1. Location:
  2. / Computer learning >> Datamaskin læring >> cyber security >> skadelig programvare >>

Malware forsvar revisited: Hvordan forbedre Web-baserte malware detection

Den øverste resultater antivirusprodukt var bare i stand til å oppdage 25% av skadelig kode

Uansett årsak, er det stadig mer klart at motstandere. har vært vellykket i å lage malware å unngå å bli oppdaget av de ledende antimalware produkter, spesielt webbaserte malware forsvar

Noen svimlende fakta.
Ifølge en 2 012 Sophos Ltd. rapport, 85% av all malware ( virus, ormer, spyware, adware og trojanere) kommer fra Internett; drive-by downloads anses den største Web trusselen
Sophos rapporterer også at 30.000 nettsteder er infisert daglig.; 80% er legitime nettsteder som har blitt hacket, slik at nettkriminelle kan bruke dem til å være vert for skadelig kode.
Content Agnostic Malware Protection (CAMP), en malware-deteksjon komponent som Google Inc. bygget inn sin Chrome nettleser tidligere i år var stand til å oppdage mer enn 5 millioner malware nedlastinger per måned. CAMP var i stand til å oppdage malware med en hastighet på 99%, noe som desimert fire ledende sikkerhetsleverandørene 'web-baserte antivirus-produkter: McAfee Inc. Siteadvisor, Symantec Corp. Safe Web, Trend Micros Site Safety senter og Googles egen Safe Browsing. I en fersk sammenligning utført av Google, kollektivt disse produktene var i stand til å oppdage 40% av den skadelige koden de møtt; topp-resultater produkt var bare i stand til å oppdage 25% av skadelig kode.
Etter testen, Googles CAMP Prosjekt valgte 2.200 tidligere ukjente binærfiler og sendt dem til Virustotal, en tjeneste som forenkler opprettelsen av antivirussignaturene for nyoppdagede ondsinnet kode. Etter 10 dager ble 99% av binærfiler oppdaget av CAMP oppdaget av bare 20% av antivirusprodukter som er nevnt ovenfor.

I tilfelle Malware Defense manglene ikke var allerede smertelig åpenbart, disse datapunktene illustrere hvor utilstrekkelig signaturbaserte antimalware produkter har blitt. Tradisjonelle AV-produkter kan ikke lenger være klarert for å oppdage malware, punktum. Likevel, hvis signaturbasert antimalware er feil verktøy, hva er de riktige verktøyene? Har de selv eksisterer? Jeg sier de gjør, med noen ting. Det er det vi vil diskutere i dette tipset.
malware oppdagelsen alternativer

Som alle sikkerhets pickles, er løsningen ikke en one-size-fits-all tilnærming. Det finnes en rekke verktøy og metoder som kan brukes sammen for å oppnå en mye høyere grad av sikkerhet for endepunktene, både innenfor datasenter vegger og i hendene på ansatte. Men kjørelengde kan variere basert på de unike utfordringer hver organisasjon står overfor
Innholdsfiltrering:.
Siden 85% av all malware er distribuert via nettet (med drive-by downloads å være den største trusselen) den bare gjør fornuftig å gi noen grad av innholdsfiltrering i din bedrift. Det er to viktige typer defensive verktøy som bør utbredte:
Web proxyer:
rekke leverandører her er i den doble sifre, og teknologien har eksistert i ganske lang tid. Selskaper som Blue Coat Systems Inc. og Websense Inc. tilbyr abonnementsbaserte tjenester hvor områder kan tillates eller blokkeres basert på politikk. I tillegg disse tjenestene gir intelligens og dynamiske oppdateringer for å hindre brukere fra å besøke kjente ondsinnede nettsteder. Det forbeholdet her er at disse produktene ikke er i stand til å oppdage zero-day exploits, og som med signaturbaserte antimalware, vil det være forsinkelser i å få de dårlige nettsteder identifisert og signaturer skjøvet ut. Mens web-proxyer kan være bare en link i din malware forsvar rustning, de er en viktig en
DNS filtrering.
Verktøy som Open DNS aktivt hindre brukere fra å besøke kjente skadelige nettsider ved svartelistet domener slik at en bruker kan ikke engang bla til dem. Det tilbyr også en hvitlisting service. Åpne DNS-brukere dra nytte av millioner av brukere som samarbeider for å gi raskere etterretning om de estimerte 30.000 nye nettsider som er infisert med malware hver dag. Implementering er grei, og det er en rekke store navn klienter som bruker denne tjenesten som en første forsvarslinje i å beskytte nettbrukere. Den beste delen? Disse tjenestene krever ikke on-lokaler apparater av dyr maskinvare

