, mange virksomheder er sandsynligt, at sætte spørgsmålstegn ved den værdi, de modtager fra de traditionelle underskrift baseret malware påvisning produkter, måske den mest berømte nylige kritik, der kommer fra new york times, som i januar, viste, det havde været offer for et kina, der er baseret cyberattack kampagne, der var gået den uopdaget i mindst fire måneder, trods den avis er anvendelse af symantec antimalware produkter. for at slå bro over denne kløft malware påvisning, mange i sikkerhedsbranchen har foreslået en paradigmatisk skift fra signatur baseret malware påvisning til nye, mere proaktiv sporingssystem.en ny virksomhed informationssikkerhed varesegment, avancerede malware påvisning produkter, har vist sig at udfylde behovet ved traditionelle - produkter, men kun hvad nye metoder er de med til bordet, der ville garner virksomhed interesse?og kan virksomheder helt fjerne traditionelle - - til fordel for denne nye antimalware race?det er det, vi skal drøfte her i tip.,,,,, sandboxing: en vigtig teknologi i avancerede malware påvisning, før at forske i nye malware påvisningsmetoder, lad os først dække, hvor traditionelle - produkter.,, underskrift på grundlag af malware påvisning paradigme, forskere, konstant er på udkig for ondsindede koder, der ikke har en afsløring underskrift, der er forbundet med det.når de finder en sådan prøve, sikkerhed, forskere, forsøg på at skrive underskrifter, der gør det muligt for antimalware software til at blokere og /eller mindske den nyligt opdagede ondsindede koder.det primære problem ved denne fremgangsmåde er, at den er meget reaktive.nyformulerede ondsindede koder, alt for ofte er ukendte, indtil det er allerede blevet henrettet på mindst ét offer, og der er derfor brug for en mere proaktiv malware påvisning. blandt de igangværende bestræbelser på at erstatte signatur baseret på påvisning, sandboxing teknologi har vist sig at være nøglen til fremtiden for proaktiv malware påvisning.bare læg den, sandboxing er den praksis, hvor indgående netværkstrafik og fjernelse af det til en særskilt virtuelt miljø.når alle data er undersøgt og /eller henrettet i den virtuelle miljø, trafik, er enten sendes til bestemmelsesstedet eller slettes, hvis den anses for at være ondskabsfuld.hvis malware er specielt modbydelig, og systemet administrator, ikke er i stand til at slette den ondsindede koder, administratoren simpelthen sletter hele virtuelle miljø og genopbygger det senere.,,,,, sælger implementeringer, flere sælgere er fremkommet med enestående spinder på avancerede malware detektion, tre i særdeleshed har opnået betydelige marked trækkraft: fireeye inc. damballa inc. og invincea inc.,,,,,,, fireeye,, har nydt godt af en hurtig gevinst i popularitet for nylig, da det var et af de første sælgere til at tilbyde sandkasse teknologier på virksomhedsniveau.dets lokaler - systemet bruger den typiske sandkasse tilgang for at omlede trafikken, undersøge det og så sende det.som e - mail, betragtes som en latensperiode er udsat i form af net, trafik, fireeye teknologi synes at være mere effektive til bekæmpelse af skadelig e - mail og andre typer af typiske web - trafik.bare put, e - mail - vil komme, når det ankommer, så fireeye system virkelig kan tage sin tid i forbindelse med undersøgelsen af de enkelte e - mail - mulighedfor at sin vej.,,,, damballa, som fireeye med speciale i nonsignature baseret malware påvisning.men damballa tilgang tager form af påvisning af botnet eller botnet, som kommunikation.i en typisk botnet, orchestrator såkaldte botnet, mester.skibsføreren giver ondsindede koder til offer maskine, som bliver kommando og kontrol (c & c) knude på grund af sin lette net tilstedeværelse sammen med dets evne til at kommunikere i næsten realtid.hvor damballa teknologi står på spil, er til påvisning af typiske botnet kommunikationsprotokoller, som f.eks. internet - chat - protokol, som er populære hos førere på grund