye公司提供了一個(gè)虛擬化容器,允許安全專家在一個(gè)受控環(huán)境中評(píng)估可疑的惡意軟件,從而不需要考慮外來代碼對(duì)環(huán)境帶來的未知風(fēng)險(xiǎn)。分析師可以重演可疑攻擊,并分析受損的虛擬化系統(tǒng)來評(píng)估和識(shí)別惡意行為,而且還可以利用這些行為在其他系統(tǒng)和網(wǎng)絡(luò)中追蹤相似行為。

      因?yàn)閻阂廛浖诓粩喟l(fā)展,依賴于一個(gè)單一的惡意軟件防御系統(tǒng),或依賴于在較長一段時(shí)間內(nèi)各種防御方法的相同結(jié)合,都是不明智的決定。我們不能想當(dāng)然地認(rèn)為,我們現(xiàn)在用來保護(hù)最寶貴IT資產(chǎn)的工具在五年之后還可以使用。因此,隨著基于簽名的反惡意軟件漸漸退出舞臺(tái),新的技術(shù)慢慢成熟,一定要記住,不停地重新評(píng)估威脅環(huán)境,并作出相應(yīng)的調(diào)整是很關(guān)鍵的。

      猜你喜歡
      違例防病毒瀏覽器
      科學(xué)戴口罩方能防病毒
      中小學(xué)生籃球比賽中違例情況的問題分析與執(zhí)裁要點(diǎn)
      清代補(bǔ)服紋樣使用的違例現(xiàn)象與懲處
      防病毒肺炎
      反瀏覽器指紋追蹤
      電子制作(2019年10期)2019-06-17 11:45:14
      高速公路信息安全系統(tǒng)防病毒和終端管理技術(shù)應(yīng)用
      淺談?dòng)?jì)算機(jī)防病毒軟件的作用機(jī)制
      環(huán)球?yàn)g覽器
      再見,那些年我們嘲笑過的IE瀏覽器
      瀏覽器
      阿尔山市| 海口市| 壶关县| 如东县| 云南省| 上栗县| 晋江市| 松溪县| 仪征市| 额尔古纳市| 阿鲁科尔沁旗| 鸡泽县| 涿州市| 察雅县| 临武县| 安国市| 新巴尔虎右旗| 贵阳市| 茌平县| 吐鲁番市| 团风县| 墨竹工卡县| 荆门市| 六枝特区| 嘉定区| 曲松县| 牡丹江市| 金沙县| 仁寿县| 克什克腾旗| 庄浪县| 阿拉善盟| 乌苏市| 塔河县| 英超| 盱眙县| 象州县| 夹江县| 舒城县| 保山市| 卓资县|