應用大數據分析和集體安全智能來解決惡意軟件問題
應用大數據分析和集體安全智能來解決惡意軟件問題
隨著已知惡意軟件呈指數增長,為嘗試更好地服務于客戶,傳統終端保護廠商推出了“云輔助防病毒”功能,將簽名數據庫遷移到了云中。這解決了每隔五分鐘就需要向每個終端分發數十億病毒簽名的問題,但并不能有效應對日前正蓬勃發展的、專為逃避簽名檢測而設計的高級惡意軟件。云輔助防病毒模式的另一限制是,攻擊者很有耐心,會花費大量時間來達到其目的。大多數防惡意軟件技術的缺點都在于缺乏持續性和上下文感知能力,重點主要是在初次發現某一文件時檢測其是否為惡意(單個時間點)。但是,現在看起來不是惡意軟件的文件,在將來(甚或明天)就可能很容易地變為惡意軟件。所以我們需要的是持續分析能力,能夠長期監控,并根據最新威脅智能,將文件狀態從最初的無害改為惡意。
Sourcefire已采取更加面面俱到的新方式來迎接上述檢測惡意軟件的挑戰。在全球數千企業客戶和數百萬在用終端惡意軟件防護代理的支持下,Sourcefire每月收集的惡意軟件樣本超過百萬之多。在Sourcefire的CollectiveSecurity Intelligence Cloud中,分析數萬軟件特性,以便將惡意軟件與正常軟件區分開來。此外,也會分析網絡流量特征,以檢測出惡意軟件對于CnC網絡的搜索。Sourcefire還利用其龐大的部署產品群,來確定從全球角度以及從每個特定客戶機構角度來說,哪些屬于正常文件和網絡行為的范疇,以便比較。
Sourcefire的集體安全智能( Collective Security Intelligence)的優勢還遠不僅此,當文件通過任意檢測點時,Sourcefire的云分析功能將在超長時間內,根據最新威脅智能信息,持續評估此文件,使得Sourcefire的高級惡意軟件防護(Advanced Malware Protection)解決方案(Sourcefire AMP)能夠在文件初始分析后很長一段時間內,如果出現問題,依然可以
最后,這些優勢將使整個Sourcefire AMP社區受益,每當對于某個文件的處置方式發生變化,都會通知整個社區。藉此,所有利用Collective Security IntelligenceCloud的機構都能立即了解惡意文件,借助云的力量,實現“集體免疫”。
可回溯的安全性
采用持續分析功能,對于初始判斷為正常或未知、而之后確定為惡意的文件報警。回溯安全能夠確定攻擊爆發的范圍、遏制攻擊,并最終逆轉時光,自動進行惡意軟件修復。
攻擊者并非靜止不動。他們不斷評估當前安全技術,變換其戰術方法,力爭領先于防御措施。實際上,大多數攻擊者在發起攻擊前,會針對領先防惡意軟件產品來測試其惡意軟件,以確保攻擊成功。隨著黑名單方式效果的減弱,越來越多的安全產品公司依靠虛擬機(VM)動態分析,來研究和應對惡意軟件。而同時,攻擊者也調整了戰略戰術,他們假設如果評估期文件不進行任何惡意行為,則文件會被判別為安全,所以,在VM中運行時,他們或者不作為,或者延遲幾小時(或幾天)后再攻擊。當然,一旦等待期過去,受害者的設備就會被損壞。不幸的是,目前,各種單個時間點的技術都無法再次對這些文件進行分析。如果一個文件被判定為安全,則無論是檢測技術進行了改進,還是文件表現出惡意行為,它的狀態依然是安全。更糟的是,當惡意軟件避開了檢測,控制措施就無法跟蹤其在環境中的傳播、了解其根本原因,或發現惡意軟件潛在入侵通道(系統會被惡意軟件重復感染,或作為發射臺,傳播更廣泛
盡管這只是惡意軟件編寫者如何處心積慮,領先于安全產品公司一步,利用現有防惡意軟件控制措施的限制的一個案例,但我們最好是以沒有一種檢測-防御機制會100%有效為前提。如果認為只是依靠檢測就能實現全面保護,不僅過高估計了您為關鍵資產提供防御的能力,而且也小看了您的對手發動攻擊的能力。因此,機構需要為攻擊者避開了防線的情況而制訂一個計劃,確保能夠了解入侵范圍和內容,快速遏制破壞,消除威脅,解決根本原因,消除惡意軟件入侵通道,這就需要“回溯安全”。
回溯安全使得機構實際上可以實現時光逆轉,無論文件是否判定為惡意軟件,都能確定哪些設備暴露在惡意軟件的攻擊之下。這需要跟蹤每個穿越受保護網絡的文件,以及全方位了解每個受保護設備上發生的每個行為,對應查看文件通過機構的方式與文件在系統上執行的操作。
使用傳統防惡意軟件防護時,如果在未來某個時刻,文件被判定為惡意軟件,您可采取的措施通常十分有限,因為您無法進入時光機,在文件進入系統時將其攔截-它實際上已在您的環境中橫行肆虐。這正是大多數防惡意軟件控制措施無能為力之處,讓您無法了解問題的全部,從而對“現在該怎么辦”這個棘手問題一籌莫展。
而這也正是Sourcefire AMP的基礎-大數據分析大顯神威之處。通過名為“軌跡跟蹤”的功能,它能夠快速判斷文件如何穿行機構,從而跟蹤惡意軟件,立即(在一些情況下自動)清理受感染設備。更重要的是,因為Sourcefire AMP跟蹤每個文件的每一次使用,機構能夠發現“第一感染源”(第一個遭受惡意軟件攻擊的設備)以及其它每個受感染設備,確保完全根除感染。因為,眾所周知,如果清理后即使只有一個惡意軟件實例存活,再次感染的可能性也非常大。