af dens lette net botnet tilstedeværelse sammen med dets evne til at kommunikere i næsten realtid.når denne type protokol, der er et rødt flag, og damballa teknologien udvikler sig i dybtgående kontrol.hvis trafikken, anses for at være forbundet med en bot er meddelelsen straks lukke. endelig, invincea, tog sandboxing koncept og lagt en fascinerende drejning.snarere end at anvende alle indgående trafik i en virtuel operativsystem, invincea blot virtualizes den webbrowser, og når en slutbruger åbner en webbrowser, de er i kontakt med en browser, som sidder i invincea enklave.invincea anfører, at det ved, hvordan den ideelle browser skal udføre i dagligdagen, når dens system opdager uregelmæssigheder i gennemførelsen af browser, dybere undersøgelse foretages.hvis f.eks. en del af indgående trafik kræver, at lave et system til browser til værtslandets operativsystem og invincea finder systemet til at være usædvanligt, en retsmedicinsk undersøgelse er iværksat.hvis kodeksen anses for at være ond, hele omkring miljø, udgår og automatisk genopbygget.denne proces skulle være gennemsigtig for slutbrugeren, og hvis dette er tilfældet, invincea har fundet en ny metode til påvisning af avancerede malware.,,,,, er problemet løst?og, selvfølgelig, betydelige fremskridt har været i arenaen af proaktive malware påvisning.ikke længere er organisationer, er fuldstændig afhængige af antimalware forhandlere at levere rettidig og nøjagtig underskrifter efter et stort angreb er allerede blevet henrettet.,, fra udgiverne: valg af antimalware produkter, er din organisation søger ret antimalware suite?mike rothman of securosis giver en hel vejledning for at købe antimalware produkter, fra vurderingen af tekniske hensyn til spørgsmål til sælgere.,, men virksomhederne skal udvise forsigtighed, før vi beslutter os til at nøjes med et enkelt avancerede malware påvisning produkt.i en række sandkasse - implementeringer, der er blevet lagt vægt på, at potentielt ondsindede koder i en særskilt miljø forud for fremsendelsen af de pakker til bestemmelsesstedet.som malware forfattere bruger mere avancerede metoder til at undgå at fremme udvikling antimalware produkter, mange malware stammer nu bruge en metode kaldet forsinker kode, hvor kode henrettelse er forsinket, og venter på sandboxed miljø til tiden.efter en eksekverbar kode undlader at gøre noget ondskabsfuldt inden for et forud fastsat beløb af tid, mange sandboxed miljøer blot frem koden til bestemmelsesstedet.sælgere arbejder på metoder til at bekæmpe dette problem, men det er en nyttig påmindelse om, at når det kommer til malware påvisning, der er ingen patentløsning,.,, hvis en organisation har truffet beslutning om at købe en antimalware produkt, der bygger på sandboxing, den kloge sikkerhed erhvervsmæssige kan overveje, om fuldstændig afskaffelse af organisationens undertegnelse baseret malware detektionskapaciteten er forsigtige, indtil sandboxing begreb er fuldt udviklede.faktisk sikkerhed administratorer kan overveje at indføre en blandet tilgang, hvor de mere traditionelle underskrift baseret teknologi er placeret på enklave, mens de mere avancerede malware detektionsteknologi er en hoppe eller to bag netværket grænse.hvilken vej er valgt af den sikkerhed, administrator, årvågenhed bør anses for at være afgørende for net angribere konstant intriger og udvikling af metoder til bekæmpelse af selv den mest avancerede sikkerhed sammensætninger.,,, om forfatteren:,, brad casey har et ms - information forsikring fra university of texas i san antonio og har stor erfaring i områder af penetration testning, public key infrastructure, voip og net - pakke analyse.han er også vidende på områder som system, administration, active directory og windows server - 2008.han tilbragte fem år på sikkerhedsvurdering, afprøvning i u.s. air force, og i sin fritid, kan du finde ham kigge på wireshark fanger og leger med forskellige linux distros i fos.,,,