防病毒軟件不足以承擔(dān)企業(yè)防護(hù)重任

Ryan+Francis

要想更好地保護(hù)企業(yè)，還需要行為分析和人工智能以及其他技術(shù) 用于保護(hù)企業(yè)系統(tǒng)免受惡意軟件攻擊的防病毒軟件和流感疫苗有些相似。雖然您應(yīng)該擁有它，但它不能保證您不會(huì)感染流感的每一種病毒。 WhiteHat Security威脅研究中心副總裁Ryan O'Leary說：“防病毒軟件能夠很好地阻止已知的威脅，但問題已經(jīng)不僅僅是病毒了。網(wǎng)絡(luò)或者應(yīng)用程序中的惡意軟件和漏洞會(huì)帶來更大的損失?！?更糟糕的是，和傳統(tǒng)的防病毒軟件相比，新威脅實(shí)在是太狡猾了。 O'Leary說：“作為一個(gè)行業(yè)我們應(yīng)該認(rèn)識(shí)到，思想上把一切都交給防病毒軟件和防火墻會(huì)讓您自己非常容易遭受損失。企業(yè)應(yīng)對(duì)其安全計(jì)劃采取更全面的方法，開始認(rèn)真對(duì)待有可能危及整個(gè)公司的應(yīng)用程序、網(wǎng)絡(luò)和惡意軟件問題?！?Exabeam首席執(zhí)行官Nir Polak說，惡意軟件只是安全泄露事件的第一步——它的工作就是騙取信任，并用來創(chuàng)建能夠訪問企業(yè)網(wǎng)絡(luò)的新的有效身份。 Polak說：“所以，檢測(cè)出惡意軟件是件好事，但這總是太晚了。當(dāng)防病毒系統(tǒng)檢測(cè)到惡意軟件時(shí)，黑客已經(jīng)從計(jì)算機(jī)中脫身，以新身份繼續(xù)在網(wǎng)絡(luò)上作惡。反惡意軟件是必要的，但這根本不是一個(gè)完整的解決方案?！?Glasswing Ventures的Rick Grinnell表示同意：“正如疫苗不能對(duì)癥下藥，患者很容易被傳染一樣，防病毒解決方案如果沒有匹配上惡意軟件特征碼，那么用戶將受到攻擊?！?Grinnell認(rèn)為企業(yè)現(xiàn)在應(yīng)把行為分析、人工智能和其他技術(shù)聯(lián)合起來進(jìn)一步增強(qiáng)防御，從而加強(qiáng)防病毒保護(hù)能力。 Grinnell說，15到20年前，賽門鐵克（諾頓）和McAfee防護(hù)的是主流Wintel環(huán)境中少量傳播很慢的病毒，因此，防病毒和特征碼匹配機(jī)制工作的不錯(cuò)。 隨著互聯(lián)網(wǎng)的發(fā)展，軟件漏洞越來越脆弱，而攻擊技術(shù)越來越復(fù)雜，以感染數(shù)百萬臺(tái)機(jī)器的ILOVEYOU蠕蟲為代表，2000年初爆發(fā)了惡意軟件攻擊。即使在那時(shí)，防病毒軟件供應(yīng)商也提供了十年內(nèi)依然有效的相關(guān)保護(hù)措施。 Grinnell說，現(xiàn)在大約有一半的違規(guī)行為無法被防病毒軟件檢測(cè)到。為了應(yīng)對(duì)更復(fù)雜的威脅，防病毒軟件供應(yīng)商添加了行為和白名單選項(xiàng)（其中一些難以部署）進(jìn)行試驗(yàn)，以阻止惡意活動(dòng)。 Grinnell補(bǔ)充說，這只會(huì)刺激攻擊者設(shè)計(jì)出更復(fù)雜的方法。 怎么辦？ 為能夠及時(shí)應(yīng)對(duì)更新的攻擊，出現(xiàn)了更加復(fù)雜的機(jī)器學(xué)習(xí)和人工智能防護(hù)技術(shù)。 Grinnell說：“這些解決方案能夠迅速學(xué)習(xí)并適應(yīng)變化很快的惡意軟件類型，能發(fā)現(xiàn)‘藏在干草堆中的針，而惡意行為通常偽裝隱藏在正常的數(shù)據(jù)流中，這些數(shù)據(jù)流是經(jīng)過身份認(rèn)證的用戶帳戶使用經(jīng)核準(zhǔn)的應(yīng)用程序時(shí)所發(fā)出的?！?