Mange virksomheter er sannsynlig avhør verdien de får fra tradisjonelle signaturbaserte malware deteksjon produkter, med kanskje den mest berømte siste kritikken kommer fra The New York Times
, som i januar avslørte det hadde vært utsatt for en Kina-baserte cyberattack kampanje som hadde gått på ubemerket i minst fire måneder til tross for avisens bruk av Symantec antimalware-produkter.
å bygge bro dette malware-deteksjon gap , mange innen sikkerhetsbransjen har foreslått et paradigmatisk skifte fra signatur-basert gjenkjenning malware til nye, mer proaktiv deteksjonssystemer. En ny bedriftsinformasjon sikkerhet produktsegment, avanserte malware deteksjon produkter, har dukket opp for å fylle behovet igjen av tradisjonelle antivirus-produkter, men akkurat hvilke nye metoder de bringer til bordet som ville samle virksomheten interesse? Og kan bedrifter helt fell tradisjonelle antivirus i favør av denne nye antimalware rase? Det er det vi vil diskutere i dette tipset
Sandboxing. En sentral teknologi i avansert malware gjenkjenning
Før hulene i nye malware gjenkjenning metoder, la oss først dekke hvordan tradisjonelle antivirusprodukter arbeid i signaturbaserte malware gjenkjenning paradigme, forskere er stadig på utkikk etter ondsinnet kode som ikke har en deteksjons signatur knyttet til den. Når de finner en slik prøve, forsøke sikkerhetsforskere å skrive signaturer som tillater antimalware programvare for å blokkere og /eller redusere den nyoppdagede skadelig kode. Det primære problem med denne tilnærmingen er at det er smertelig reaktiv. Nylig formulert ondsinnet kode alt for ofte går uoppdaget inntil det har allerede blitt henrettet mot minst ett offer, derav behovet for mer proaktiv deteksjon malware. Blant den pågående innsats for å erstatte signatur-basert gjenkjenning, sandkasse-teknologi har dukket opp som nøkkelen til fremtiden for proaktiv deteksjon malware. Enkelt sagt, er Sandboxing praksisen med å ta innkommende nettverkstrafikk og avlede det mot et eget virtuelt miljø. Når hver datapakke er undersøkt og /eller henrettet i det virtuelle miljøet, er trafikken enten videresendt til sin tiltenkte destinasjon eller slettes dersom det anses skadelig. Hvis malware er meget stygg og systemansvarlig er i stand til å slette ondsinnet kode, administrator sletter bare hele virtuelle miljøet og gjenoppbygger det senere. Flere leverandører har kommet med unike spinn på avansert testing av malware; tre spesielt har fått betydelig markeds trekkraft: FireEye Inc., Damballa Inc. og Invincea Inc. FireEye Damballa, Til slutt, Invincea Selvfølgelig betydelige fremskritt har blitt gjort i arena for proaktiv deteksjon malware. Ikke lenger er organisasjoner helt avhengige av antimalware leverandører for å sørge for rettidig og korrekt signaturer etter et stort angrep har allerede blitt henrettet Er din organisasjon på jakt etter den rette antimalware suite? Mike Rothman av Securosis gir en hel guide for å kjøpe antimalware produkter, fra vurdering av tekniske hensyn til spørsmål til leverandører. Men bedrifter bør utvise forsiktighet før de bestemmer seg for å stole utelukkende på en enkelt avansert malware gjenkjenning produktet. I en rekke sandkasse implementeringer, er lagt vekt på å kjøre potensielt skadelig kode i et eget miljø før videresending pakkene til mottakeren. Som malware forfattere bruker mer avanserte utviklingsmetoder for å unnvike avanserte antimalware produkter, mange stammer malware nå bruke en teknikk som kalles drøye kode som kode er forsinket og venter på at sandboxed miljø til annen ut. Etter kjørbar kode unnlater å gjøre noe skadelig i en forhåndsbestemt tid, mange sandboxed miljøer bare videresende koden til sin tiltenkte destinasjon. Leverandører jobber med måter å bekjempe dette problemet, men det er en nyttig påminnelse om at når det gjelder skadelig programvare, er det ingen mirakelkur. Derfor, hvis en organisasjon har gjort beslutningen om å kjøpe en antimalware produkt som er avhengig på sandboxing, kan de vise sikkerhet profesjonell vurdere om helt opphugging organisasjonens signaturbaserte malware gjenkjenning evner er forsvarlig til sandboxing konseptet har fullt modnet. Faktisk kan sikkerhet administratorer vurdere å gjennomføre en hybrid tilnærming der mer tradisjonell signaturbasert teknologi er plassert på enklaven, mens de mer avanserte malware oppdagelsen teknologien ligger et hopp eller to bak nettverket grensen. Uansett hvilken vei er valgt av sikkerhetsansvarlig, bør årvåkenhet anses avgjørende som nettverks angripere stadig scheming og utvikle metoder for å bekjempe selv de mest avanserte sikkerhetskonfigurasjoner Om forfatteren:.