此外,軌跡分析不僅能夠分析與文件活動相關的信息,而且能夠跟蹤文件世系、使用情況、相關性、通信、協議以及哪些文件安裝了惡意軟件等信息,對所檢測到的惡意軟件或可疑行為快速執行根本原因分析。這使安全團隊能夠在遭遇攻擊時,即刻從檢測切換到控制操作,迅速了解攻擊范圍和根本原因,有效終止進一步
當面對大量檢測事件,特別是惡意軟件時,另一個挑戰在于,確定哪些事件真正需要優先重視并作出響應。單一事件,甚至在某個終端攔截了一個感染惡意軟件的文件,并不一定意味著發生安全問題。但是,當多個事件,哪怕是多個看起來正常的活動,互相關聯起來時,其結果可能大大提高了系統遭受破壞的風險,表明安全違背即將或正在發生。
Indications of Compromise(感染指標)是Sourcefire AMP的另一功能,執行更深層次的分析,來發現系統遭受入侵的跡象。此功能是時間點檢測技術所無法企及的,能夠在初始分析后,繼續捕獲、分析和關聯惡意軟件相關活動,為安全人員提供自動分析和風險
最后,一旦惡意軟件在企業中扎根,它通常會嘗試與CnC服務器通信,或者如果它直接被攻擊者所控制,會開始偵查活動,逐步移向
SourcefireAMP監控受保護終端上的通信活動,并根據Sourcefire集體安全智能( Collective Security Intelligence)進行關聯,判斷是否發生入侵,攔截終端上惡意軟件的通信與分發。藉此,安全人員能夠獲得獨特優勢,對于并未處于公司網絡保護范圍內的終端,如遠程或移動員工所使用的系統等,能夠控制這些終端上惡意軟件的擴散。此外,軌跡跟蹤和感染指數還能利用所捕獲的網絡活動,加速調查和感染的優先級
多點實施,協同安全
在網絡、物理和虛擬終端及移動設備上同時實施
獨木不成林,單一安全控制措施并不能解決全部問題。為了防御高級惡意軟件的入侵,必須在網絡防御、終端保護和跟蹤威脅及修復活動的管理控制臺之間實現出色協作。Sourcefire提供了一個集成系統,利用基于云的集體安全智能(Collective Security Intelligence)、出色網絡分析以及多點部署,來確保高級惡意軟件不會乘隙入侵您的機構。
Sourcefire廣泛的AMP功能從惡意軟件一進入網絡開始,就檢測/攔截它們。當每個文件進入(或離開)網絡時,Sourcefire AMP生成一個文件指紋,然后咨詢Sourcefire的FireSIGHT®中央管理控制臺,來判斷該文件是否已被識別為
如果FireSIGHT從未看到過此文件,它在Sourcefire 集體安全智能(Collective Security Intelligence )Cloud中查找,快速判斷該文件是否曾在Sourcefire的Collective Security Intelligence網絡中出現。與對網絡上每個文件進行沙箱操作相比,這一查詢可擴展性更好,且對延遲無影響。對于已識別為惡意的文件,FireSIGHT提供文件跟蹤功能,了解感染的程度和上下文環境。
Sourcefire的輕量級終端惡意軟件防護代理(FireAMP™連接器)也可部署于每個受保護設備之上,從而根據集體安全智能(Collective Security Intelligence) Cloud檢查所有文件活動,發現已知惡意文件。而且,FireAMP并不只是查找惡意文件,而是即使以前從未發現過此文件,也能有效檢測和攔截設備上惡意軟件的行為特征,保護終端免遭零日攻擊。FireAMP連接器還利用回溯檢測和上述文件跟蹤功能,確定感染程度和需要立即修復的設備。如果文件已被判斷為可疑,則Sourcefire AMP將執行更深層次的文件分析。如上所述,Sourcefire基于云的分析功能可以精確確定文件的行為,如果判斷文件為惡意,則將記錄攻擊簡況,生成感染指標和其它能夠使用強鋇拇笫莘治齬δ芩閹韉奶匭浴?/SPAN>
利用這些惡意軟件簡況,Sourcefire AMP使得機構能夠占據主動,防御惡意軟件攻擊。如果在另一環境中(通過回溯安全)用事實證明某個文件為惡意,集體安全智能(Collective Security Intelligence )Cloud能夠將此判斷發送到您機構的FireSIGHT控制臺,幫助您在網絡或終端攔截惡意軟件,確保Sourcefire AMP社區的其他成員都實現集體免疫。此外,如果本地管理員發現了一個本地攻擊,需要立即采取行動,機構能夠設置定制規則來攔截特定文件和IP地址。
FireAMP™ Mobile連接器也是依靠集體安全智能(Collective Security Intelligence) Cloud快速分析安卓應用,實時發現可能的威脅。通過將可視性擴展到移動設備,您能快速了解哪些設備被感染,哪些應用為系統注入了惡意軟件等等。當您希望針對攻擊進行修復時,FireAMP Mobile提供強大控制措施,攔截特定應用(并將其置于黑名單),以便您能控制移動設備可使用哪些應用訪問公司資源。FireAMP™ Virtual連接器則將相同功能和高級惡意軟件防護措施擴展到了Vmware虛擬機。
2014-05-12思科產品部