如何改善基于Web的惡意軟件檢測

近幾年，反惡意軟件雖然還是CISO（首席信息安全官）所關(guān)注的安全問題，但它已經(jīng)逐漸失去了其有效作用。是否把反惡意軟件作為企業(yè)端點保護(hù)項目的組成部分，取決于合規(guī)性及監(jiān)管條例的要求，比如PCI DSS和HIPAA，也取決于反惡意軟件是否包含在安全“最佳”實踐列表中，還取決于它如何取代近三十年來作為傳統(tǒng)端點安全性首選工具的不確定性

不管是什么原因，事實已經(jīng)越來越明顯，攻擊者已經(jīng)成功地研究出可以避免先進(jìn)的反惡意軟件檢測的惡意軟件，特別是基于Web的惡意軟件防御。

一些驚人的事實：

根據(jù)2012年Sophos的報告，85%的惡意軟件（病毒、蠕蟲、間諜軟件、廣告軟件和木馬）都來自網(wǎng)頁，偷渡式下載被認(rèn)為是最大的網(wǎng)頁威脅。

Sophos的報告還顯示，每天有3萬個網(wǎng)站被感染，80%是被黑客攻擊的合法網(wǎng)站，以至于網(wǎng)絡(luò)罪犯還可以通過使用這些網(wǎng)站來托管惡意代碼。

內(nèi)容不可知惡意軟件保護(hù)（CAMP）是谷歌公司今年早些時候內(nèi)置在谷歌瀏覽器內(nèi)的一種惡意軟件檢測組件，每月可以探測到超過5百萬個惡意軟件下載。CAMP可以檢測到99%的惡意軟件，優(yōu)于四家主要安全廠商基于Web的防病毒產(chǎn)品：McAfee公司的 SiteAdvisor、Symantec 公 司 的 Safe Web、Trend Micro的Site Safety Center和谷歌自己的Safe Browsing。谷歌最近的一項比較調(diào)查顯示，這些產(chǎn)品加起來可以檢測出它們所遇到惡意代碼的40%，表現(xiàn)最出色的的產(chǎn)品只能檢測出25%的惡意代碼。

測試之后，谷歌的CAMP項目挑選出2200種未知二進(jìn)制文件并提交給 VirusTotal，VirusTotal是一家促進(jìn)創(chuàng)建新發(fā)現(xiàn)惡意代碼防病毒簽名的服務(wù)機(jī)構(gòu)。10天之后，發(fā)現(xiàn)CAMP所檢測出的99%二進(jìn)制文件，上述防病毒產(chǎn)品只檢測出了20%。

目前惡意軟件防御的缺點還沒有造成特別明顯的過失，這些數(shù)據(jù)只是說明基于簽名的反惡意軟件已經(jīng)難以對付惡意軟件。現(xiàn)階段，我們已經(jīng)不能信任傳統(tǒng)的防病毒產(chǎn)品可以檢測惡意軟件。那么如果基于簽名的反惡意軟件工具不合適，那么什么是合適的工具呢？它們真的存在嗎？其實我認(rèn)為它們存在，帶著一些警告。這也就是我們在這篇文章中要討論的問題。

惡意軟件檢測替代品

和所有的安全產(chǎn)品一樣，這個解決方案也不是一個完全適用的方法。對于終端來說，不管是在數(shù)據(jù)中心防火墻內(nèi)還是員工手中自帶設(shè)備，都有很多種工具和方法可以用于實現(xiàn)一個更高級別的安全性。但是根據(jù)每個組織所面臨的不同挑戰(zhàn)，所付出的努力會不同。

內(nèi)容過濾：因為85%的惡意軟件是通過Web傳輸（配上偷渡式下載成為最大的威脅），這些惡意軟件要求企業(yè)提供更高級別的內(nèi)容過濾。企業(yè)應(yīng)該廣泛部署兩種關(guān)鍵的防御工具：

Web代理：提供Web代理的產(chǎn)商不少，而且這種技術(shù)也已經(jīng)存在相當(dāng)長的一段時間了。像Blue Coat Systems和Websense提供基于訂閱式服務(wù)，這樣可以提供基于策略的允許或阻止網(wǎng)站訪問。此外，這些服務(wù)提供情報和動態(tài)更新，以阻止用戶訪問已知的惡意站點。需要說明的是，這些產(chǎn)品不能檢測零日漏洞，而由于這些產(chǎn)品帶有基于簽名的反惡意軟件，在不良網(wǎng)站識別和簽名檢測時會有延遲。雖然Web代理可能只是惡意軟件防御裝備中的一個環(huán)節(jié)，但是它們非常重要。