Vendor implementeringer
har hatt en rask gevinst i popularitet nylig som det var en av de første leverandørene å tilby sandkasse teknologier på bedriftsnivå. Dens lokale systemet bruker den typiske sandbox tilnærming av omdirigering av trafikken, undersøke den og deretter videresende den. Som e-post er ansett som en ventetid utsatt form av nettverkstrafikk, synes FireEye teknologi for å være mer effektiv i kampen mot ondsinnet e-post, andre typer typiske Internett-trafikk. Enkelt sagt, vil epost komme dit når det blir der, så FireEye systemet kan virkelig ta sin tid i å undersøke hver e-post som går gjennom sin vei.
som FireEye, spesialiserer seg på nonsignature-basert gjenkjenning malware. Men tar Damballa tilnærming i form av å oppdage botnet eller botnet-lignende kommunikasjon. I en typisk botnet er orchestrator kjent som botnet mester. Hoved injiserer ondsinnet kode i et offerets maskin, som blir kommando og kontroll (C &C) node på grunn av sin lette nettverk tilstedeværelse sammen med sin evne til å kommunisere i nær sanntid. Hvor Damballa teknologi kommer inn i bildet er i påvisning av typiske botnet kommunikasjonsprotokoller, for eksempel Internet Relay Chat-protokollen, som er populær blant botnet mestere på grunn av sin lette nettverk tilstedeværelse sammen med sin evne til å kommunisere i nær sanntid. Når denne typen protokollen blir oppdaget, er et rødt flagg hevet og Damballa teknologi beveger seg i for dypere inspeksjon. Hvis trafikken anses å være forbundet med en bot, blir kommunikasjonen umiddelbart stengt ned.
tok sandkasse konseptet og plassert en fascinerende vri på den. Snarere enn å avlede all innkommende trafikk til et virtuelt operativsystem, Invincea bare virtualizes nettleseren, og når en sluttbruker åpner en nettleser, er de faktisk i samspill med en nettleser som sitter inne i Invincea enklaven. Invincea hevder at den vet hvordan den ideelle nettleseren skal utføre på en dag-til-dag basis, så når det er systemet oppdager uregelmessigheter i utførelsen av nettleseren, er dypere inspeksjon utført. For eksempel, hvis en del av inngående trafikk krever at leseren lage et system anrop til vertssystemet og Invincea anser systemet samtalen for å være uvanlig, blir en rettsmedisinske inspeksjon igangsatt. Hvis koden betraktes som skadelig, er hele nettlesermiljø slettet og automatisk gjenoppbygd. Denne prosessen er visstnok transparent for sluttbrukeren, og hvis dette virkelig er tilfelle, har Invincea tatt en ganske ny tilnærming til å oppdage avansert malware.
Problem løst?
Fra redaktørene. Velge antimalware produkter
< i> Brad Casey har en MS i informasjon forsikring fra University of Texas i San Antonio, og har lang erfaring innen områdene penetrasjonstesting, public key infrastructure, VoIP og nettverkspakke analyse. Han er også kunnskapsrike på områdene systemadministrasjon, Active Directory og Windows Server 2008. Han tilbrakte fem år gjør sikkerhet vurdering testing i US Air Force, og i sin fritid, kan du finne ham å se på Wireshark fanger opp og leke med ulike Linux distroer i VM.