應對高階惡意軟體的兩大誤解

高階惡意軟體是網路世界裡最新、最具潛在破壞性的威脅。它們隱秘，具有針對性且極具「耐心」。一些知名的惡意軟體儘管通常帶有易於識別的簽名，但通過不斷變化總能逃過一般識別模式的防禦。此外，它們通常專注於特定目標，並在達到目的之前「小心翼翼」，儘量減少在網路上的「蹤跡」。可以說，高階惡意軟體在被發現和被消除之前其實已經活躍很久了。與此同時，在未被發現期間，這些軟體對系統和組織已造成重大破壞。

針對高階惡意軟體如上特殊性，傳統網路安全解決方案的開發方式不再百分之百的有效。基於「簽名」方法的整體解決方案對於捕獲那些已知惡意軟體高效準確，但僅靠這些方法顯然不足以使機構或組織得到充分保護。

那麼，我們應該如何應對這種高階惡意軟體？我想先談談目前普遍存在的對高階惡意軟體解決方案的兩大誤解，繼而分析怎樣才是最有效的方式。

誤解一：高階惡意軟體的主要問題在於如何識別

正如前面所分析的高階惡意軟體的特性，傳統的解決方案已經無法滿足我們的需求，因此需要另闢蹊徑。目前，應對這種威脅的乙個常見方法是一種基於「行為」的技術，稱為沙盒技術。

沙盒是一種強大的離線查詢工具，可將未知或可疑檔案隔離在乙個虛擬環境裡，允許它們在其中充分「表演」，就好像它們已達到目標；而沙盒內建的裝置會監控檔案的「一舉一動」。如果疑似病毒確認具有威脅性，那麼它則無法在隔離的虛擬環境裡產生真正威脅。沙盒技術創造出了乙個相對安全的環境，可以用來測試可疑檔案。此外，由於沙盒無需在分析前了解檔案情況，即無需「簽名」，因此它成為了一項識別高階惡意軟體的強大技術。

但是，「沙盒」也有其侷限性。例如，許多沙盒技術只能在既定作業系統的通用版本上執行，並非是客戶實際操作環境的真正影像。這就可能導致對可疑檔案行為的錯誤假設。這種侷限性在某種程度上限制了它們捕獲高階威脅的能力。

但這種基於行為的方法在識別大量高階威脅方面仍表現得相當有效，因此市場對該項技術反響熱烈。然而，正是這種熱烈反響產生了乙個共同的傳言——高階惡意軟體的主要問題在於如何識別。

事實上，識別高階惡意軟體非常重要，但是真正的挑戰是如何處理高階惡意軟體，阻止並修復其造成的傷害。

沙盒技術是一項功能，而非產品，識別高階惡意軟體只是其中的乙個步驟，而非解決方案。雖然傳統的解決方案通常無法識別高階惡意軟體，但它們卻具有良好的防護能力。沙盒的侷限是只能識別威脅，而不能進行阻止和修復，因此，為了真正地抵禦高階惡意軟體，沙盒必須配有阻止威脅並修復其所造成的損害的工具。如果沒有這些附加功能，安全行業只是解決了問題的一部分，而將大多數工作留給了客戶。

誤解二：沙盒可以隔離惡意軟體

對惡意軟體的分析往往是複雜且耗時的，因此沙盒並不是一項實時技術。事實上，大多數沙盒只能對檔案複本進行分析，而原始檔案則被傳送到目標終點。所以即使發現乙個可疑檔案是惡意的，實際檔案早已到達終點並造成損害。

就這一點而言，沙盒只能發現可疑檔案是惡意的，但不能真正地阻止它。

此外，沙盒通常是緩慢從乙個入口點進入環境，它甚至不會注意到可能還有其它的高階惡意軟體溜進了其它入口點。但真正安全的技術必須能夠識別和阻止溜進任何入口點的惡意軟體，而無需其它額外軟體幫助。

那麼，我們如何提公升安全級別呢？我們需要在每個入口點設定監控，並採用一些技術阻止被列入黑名單的檔案。如果沙盒解決方案有一些附加的檔案遮蔽功能，並假設這些功能是成熟的，那麼將面臨兩個選擇：可以在每個入口點部署這種技術——這需要我們支付高額的費用；或者可以通過使用乙個解決方案，對這些入口點現有的安全產品發現的可疑檔案進行集中分析。

顯然第二種方法能更有效地降低成本並使網路控制更加嚴格。

總而言之，與傳統防禦系統實時分析和阻止惡意軟體的方式不同，沙盒不能實時操作。為了真正有效地應對高階威脅，必須將沙盒部署為高度整合或綜合安全環境的一部分：可處理多個入口點，且能將資訊傳回操作環境，警告發現新惡意軟體，並盡可能地在發現前阻止和修復相應損害。

（作者為邁克菲全球首席技術官）

應對高階惡意軟體的兩大誤解

volatile的兩大性質

兩大搜尋 tu的遍歷

GRE考試寫作的兩大技巧

應對高階惡意軟體的兩大誤解

volatile的兩大性質

兩大搜尋 tu的遍歷

GRE考試寫作的兩大技巧

相關推薦