他補(bǔ)充說：“那么如果疫苗與現(xiàn)實(shí)世界中的病毒不匹配怎么辦？這就是為什么行為分析是解決難題關(guān)鍵所在的原因。行為分析能發(fā)現(xiàn)數(shù)據(jù)流的激增或者異常——超出了正常范圍界線。” 他說：“更好地了解現(xiàn)有數(shù)據(jù)將有助于企業(yè)作出更明智的決定——傳統(tǒng)的防病毒軟件是做不到的?！?他說，現(xiàn)在另一個(gè)問題是利用漏洞可以攻擊越來越多的各種系統(tǒng)，其中很多系統(tǒng)沒有能力運(yùn)行任何本地安全軟件。這就是為什么安全防護(hù)必須分層的原因，一些在端點(diǎn)上運(yùn)行，其他的則在網(wǎng)絡(luò)上運(yùn)行。 真正的好方法不僅需要查看流入和流出的數(shù)據(jù)，還要根據(jù)外部威脅信息查看用戶、機(jī)器、應(yīng)用程序和數(shù)據(jù)的行為活動(dòng)。 Grinnell說：“安全市場(chǎng)上一些較新的供應(yīng)商正在利用先進(jìn)的人工智能技術(shù)來查找最復(fù)雜的惡意軟件——防病毒軟件永遠(yuǎn)也匹配不上其特征碼，在惡意軟件發(fā)起攻擊前阻止攻擊。其他供應(yīng)商正在使用行為模型，加上眾籌數(shù)據(jù)和人類專家團(tuán)隊(duì)，盡早發(fā)現(xiàn)漏洞，以便在出現(xiàn)重大損失前快速做出響應(yīng)?！?誰的保護(hù)最好？Grinnell指出，Cylance、Crowdstrike和Carbon Black，還有賽門鐵克和McAfee有望重新得到重視。Palo Alto Networks和IBM等其他公司也在他們的產(chǎn)品中加入了先進(jìn)的機(jī)器學(xué)習(xí)和人工智能技術(shù)。 還沒結(jié)束 防病毒軟件供應(yīng)商并沒有打算將其產(chǎn)品退出市場(chǎng)。 Check Point Software的安全解決方案副總裁Avi Rembaum說：“實(shí)際上，各種藥物還是很多的。如果出現(xiàn)了新病毒，現(xiàn)有藥物還不能治療這些新病毒。而且，如果某個(gè)人被傳染了老病毒，而這個(gè)人沒有產(chǎn)生抗體，那么現(xiàn)有藥物依然是有效的?！?Rembaum認(rèn)為防病毒軟件還是應(yīng)該保留在安全工具箱中。也許沒有比青霉素和阿司匹林更合適的了，它們現(xiàn)在仍然有效，在可預(yù)見的未來也會(huì)繼續(xù)有效，即使不一定能治療最新的流感變種。 Rembaum說：“重要的是要記住，安全總是多層面的。需要先進(jìn)的威脅預(yù)防措施來阻止高級(jí)攻擊?！彼赋?，Check Point SandBlast就是這種技術(shù)的一個(gè)例子。 CyberX工業(yè)網(wǎng)絡(luò)安全副總裁Phil Neray說，防病毒軟件和防火墻都不會(huì)輕易消亡。他說：“只是它本身有不足之處，因?yàn)樗荒芊烙F(xiàn)代的威脅，例如有針對(duì)性的攻擊、無文件惡意軟件和多態(tài)惡意軟件等?！?Neray說：“防病毒軟件還沒有消亡的一個(gè)領(lǐng)域是非傳統(tǒng)端點(diǎn)，例如物聯(lián)網(wǎng)、工業(yè)物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)（ICS）設(shè)備——因?yàn)樗形瓷孀氵@一領(lǐng)域。