应用大数据分析和集体安全智能来解决恶意软件问题
应用大数据分析和集体安全智能来解决恶意软件问题
随着已知恶意软件呈指数增长,为尝试更好地服务于客户,传统终端保护厂商推出了“云辅助防病毒”功能,将签名数据库迁移到了云中。这解决了每隔五分钟就需要向每个终端分发数十亿病毒签名的问题,但并不能有效应对日前正蓬勃发展的、专为逃避签名检测而设计的高级恶意软件。云辅助防病毒模式的另一限制是,攻击者很有耐心,会花费大量时间来达到其目的。大多数防恶意软件技术的缺点都在于缺乏持续性和上下文感知能力,重点主要是在初次发现某一文件时检测其是否为恶意(单个时间点)。但是,现在看起来不是恶意软件的文件,在将来(甚或明天)就可能很容易地变为恶意软件。所以我们需要的是持续分析能力,能够长期监控,并根据最新威胁智能,将文件状态从最初的无害改为恶意。
Sourcefire已采取更加面面俱到的新方式来迎接上述检测恶意软件的挑战。在全球数千企业客户和数百万在用终端恶意软件防护代理的支持下,Sourcefire每月收集的恶意软件样本超过百万之多。在Sourcefire的CollectiveSecurity Intelligence Cloud中,分析数万软件特性,以便将恶意软件与正常软件区分开来。此外,也会分析网络流量特征,以检测出恶意软件对于CnC网络的搜索。Sourcefire还利用其庞大的部署产品群,来确定从全球角度以及从每个特定客户机构角度来说,哪些属于正常文件和网络行为的范畴,以便比较。
Sourcefire的集体安全智能( Collective Security Intelligence)的优势还远不仅此,当文件通过任意检测点时,Sourcefire的云分析功能将在超长时间内,根据最新威胁智能信息,持续评估此文件,使得Sourcefire的高级恶意软件防护(Advanced Malware Protection)解决方案(Sourcefire AMP)能够在文件初始分析后很长一段时间内,如果出现问题,依然可以
最后,这些优势将使整个Sourcefire AMP社区受益,每当对于某个文件的处置方式发生变化,都会通知整个社区。藉此,所有利用Collective Security IntelligenceCloud的机构都能立即了解恶意文件,借助云的力量,实现“集体免疫”。
可回溯的安全性
采用持续分析功能,对于初始判断为正常或未知、而之后确定为恶意的文件报警。回溯安全能够确定攻击爆发的范围、遏制攻击,并最终逆转时光,自动进行恶意软件修复。
攻击者并非静止不动。他们不断评估当前安全技术,变换其战术方法,力争领先于防御措施。实际上,大多数攻击者在发起攻击前,会针对领先防恶意软件产品来测试其恶意软件,以确保攻击成功。随着黑名单方式效果的减弱,越来越多的安全产品公司依靠虚拟机(VM)动态分析,来研究和应对恶意软件。而同时,攻击者也调整了战略战术,他们假设如果评估期文件不进行任何恶意行为,则文件会被判别为安全,所以,在VM中运行时,他们或者不作为,或者延迟几小时(或几天)后再攻击。当然,一旦等待期过去,受害者的设备就会被损坏。不幸的是,目前,各种单个时间点的技术都无法再次对这些文件进行分析。如果一个文件被判定为安全,则无论是检测技术进行了改进,还是文件表现出恶意行为,它的状态依然是安全。更糟的是,当恶意软件避开了检测,控制措施就无法跟踪其在环境中的传播、了解其根本原因,或发现恶意软件潜在入侵通道(系统会被恶意软件重复感染,或作为发射台,传播更广泛
尽管这只是恶意软件编写者如何处心积虑,领先于安全产品公司一步,利用现有防恶意软件控制措施的限制的一个案例,但我们最好是以没有一种检测-防御机制会100%有效为前提。如果认为只是依靠检测就能实现全面保护,不仅过高估计了您为关键资产提供防御的能力,而且也小看了您的对手发动攻击的能力。因此,机构需要为攻击者避开了防线的情况而制订一个计划,确保能够了解入侵范围和内容,快速遏制破坏,消除威胁,解决根本原因,消除恶意软件入侵通道,这就需要“回溯安全”。
回溯安全使得机构实际上可以实现时光逆转,无论文件是否判定为恶意软件,都能确定哪些设备暴露在恶意软件的攻击之下。这需要跟踪每个穿越受保护网络的文件,以及全方位了解每个受保护设备上发生的每个行为,对应查看文件通过机构的方式与文件在系统上执行的操作。
使用传统防恶意软件防护时,如果在未来某个时刻,文件被判定为恶意软件,您可采取的措施通常十分有限,因为您无法进入时光机,在文件进入系统时将其拦截-它实际上已在您的环境中横行肆虐。这正是大多数防恶意软件控制措施无能为力之处,让您无法了解问题的全部,从而对“现在该怎么办”这个棘手问题一筹莫展。
而这也正是Sourcefire AMP的基础-大数据分析大显神威之处。通过名为“轨迹跟踪”的功能,它能够快速判断文件如何穿行机构,从而跟踪恶意软件,立即(在一些情况下自动)清理受感染设备。更重要的是,因为Sourcefire AMP跟踪每个文件的每一次使用,机构能够发现“第一感染源”(第一个遭受恶意软件攻击的设备)以及其它每个受感染设备,确保完全根除感染。因为,众所周知,如果清理后即使只有一个恶意软件实例存活,再次感染的可能性也非常大。
