在與惡意軟件的戰(zhàn)爭(zhēng)中,良好的情報(bào)一直是決定性因素。但威脅乘以指數(shù),分析信息可能變得和收集它一樣的重要。
未來(lái)的反惡意軟件是一個(gè)懸而未決的問(wèn)題。由于產(chǎn)生的惡意軟件數(shù)量日益龐大,在過(guò)去應(yīng)對(duì)感染最常見(jiàn)的處理方法——基于簽名的文件掃描,正變得越來(lái)越無(wú)效。但尚無(wú)一個(gè)更好的策略,很多企業(yè)的防病毒產(chǎn)品仍然在很大程度上依賴(lài)于它。
但是事情正在發(fā)生變化。殺毒軟件廠商都開(kāi)始實(shí)現(xiàn)保持探索提前預(yù)知惡意軟件的動(dòng)向(或至少緊跟在它們不太遠(yuǎn)的后面),更深入地追蹤惡意軟件——它正在做什么,它從哪兒來(lái),它希望得到什么,預(yù)測(cè)未來(lái)它可能在哪里涌現(xiàn),都是必要的。
多倫多的安全咨詢(xún)和托管服務(wù)提供商Sentry Metrics公司首席執(zhí)行官Dave Millier說(shuō),許多廠商都不再注重未來(lái)“一次一個(gè)(one at a time)”的威脅,而是開(kāi)始收集數(shù)據(jù),并推測(cè)在將來(lái)的更廣泛的趨勢(shì)。他表示,是相對(duì)較新的技術(shù),使這一切成為可能。
“你看到更多的數(shù)據(jù)收集發(fā)生在網(wǎng)絡(luò)層面,在那里你正在從安全角度嘗試使用大量的信息,我們過(guò)去沒(méi)有能夠使用。”
與他一起工作的供應(yīng)商之一是Sourcefire,該公司已經(jīng)基本上開(kāi)始將查看惡意軟件當(dāng)成是一個(gè)“大數(shù)據(jù)”的問(wèn)題。Sourcefire公司最近推出了一款基于云的企業(yè)安全產(chǎn)品,名為FireAMP,以查看“模糊(fuzzier)”惡意軟件簽名擴(kuò)大安全網(wǎng),更廣泛的全球模式監(jiān)測(cè)可疑活動(dòng)。FireAMP還使用Sourcefire稱(chēng)為“機(jī)器學(xué)習(xí)(machine learning)”的方式,為潛在威脅的可能屬性建立模型。
值得注意的是,F(xiàn)ireAMP能夠回顧在網(wǎng)絡(luò)上的爆發(fā)期間發(fā)生的事情,不管出于企業(yè)安全的目的,還是出于法律原因,這都是一項(xiàng)重要功能。
“我們的重點(diǎn)已經(jīng)做出重大的轉(zhuǎn)變,通過(guò)我們基于云的平臺(tái)切入我們稱(chēng)之為端點(diǎn)的斗爭(zhēng)記錄,”Sourcefire云技術(shù)集團(tuán)高級(jí)副總裁Oliver Friedrichs說(shuō),“我們基本上是跨端點(diǎn)記錄文件的活動(dòng),能夠在云中存儲(chǔ)文件活動(dòng)的防篡改記錄。”
通過(guò)FireAMP,他說(shuō),連接器安裝在終端,每當(dāng)用戶(hù)安裝或執(zhí)行應(yīng)用程序,將數(shù)據(jù)發(fā)送到云中。
“在未來(lái),如果有違反,我們可以告訴你威脅實(shí)際上從哪里進(jìn)來(lái),它到哪里去,patient zero(第一傳染源)是誰(shuí),例如,第一個(gè)人受到感染,這種威脅實(shí)際上如何傳播和造成多大的傷害。”
另一個(gè)反惡意軟件廠商,趨勢(shì)科技公司,也投資于新的情報(bào)能力,利用云基礎(chǔ)設(shè)施和在線(xiàn)社區(qū)的力量。趨勢(shì)科技公司在加拿大的產(chǎn)品和服務(wù)總監(jiān)Tom Moss,介紹了一個(gè)“以火救火戰(zhàn)略(fight fire with fire strategy)。”
“僵尸控制器是一種云的使用方式,或使用互聯(lián)網(wǎng)控制大量的機(jī)器,”他說(shuō),“我們利用的機(jī)器和網(wǎng)絡(luò),我們的客戶(hù)收集有關(guān)惡意軟件如何行為,正在試圖和誰(shuí)溝通的情報(bào)。”
還是在這里,收集數(shù)據(jù)供日后分析。趨勢(shì)科技運(yùn)行一種感染源的背景檢查,他說(shuō):“這個(gè)域名在哪里注冊(cè)?這個(gè)人曾經(jīng)注冊(cè)過(guò)什么樣的域名?與這些域名相關(guān)聯(lián)的地址變化有多頻繁?”
Millier說(shuō),分析正在成為對(duì)惡意軟件的斗爭(zhēng)的一部分,IT安全行業(yè)同樣面臨著和其他人一樣的大數(shù)據(jù)的挑戰(zhàn)。把大量的數(shù)據(jù)帶到一個(gè)地方監(jiān)視,是一個(gè)健全的戰(zhàn)略,他說(shuō),但很難進(jìn)行有意義的分析,對(duì)大量的原始資料。
“為了能夠有效觸發(fā),為了能夠有效地通過(guò)搜索,它確實(shí)需要被索引,并且需要進(jìn)行排序,”Millier說(shuō),“因此你失去以非結(jié)構(gòu)化保持靈活性的辦法。”
Millier說(shuō),總體而言,我們正在使用的安全數(shù)據(jù)收集和分析的各種工具,已在近幾年大大改善,情報(bào)的深度和廣度是大得多。
“你得到在網(wǎng)絡(luò)中實(shí)際上發(fā)生的事情,你在系統(tǒng)層面看到它,你在網(wǎng)絡(luò)層面看到它,你在防火墻看它,甚至在應(yīng)用程序?qū)用婵此?,?dāng)然能夠更快更好地識(shí)別威脅。”