這些設(shè)備沒有足夠的機(jī)器資源來運(yùn)行防病毒軟件代理，因此需要依賴其他的防御措施，例如網(wǎng)絡(luò)行為分析和無代理漏洞評(píng)估等來保護(hù)它們。” WatchGuard Technologies首席技術(shù)官Corey Nachreiner說：“依靠簽名或者已知的惡意軟件特征碼來阻止威脅已經(jīng)不行了。因此，盡管基于簽名的防病毒解決方案可能會(huì)消亡，但一般來說，防病毒解決方案還是像以前一樣重要?！?新瓶裝舊酒 他說，今天，即使一些不太老練的犯罪分子也能有辦法讓老的惡意軟件改頭換面，至少在二進(jìn)制層面上。他們采用的逃避技巧有“包裝和隱藏”。使用包裝工具，攻擊者把以前很容易檢測(cè)到的、眾所周知的惡意特洛伊木馬在二進(jìn)制層面上將其打亂，這樣原來的防病毒簽名無法再匹配它。 Nachreiner說：“...雖然特洛伊木馬沒變，但是它現(xiàn)在可以逃避基本的防病毒檢測(cè)。此外，攻擊者讓這一過程自動(dòng)執(zhí)行，其惡意軟件傳送服務(wù)器在針對(duì)新的受害者時(shí)不斷地重新包裝惡意軟件?！?結(jié)果：每天會(huì)出現(xiàn)數(shù)十萬個(gè)新的惡意軟件樣本，基于簽名的檢測(cè)防護(hù)對(duì)此就無能為力了。他說：“...業(yè)界已經(jīng)認(rèn)識(shí)到，被動(dòng)反應(yīng)式的、基于特征碼的惡意軟件檢測(cè)技術(shù)無法阻止惡意軟件。新的反惡意軟件控制措施應(yīng)更多地關(guān)注主動(dòng)檢測(cè)技術(shù)?！?Cybereason首席產(chǎn)品官Sam Curry說：“答案在于能夠發(fā)現(xiàn)是誰在發(fā)起攻擊的新技術(shù)。就像蓋房子需要釘子一樣，企業(yè)需要防病毒軟件；但是，不管是蓋房子的釘子還是IT防病毒軟件，都不應(yīng)該成為負(fù)擔(dān)?！?他說，防病毒可以讓人更“衛(wèi)生”，但實(shí)際的防疫工作也會(huì)出現(xiàn)在別的地方。阻止攻擊者，降低企業(yè)風(fēng)險(xiǎn)的最佳方式還與其他因素有關(guān)。 Curry說，行為數(shù)據(jù)（來自端點(diǎn)、網(wǎng)絡(luò)、用戶和應(yīng)用程序）是關(guān)鍵，端點(diǎn)行為數(shù)據(jù)最為重要。在這些方面就需要人工智能了。 他說：“人工智能這個(gè)詞已經(jīng)有點(diǎn)濫用了，而要想在網(wǎng)絡(luò)對(duì)抗中保持不敗，應(yīng)非常重視最基本的學(xué)習(xí)、自適應(yīng)軟件和算法，包括從機(jī)器學(xué)習(xí)和數(shù)據(jù)挖掘技術(shù)到更復(fù)雜的專家系統(tǒng)和人工智能等?，F(xiàn)在，攻擊者在網(wǎng)絡(luò)對(duì)抗中享有所有的優(yōu)勢(shì)和不對(duì)稱。行為數(shù)據(jù)，結(jié)合自動(dòng)化和行之有效的機(jī)器學(xué)習(xí)、數(shù)據(jù)科學(xué)和人工智能是扭轉(zhuǎn)這種不對(duì)稱的關(guān)鍵，也讓防護(hù)者在網(wǎng)絡(luò)對(duì)抗中占據(jù)優(yōu)勢(shì)。” Ryan Francis是《計(jì)算機(jī)世界》的主編?？梢酝ㄟ^rfrancis@idgenterprise.com聯(lián)系他。 原文網(wǎng)址： http：//www.computerworld.com/article/3197545/security/for-enterprise-protection-antivirus-software-is-no-longer-enough.htmlendprint