DNS過濾：Open DNS這樣的工具可以通過黑名單域名，積極地阻止用戶訪問已知的有害網(wǎng)站，這樣用戶就不能瀏覽有害網(wǎng)站。這樣的DNS過濾工具也提供白名單服務(wù)。Open DNS利用數(shù)百萬用戶提供的數(shù)據(jù)，來整合出關(guān)于每天檢測出的3萬個新站點的更快情報。DNS過濾實現(xiàn)方式很簡單，有許多大牌客戶都使用這種服務(wù)作為保護(hù)Web用戶的第一道防線。DNS過濾最明顯的優(yōu)點是，這種服務(wù)并不要求部署昂貴的硬件設(shè)備。

基于瀏覽器的安全性：Web瀏覽器組件類似于微軟的Smart Screen(IE8及其以上系列產(chǎn)品的一部分功能)，這些產(chǎn)品都已經(jīng)有效地過濾用戶想要訪問的惡意網(wǎng)站。據(jù)微軟稱，它們的產(chǎn)品已經(jīng)成功阻止了超過10億的惡意軟件下載。谷歌的CAMP是另一項措施，讓谷歌瀏覽器用戶可以充分利用谷歌關(guān)于惡意站點龐大而動態(tài)的知識庫。

基于主機(jī)的異常/取證工具：這些工具在市場上越發(fā)成熟，面向公司更珍貴的資產(chǎn)提供顯著的新防御功能，這些資產(chǎn)是：數(shù)據(jù)庫服務(wù)器，財務(wù)系統(tǒng)，郵件服務(wù)器，高級管理人員和其他高風(fēng)險用戶系統(tǒng)。從理論上講，代理服務(wù)會部署在每一個終端上，并且首先開發(fā)一個系統(tǒng)正常活動(運(yùn)行的應(yīng)用程序，網(wǎng)絡(luò)連接/開放的分享，內(nèi)存調(diào)用，當(dāng)在監(jiān)控其他事件中套接時的文件訪問)的基線。一旦基線完成，這些代理就可以繼續(xù)監(jiān)控系統(tǒng)，探測可能是惡意的不規(guī)則活動。

這些產(chǎn)品的一些廠商和其他廠商或服務(wù)提供商合作，如VirusTotal.當(dāng)用戶從網(wǎng)絡(luò)，郵件甚至是USB驅(qū)動器中下載一個應(yīng)用程序或二進(jìn)制文件時，為了進(jìn)行自動分析，他們會自動上傳可疑或未知的二進(jìn)制文件。

當(dāng)違規(guī)事件發(fā)生時，這些工具可以提供顯著的優(yōu)勢。在一個正常的違例情況下，違例發(fā)生之后，受入侵的系統(tǒng)上會安裝取證工具。有些工具是由新銳廠商所提供，如Carbon Black。Mandiant和 Guidance Software的Encase工具已經(jīng)預(yù)先安裝并且可以提供一些預(yù)見，如違例發(fā)生之前可能發(fā)生什么，什么會導(dǎo)致違例和違例的后果會怎樣。

虛擬化保護(hù)：然而，在過去三年里，通過虛擬化或隔離來實現(xiàn)安全性的技術(shù)已經(jīng)蓄勢待發(fā)。這些技術(shù)不依賴于通過簽名或黑名單來檢測的老本技術(shù)。

廠商Bromium公司尋求通過虛擬化和隔離，在自己計算機(jī)的微虛擬機(jī)上隔離每個進(jìn)程和應(yīng)用程序。這些微虛擬機(jī)上的操作在本地主機(jī)的云信息中進(jìn)行，從而分理出一些進(jìn)程，如Web瀏覽器，辦公套件，電子郵件等相關(guān)進(jìn)程。

另外，F(xiàn)ireEye公司提供了一個虛擬化容器，允許安全專家在一個受控環(huán)境中評估可疑的惡意軟件，從而不需要考慮外來代碼對環(huán)境帶來的未知風(fēng)險。分析師可以重演可疑攻擊，并分析受損的虛擬化系統(tǒng)來評估和識別惡意行為，而且還可以利用這些行為在其他系統(tǒng)和網(wǎng)絡(luò)中追蹤相似行為。

因為惡意軟件在不斷發(fā)展，依賴于一個單一的惡意軟件防御系統(tǒng)，或依賴于在較長一段時間內(nèi)各種防御方法的相同結(jié)合，都是不明智的決定。我們不能想當(dāng)然地認(rèn)為，我們現(xiàn)在用來保護(hù)最寶貴IT資產(chǎn)的工具在五年之后還可以使用。因此，隨著基于簽名的反惡意軟件漸漸退出舞臺，新的技術(shù)慢慢成熟，一定要記住，不停地重新評估威脅環(huán)境，并作出相應(yīng)的調(diào)整是很關(guān)鍵的。