如何改善基于Web的惡意軟件檢測

近幾年，反惡意軟件雖然還是CISO（首席信息安全官）所關注的安全問題，但它已經逐漸失去了其有效作用。是否把反惡意軟件作為企業端點保護項目的組成部分，取決于合規性及監管條例的要求，比如PCI DSS和HIPAA，也取決于反惡意軟件是否包含在安全“最佳”實踐列表中，還取決于它如何取代近三十年來作為傳統端點安全性首選工具的不確定性

不管是什么原因，事實已經越來越明顯，攻擊者已經成功地研究出可以避免先進的反惡意軟件檢測的惡意軟件，特別是基于Web的惡意軟件防御。

一些驚人的事實：

根據2012年Sophos的報告，85%的惡意軟件（病毒、蠕蟲、間諜軟件、廣告軟件和木馬）都來自網頁，偷渡式下載被認為是最大的網頁威脅。

Sophos的報告還顯示，每天有3萬個網站被感染，80%是被黑客攻擊的合法網站，以至于網絡罪犯還可以通過使用這些網站來托管惡意代碼。

內容不可知惡意軟件保護（CAMP）是谷歌公司今年早些時候內置在谷歌瀏覽器內的一種惡意軟件檢測組件，每月可以探測到超過5百萬個惡意軟件下載。CAMP可以檢測到99%的惡意軟件，優于四家主要安全廠商基于Web的防病毒產品：McAfee公司的 SiteAdvisor、Symantec 公 司 的 Safe Web、Trend Micro的Site Safety Center和谷歌自己的Safe Browsing。谷歌最近的一項比較調查顯示，這些產品加起來可以檢測出它們所遇到惡意代碼的40%，表現最出色的的產品只能檢測出25%的惡意代碼。

測試之后，谷歌的CAMP項目挑選出2200種未知二進制文件并提交給 VirusTotal，VirusTotal是一家促進創建新發現惡意代碼防病毒簽名的服務機構。10天之后，發現CAMP所檢測出的99%二進制文件，上述防病毒產品只檢測出了20%。

目前惡意軟件防御的缺點還沒有造成特別明顯的過失，這些數據只是說明基于簽名的反惡意軟件已經難以對付惡意軟件。現階段，我們已經不能信任傳統的防病毒產品可以檢測惡意軟件。那么如果基于簽名的反惡意軟件工具不合適，那么什么是合適的工具呢？它們真的存在嗎？其實我認為它們存在，帶著一些警告。這也就是我們在這篇文章中要討論的問題。

惡意軟件檢測替代品

和所有的安全產品一樣，這個解決方案也不是一個完全適用的方法。對于終端來說，不管是在數據中心防火墻內還是員工手中自帶設備，都有很多種工具和方法可以用于實現一個更高級別的安全性。但是根據每個組織所面臨的不同挑戰，所付出的努力會不同。

內容過濾：因為85%的惡意軟件是通過Web傳輸（配上偷渡式下載成為最大的威脅），這些惡意軟件要求企業提供更高級別的內容過濾。企業應該廣泛部署兩種關鍵的防御工具：

Web代理：提供Web代理的產商不少，而且這種技術也已經存在相當長的一段時間了。像Blue Coat Systems和Websense提供基于訂閱式服務，這樣可以提供基于策略的允許或阻止網站訪問。此外，這些服務提供情報和動態更新，以阻止用戶訪問已知的惡意站點。需要說明的是，這些產品不能檢測零日漏洞，而由于這些產品帶有基于簽名的反惡意軟件，在不良網站識別和簽名檢測時會有延遲。雖然Web代理可能只是惡意軟件防御裝備中的一個環節，但是它們非常重要。

DNS過濾：Open DNS這樣的工具可以通過黑名單域名，積極地阻止用戶訪問已知的有害網站，這樣用戶就不能瀏覽有害網站。這樣的DNS過濾工具也提供白名單服務。Open DNS利用數百萬用戶提供的數據，來整合出關于每天檢測出的3萬個新站點的更快情報。DNS過濾實現方式很簡單，有許多大牌客戶都使用這種服務作為保護Web用戶的第一道防線。DNS過濾最明顯的優點是，這種服務并不要求部署昂貴的硬件設備。

基于瀏覽器的安全性：Web瀏覽器組件類似于微軟的Smart Screen(IE8及其以上系列產品的一部分功能)，這些產品都已經有效地過濾用戶想要訪問的惡意網站。據微軟稱，它們的產品已經成功阻止了超過10億的惡意軟件下載。谷歌的CAMP是另一項措施，讓谷歌瀏覽器用戶可以充分利用谷歌關于惡意站點龐大而動態的知識庫。

基于主機的異常/取證工具：這些工具在市場上越發成熟，面向公司更珍貴的資產提供顯著的新防御功能，這些資產是：數據庫服務器，財務系統，郵件服務器，高級管理人員和其他高風險用戶系統。從理論上講，代理服務會部署在每一個終端上，并且首先開發一個系統正常活動(運行的應用程序，網絡連接/開放的分享，內存調用，當在監控其他事件中套接時的文件訪問)的基線。一旦基線完成，這些代理就可以繼續監控系統，探測可能是惡意的不規則活動。

這些產品的一些廠商和其他廠商或服務提供商合作，如VirusTotal.當用戶從網絡，郵件甚至是USB驅動器中下載一個應用程序或二進制文件時，為了進行自動分析，他們會自動上傳可疑或未知的二進制文件。

當違規事件發生時，這些工具可以提供顯著的優勢。在一個正常的違例情況下，違例發生之后，受入侵的系統上會安裝取證工具。有些工具是由新銳廠商所提供，如Carbon Black。Mandiant和 Guidance Software的Encase工具已經預先安裝并且可以提供一些預見，如違例發生之前可能發生什么，什么會導致違例和違例的后果會怎樣。

虛擬化保護：然而，在過去三年里，通過虛擬化或隔離來實現安全性的技術已經蓄勢待發。這些技術不依賴于通過簽名或黑名單來檢測的老本技術。

廠商Bromium公司尋求通過虛擬化和隔離，在自己計算機的微虛擬機上隔離每個進程和應用程序。這些微虛擬機上的操作在本地主機的云信息中進行，從而分理出一些進程，如Web瀏覽器，辦公套件，電子郵件等相關進程。

另外，FireEye公司提供了一個虛擬化容器，允許安全專家在一個受控環境中評估可疑的惡意軟件，從而不需要考慮外來代碼對環境帶來的未知風險。分析師可以重演可疑攻擊，并分析受損的虛擬化系統來評估和識別惡意行為，而且還可以利用這些行為在其他系統和網絡中追蹤相似行為。

因為惡意軟件在不斷發展，依賴于一個單一的惡意軟件防御系統，或依賴于在較長一段時間內各種防御方法的相同結合，都是不明智的決定。我們不能想當然地認為，我們現在用來保護最寶貴IT資產的工具在五年之后還可以使用。因此，隨著基于簽名的反惡意軟件漸漸退出舞臺，新的技術慢慢成熟，一定要記住，不停地重新評估威脅環境，并作出相應的調整是很關鍵的。