欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

基于网络的恶意软件检测部署的成功关键

程序员文章站 2022-04-07 09:53:27
恶意软件变体的疯狂增长给端点安全带来了巨大挑战。随着端点的数量和种类的明显增加,企业必须部署外围网络安全技术来保护所有最终用户、服务器和流量,以及应对不断增长的流量、恶意软件以及其它网络威胁。...
恶意软件变体的疯狂增长给端点安全带来了巨大挑战。随着端点的数量和种类的明显增加,企业必须部署外围网络安全技术来保护所有最终用户、服务器和流量,以及应对不断增长的流量、恶意软件以及其它网络威胁。
 
基于网络的恶意软件检测(NBMD)是基于签名的端点反恶意软件检测的替代品。这种产品“总是开启状态”,并且能够应对现代恶意软件用来绕过客户端安全使用的技巧。然而,部署往往是一个挑战:要发挥其最大的效果,NBMD必须采用串联部署,而且,如果没有精心配置,它可能变得过于“激进”,破坏关键任务应用以及业务流程。
 
在本文中,我们将讨论如何成功地串联部署基于网络的恶意软件检测,包括如何管理和配置这些系统来避免影响应用基础设施的最佳做法。
 
NBMD的优势
 
传统的反恶意软件检测是基于供应商的签名:供应商会隔离并检查在网络中发现的恶意软件,并编写签名来告诉反恶意软件产品应该如何辨识这种恶意软件,然后,分发签名到其反恶意软件产品的客户。
 
相比之下,NBMD则是在沙盒环境实际执行可疑文件,以确定其行为是可疑还是恶意,从而确定已知和未知的恶意软件。NBMD产品提供的这种额外分析可以发现难以检测的定制的多态恶意软件,这种恶意软件通常用于高级持续威胁或者说APT攻击中。
 
虽然位于外围的设备具有低延迟性(它不需要发送文件进行分析),但在繁忙的网络中检查所有流量和未知文件仍然是一个巨大的挑战,即使入站点和出站点保持在最低限度。对于这个问题,最新的NBMD产品的做法是,将部分或者全部分析转移到云中,帮助降低成本、提高可扩展性和准确性。
 
基于云的NBMD服务的一大优势在于,通过对很多客户遇到的大量恶意软件进行分析,客户可以从中收益。并且,它能够作为所有文件哈希、指标和测试的*资料库,这样,新的恶意软件的暴露面减少了,因为我们不需要将更新的结果分发到所有本地设备。然而,NBMD在网络内部署的方式对其有效性以及普及率有着很大的影响。
 
成功地部署基于网络的恶意软件检测
 
为了最大限度地发挥NBMD产品的优势,NBMD需要进行串联式部署;与其他串联部署的安全设备(例如防火墙和入侵防御系统)一样,NBMD产品可以在恶意软件进入网络前,捕获并阻止恶意软件。带外或者端口镜像部署模型意味着它更像是典型的监控器,检查流量,当发现恶意软件进入网络时发送警报。但这种部署不能很好地在服务器或者云中扩展,因为管理员可能被警报“淹没”,毕竟所有这些警报都需要进行调查,并尽快解决以防止造成损害。串联部署NBMD给了企业更多的灵活性来发出警报或阻止。
 
虽然在恶意软件进入网络前进行阻止很好,但自动地阻止所有可疑文件进入网络也有其缺点,即误报可能会破坏关键应用程序和影响用户工作流程。顺利地过渡到串联检测以及从警报过渡到拦截的唯一方法是,花时间慢慢收紧规则来消除误报造成的问题。企业应该对于供应商所谓的自学型系统持怀疑态度;企业应该定义政策,并随着时间的推移调整政策直到其可行,这里并没有捷径可走。
 
最初,企业可以将NBMD设备设置为仅阻止已知恶意文件,同时,对于任何存在不确定因素的文件发送警报,并确保有足够的资源可用来处理这可能带来的额外的工作量。一旦确定某些文件类型不会破坏任何进程或者应用程序,它们就可以从警报要求移除。在此期间,定期检查关键应用程序的日志以捕捉错误消息,这可能发现关键文件被阻止或延迟的迹象。同时警告支持台,对于常见的工作流程,用户可能会遇到延迟或者中断,他们应该会从用户得到反馈,这个过程将有助于定义规则。
 
NBMD也可用于识别各种其他企业威胁,包括可能是恶意的出站网络流量,例如,感染的设备和攻击者的命令控制中心之间的典型的通信。根据协议、目的地、时间、文件类型和数据包内容等指标,企业可以只允许某些应用程序发送数据到网络外部,这样企业可以防止受感染设备发送数据出去,从而阻止数据泄漏。
 
然而,即使部署了良好设置的NBMD产品,企业仍需要在端点部署一些传统反恶意软件保护来加强保护,无论设备是否位于企业网络。
 
展望NBMD的未来
 
对于努力应对高级威胁的企业而言,在补充并最终取代传统反恶意软件程序的过程中,基于网络的恶意软件检测产品是一个有吸引力的产品。虽然在NBMD部署过程中,仍然有很多障碍需要突破,如果企业能够有足够的毅力和决心来配置这些设备,最终将获得丰富的回报