Den ekstra nivå av analyse NBMD produkter tilbyr kan avdekke vanskelige å oppdage skikk og polymorfe malware, ofte brukt i APT-stil angrep.
Nettverksbasert malware deteksjon (NBMD) fremstår som et alternativ til signaturbaserte endepunkt antimalware programvare. Disse produktene er " alltid på " og er ikke utsatt for teknikkene moderne malware bruker til å beseire og bypass klientbasert sikkerhet. Men distribusjoner er ofte en utfordring. NBMD må være inline å ha størst effekt, men uten nøye tuning, kan det være for aggressiv og forstyrre virksomhetskritiske applikasjoner og forretningsprosesser
I dette tipset, vi vil se på hvordan du distribuerer inline nettverksbasert malware gjenkjenning hell, inkludert beste praksis for å håndtere og justere systemet for å hindre avbrudd i søknaden infrastruktur.
NBMD fordeler
Tradisjonell antimalware deteksjon er basert på leverandør skrevet signaturer: En leverandør vil isolere og undersøke et stykke malware oppdaget i naturen, skriver en signatur som forteller antimalware produktet hva du skal se etter, og deretter distribuere signaturen til kunder av sin antimalware produktet
.
I kontrast NBMD fanger kjente og ukjente malware ved å faktisk gjennomføre noe potensielt mistenkelig fil i en sandboxed miljø for å finne ut om sin oppførsel er mistenkelig eller skadelig. Den ekstra nivå av analyse NBMD produkter tilbyr kan avdekke vanskelige å oppdage skikk og polymorfe malware, som ofte brukes i avanserte vedvarende trussel, eller APT-stil angrep.
Mens en enhet som ligger på omkretsen har lav latency - det trenger ikke å sende filer off for analyse - kontrollere all trafikk og ukjente filer på en travel nettverk er en skikkelig utfordring, selv når ingress og egress punkter har blitt holdt på et minimum. De siste NBMD produkter har reagert på dette problemet ved å flytte hele eller deler av analysen fra on-boksen til i-skyen for å forbedre kostnads, skalerbarhet og nøyaktighet.
En stor fordel for skybaserte NBMD tjenester er at kundene dra nytte analyse av store mengder av malware på tvers av mange kunder. Ved å opptre som et samlingssted for alle fil hasher, indikatorer og testing, er vinduet av eksponering for ny malware redusert fordi det ikke er behov for å distribuere oppdaterte resultater til alle på lokale enheter. Men har måten NBMD er utplassert i nettverket en stor effekt på både sin effektivitet og popularitet med sluttbrukerne.
Distribuere nettverksbasert malware gjenkjenning hell
For å få mest mulig ut av en NBMD produkt, må det bli utplassert inline; som andre sikkerhetsutstyret som er utplassert inline, for eksempel brannmurer og intrusion prevention systems, en NBMD produktet kan felle og stoppe malware før den kommer inn i nettverket. En ut-av-band eller portspeiling distribusjon modellen betyr at det fungerer mer som en typisk skjerm, inspisere trafikk og sende varsler når malware er flekket inn i nettverket. En slik utplassering tilpasser ikke godt på-boks eller i-skyen, fordi administratorer kan oversvømt med varsler, som alle trenger å bli etterforsket og løst raskt nok til å inneholde noen skade. Distribuere NBMD inline gir bedrifter mer fleksibilitet til å varsle og /eller blokk.
Selv blokkerer malware før den kommer inn i nettverket er en positiv, automatisk blokkere enhver mistenkelig fil fra å komme inn i nettverket har sine ulemper også. Falske positiver kan potensielt bryte kritiske applikasjoner og forstyrre brukeren arbeidsflyt. Den eneste måten å smidig overgang til inline deteksjon, og fra varsling til blokkering, er å tilbringe tid sakte stramme regler for å utrydde problemer forårsaket av falske positiver. Organisasjoner bør være svært skeptisk til leverandørens påstander om selvlæringssystemer; dessverre, det er ingen snarvei rundt møysommelig oppgave å definere politikk og finjustering dem over tid før de virker.
I utgangspunktet organisasjoner kan sette NBMD enheten til å blokkere kun filer som er kjent for å være skadelig, mens å sende varsler for noen filer der det er et element av usikkerhet, slik at nok ressurser er tilgjengelige for å håndtere den ekstra arbeidsmengden dette vil generere. Når det er klart visse filtyper ikke bryte noen prosesser eller programmer, kan de fjernes fra varsling krav og bli blokkert direkte. I løpet av denne perioden, sjekke loggen over kritiske applikasjoner regelmessig for å fange feilmeldinger, noe som kan gi tegn til viktige filer blir blokkert eller forsinket. Advare Support Desk at brukerne kan oppleve forsinkelser eller forstyrrelser i vanlige arbeidsflyter og at de skal få tilbakemelding på brukerproblemer, da denne prosessen vil bidra med regeldefinisjoner.
NBMD kan også brukes til å identifisere en rekke andre enterprise trusler, inkludert egress nettverkstrafikk som kan være skadelig - for eksempel, mønstre typisk for kommunikasjon mellom en kompromittert enheten og en angripers kommando- og kontrollsenter. Ved at bare visse programmer å sende data ut av nettverket basert på indikatorer som protokoller, destinasjon, tid, filtype og innholdet i pakkene, kan bedrifter hindre utsatte enheter fra å sende data ut av nettverket, og dermed muligens forhindre et brudd.
Selv med et godt avstemt NBMD produkt på plass, men er noen tradisjonell antimalware beskyttelse på endepunktene fortsatt nødvendig for å sikre beskyttelse, uavhengig av om enheten er på bedriftens nettverk.
Fremover med NBMD
I kampen om å supplere og eventuelt erstatte tradisjonelle antimalware-programmer, nettverksbaserte malware deteksjon produkter representerer en attraktiv mulighet for mange bedrifter sliter med å håndtere avanserte trusler. Selv om det er mange hindringer som må hoppet under en NBMD distribusjon, organisasjoner som viser nok utholdenhet og vilje til å justere disse enhetene kan høste rikelig belønning
Fra redaksjonen:. Flere på Sandboxing
Sandboxing spiller en avgjørende rolle i nettverksbasert malware oppdagelse og andre avanserte malware gjenkjenning produkter. Resident nettverk sikkerhetsekspert Brad Casey detaljert sandboxing mye i en teknisk spiss, inkludert positive til å ta en slik tilnærming til malware oppdagelse og begrensningene teknologien
Om forfatteren:
Michael Cobb, CISSP-ISSAP, er en anerkjent sikkerhets forfatter med mer enn 15 års erfaring fra IT-bransjen og en annen 16 års erfaring innen finans. Han er grunnlegger og administrerende direktør i spindelvev Applications Ltd., et konsulentselskap som hjelper bedrifter å sikre sine nettverk og nettsteder og oppnå ISO 27001 sertifisering. Han er medforfatter av boken
IIS Sikkerhet og har skrevet en rekke tekniske artikler for ledende IT publikasjoner. Michael er også en Microsoft Certified Database Administrator og Microsoft Certified Professional.