Nettleser-basert sikkerhet.
Nettleser komponenter som ligner på Microsofts Smart Screen (en del av Internet Explorer 8 og nyere) har vært effektiv i å filtrere brukere fra å besøke ondsinnede nettsteder. Ifølge Microsoft, har produktet sitt blokkert over 1 milliard forsøkt nedlasting av ondsinnet kode til dags dato. Google CAMP er et annet initiativ som gjør at Google Chrome-brukere å dra nytte av Googles enorme og dynamisk kunnskapsbase om ondsinnede nettsteder.

Vertsbaserte anomali /rettsmedisinske verktøy:
Disse er fortsatt modning i markedet, men gir betydelige nye defensive evner rettet mot de mer verdifulle eiendeler i et selskap: databaseservere, finanssystemer, e-post servere, og ledere 'og andre høyrisiko brukernes systemer. I teorien sitter en agent på hvert endepunkt, og vil først utvikle et utgangspunkt på et systemets normale aktiviteter (programmer kjører, nettverkstilkoblinger /aksjer åpnet, minne samtaler, og filer åpnes mens overvåking åpne kontakter blant annet). Når en baseline er fullført, disse agentene fortsetter deretter å overvåke systemet, på jakt etter uregelmessig aktivitet som kan være skadelig.

Noen av disse produktleverandører har inngått samarbeid med andre leverandører og tjenesteytere, som Virustotal. De vil automatisk laste opp mistenkelige eller ukjente binærfiler for analyse automatisk når en bruker laster ned et program eller binær fra Internett, e-post eller til og med en USB-stasjon.

Verktøyene kan også gi betydelige fordeler i tilfelle et brudd . I en normal brudd situasjon, er rettsmedisinske verktøy installert på kompromitterte systemer etter bruddet. Noen av verktøysettene som tilbys av cutting-edge leverandører som Carbon Black, Mandiant og Guidance Software Encase er forhåndsinstallert og tilby innsyn i hva som kan ha skjedd før bruddet, hva som førte til bruddet, og det som skjedde som et resultat av brudd

virtualiserings beskyttelse.
Enda en teknologi som har vært å få fart i løpet av de siste tre årene er sikkerhet gjennom virtualisering eller isolasjon. Disse teknologiene ikke hvile på sine laurbær av reaktiv deteksjon gjennom signaturer eller svartelister.

Gjennom virtualisering og isolasjon, søker selger BROMIUM Inc. å isolere hver prosess og program på en datamaskin på toppen av sitt eget mikro virtuell maskin. Disse mikro VMs operere i et skydannelse på den lokale verten, og dermed skille ut prosesser som de som er forbundet med nettlesere, kontorprogrammer, e-post og så videre.
Mer om malware forsvars

Custom malware angrep trenger nye forsvars tilnærming

Source oppdaterer malware deteksjon og analyse

Beskytte et nettsted fra malware omdirigeringer

Alternativt FireEye Inc. tilbyr et virtualiserings container som gjør at fagfolk til å vurdere mistenkt malware i et kontrollert miljø, og dermed gir for analyse uten å utsette resten av miljøet for de ukjente risikoen for fremmed kode. Analytikere kan spille mistenkte angrep og analysere kompromitterte virtualiserte systemer med malware-kode for å benchmark og identifisere ondsinnet atferd som kan brukes til å fingeravtrykk lignende oppførsel på tvers av andre systemer og nettverk.

Fordi malware er i stadig utvikling, som stolte på en enestående malware forsvarssystem eller til og med den samme kombinasjon av forsvar for en lengre periode er ofte et dum valg. Vi kan ikke anta at de verktøyene vi brukte for å beskytte våre mest dyrebare IT-ressurser i dag kan brukes fem år fra nå. Så som overgangen fra signaturbaserte antimalware og mot disse nye teknikkene begynner, husk at det er viktig å revurdere den trusselsituasjonen fortløpende, og foreta justeringer deretter.