此外,轨迹分析不仅能够分析与文件活动相关的信息,而且能够跟踪文件世系、使用情况、相关性、通信、协议以及哪些文件安装了恶意软件等信息,对所检测到的恶意软件或可疑行为快速执行根本原因分析。这使安全团队能够在遭遇攻击时,即刻从检测切换到控制操作,迅速了解攻击范围和根本原因,有效终止进一步
当面对大量检测事件,特别是恶意软件时,另一个挑战在于,确定哪些事件真正需要优先重视并作出响应。单一事件,甚至在某个终端拦截了一个感染恶意软件的文件,并不一定意味着发生安全问题。但是,当多个事件,哪怕是多个看起来正常的活动,互相关联起来时,其结果可能大大提高了系统遭受破坏的风险,表明安全违背即将或正在发生。
Indications of Compromise(感染指标)是Sourcefire AMP的另一功能,执行更深层次的分析,来发现系统遭受入侵的迹象。此功能是时间点检测技术所无法企及的,能够在初始分析后,继续捕获、分析和关联恶意软件相关活动,为安全人员提供自动分析和风险
最后,一旦恶意软件在企业中扎根,它通常会尝试与CnC服务器通信,或者如果它直接被攻击者所控制,会开始侦查活动,逐步移向
SourcefireAMP监控受保护终端上的通信活动,并根据Sourcefire集体安全智能( Collective Security Intelligence)进行关联,判断是否发生入侵,拦截终端上恶意软件的通信与分发。藉此,安全人员能够获得独特优势,对于并未处于公司网络保护范围内的终端,如远程或移动员工所使用的系统等,能够控制这些终端上恶意软件的扩散。此外,轨迹跟踪和感染指数还能利用所捕获的网络活动,加速调查和感染的优先级
多点实施,协同安全
在网络、物理和虚拟终端及移动设备上同时实施
独木不成林,单一安全控制措施并不能解决全部问题。为了防御高级恶意软件的入侵,必须在网络防御、终端保护和跟踪威胁及修复活动的管理控制台之间实现出色协作。Sourcefire提供了一个集成系统,利用基于云的集体安全智能(Collective Security Intelligence)、出色网络分析以及多点部署,来确保高级恶意软件不会乘隙入侵您的机构。
Sourcefire广泛的AMP功能从恶意软件一进入网络开始,就检测/拦截它们。当每个文件进入(或离开)网络时,Sourcefire AMP生成一个文件指纹,然后咨询Sourcefire的FireSIGHT®中央管理控制台,来判断该文件是否已被识别为
如果FireSIGHT从未看到过此文件,它在Sourcefire 集体安全智能(Collective Security Intelligence )Cloud中查找,快速判断该文件是否曾在Sourcefire的Collective Security Intelligence网络中出现。与对网络上每个文件进行沙箱操作相比,这一查询可扩展性更好,且对延迟无影响。对于已识别为恶意的文件,FireSIGHT提供文件跟踪功能,了解感染的程度和上下文环境。
Sourcefire的轻量级终端恶意软件防护代理(FireAMP™连接器)也可部署于每个受保护设备之上,从而根据集体安全智能(Collective Security Intelligence) Cloud检查所有文件活动,发现已知恶意文件。而且,FireAMP并不只是查找恶意文件,而是即使以前从未发现过此文件,也能有效检测和拦截设备上恶意软件的行为特征,保护终端免遭零日攻击。FireAMP连接器还利用回溯检测和上述文件跟踪功能,确定感染程度和需要立即修复的设备。如果文件已被判断为可疑,则Sourcefire AMP将执行更深层次的文件分析。如上所述,Sourcefire基于云的分析功能可以精确确定文件的行为,如果判断文件为恶意,则将记录攻击简况,生成感染指标和其它能够使用强钡拇笫莘治龉δ芩阉鞯奶匦浴?/SPAN>
利用这些恶意软件简况,Sourcefire AMP使得机构能够占据主动,防御恶意软件攻击。如果在另一环境中(通过回溯安全)用事实证明某个文件为恶意,集体安全智能(Collective Security Intelligence )Cloud能够将此判断发送到您机构的FireSIGHT控制台,帮助您在网络或终端拦截恶意软件,确保Sourcefire AMP社区的其他成员都实现集体免疫。此外,如果本地管理员发现了一个本地攻击,需要立即采取行动,机构能够设置定制规则来拦截特定文件和IP地址。
FireAMP™ Mobile连接器也是依靠集体安全智能(Collective Security Intelligence) Cloud快速分析安卓应用,实时发现可能的威胁。通过将可视性扩展到移动设备,您能快速了解哪些设备被感染,哪些应用为系统注入了恶意软件等等。当您希望针对攻击进行修复时,FireAMP Mobile提供强大控制措施,拦截特定应用(并将其置于黑名单),以便您能控制移动设备可使用哪些应用访问公司资源。FireAMP™ Virtual连接器则将相同功能和高级恶意软件防护措施扩展到了Vmware虚拟机。
2014-05-12思科产品部