防病毒軟件不足以承擔企業防護重任

Ryan+Francis

要想更好地保護企業，還需要行為分析和人工智能以及其他技術 用于保護企業系統免受惡意軟件攻擊的防病毒軟件和流感疫苗有些相似。雖然您應該擁有它，但它不能保證您不會感染流感的每一種病毒。 WhiteHat Security威脅研究中心副總裁Ryan O'Leary說：“防病毒軟件能夠很好地阻止已知的威脅，但問題已經不僅僅是病毒了。網絡或者應用程序中的惡意軟件和漏洞會帶來更大的損失?！?更糟糕的是，和傳統的防病毒軟件相比，新威脅實在是太狡猾了。 O'Leary說：“作為一個行業我們應該認識到，思想上把一切都交給防病毒軟件和防火墻會讓您自己非常容易遭受損失。企業應對其安全計劃采取更全面的方法，開始認真對待有可能危及整個公司的應用程序、網絡和惡意軟件問題。” Exabeam首席執行官Nir Polak說，惡意軟件只是安全泄露事件的第一步——它的工作就是騙取信任，并用來創建能夠訪問企業網絡的新的有效身份。 Polak說：“所以，檢測出惡意軟件是件好事，但這總是太晚了。當防病毒系統檢測到惡意軟件時，黑客已經從計算機中脫身，以新身份繼續在網絡上作惡。反惡意軟件是必要的，但這根本不是一個完整的解決方案。” Glasswing Ventures的Rick Grinnell表示同意：“正如疫苗不能對癥下藥，患者很容易被傳染一樣，防病毒解決方案如果沒有匹配上惡意軟件特征碼，那么用戶將受到攻擊?！?Grinnell認為企業現在應把行為分析、人工智能和其他技術聯合起來進一步增強防御，從而加強防病毒保護能力。 Grinnell說，15到20年前，賽門鐵克（諾頓）和McAfee防護的是主流Wintel環境中少量傳播很慢的病毒，因此，防病毒和特征碼匹配機制工作的不錯。 隨著互聯網的發展，軟件漏洞越來越脆弱，而攻擊技術越來越復雜，以感染數百萬臺機器的ILOVEYOU蠕蟲為代表，2000年初爆發了惡意軟件攻擊。即使在那時，防病毒軟件供應商也提供了十年內依然有效的相關保護措施。 Grinnell說，現在大約有一半的違規行為無法被防病毒軟件檢測到。為了應對更復雜的威脅，防病毒軟件供應商添加了行為和白名單選項（其中一些難以部署）進行試驗，以阻止惡意活動。 Grinnell補充說，這只會刺激攻擊者設計出更復雜的方法。 怎么辦？ 為能夠及時應對更新的攻擊，出現了更加復雜的機器學習和人工智能防護技術。 Grinnell說：“這些解決方案能夠迅速學習并適應變化很快的惡意軟件類型，能發現‘藏在干草堆中的針，而惡意行為通常偽裝隱藏在正常的數據流中，這些數據流是經過身份認證的用戶帳戶使用經核準的應用程序時所發出的?！?他補充說：“那么如果疫苗與現實世界中的病毒不匹配怎么辦？這就是為什么行為分析是解決難題關鍵所在的原因。行為分析能發現數據流的激增或者異?！隽苏７秶缇€。” 他說：“更好地了解現有數據將有助于企業作出更明智的決定——傳統的防病毒軟件是做不到的?！?他說，現在另一個問題是利用漏洞可以攻擊越來越多的各種系統，其中很多系統沒有能力運行任何本地安全軟件。這就是為什么安全防護必須分層的原因，一些在端點上運行，其他的則在網絡上運行。 真正的好方法不僅需要查看流入和流出的數據，還要根據外部威脅信息查看用戶、機器、應用程序和數據的行為活動。 Grinnell說：“安全市場上一些較新的供應商正在利用先進的人工智能技術來查找最復雜的惡意軟件——防病毒軟件永遠也匹配不上其特征碼，在惡意軟件發起攻擊前阻止攻擊。其他供應商正在使用行為模型，加上眾籌數據和人類專家團隊，盡早發現漏洞，以便在出現重大損失前快速做出響應?！?誰的保護最好？Grinnell指出，Cylance、Crowdstrike和Carbon Black，還有賽門鐵克和McAfee有望重新得到重視。Palo Alto Networks和IBM等其他公司也在他們的產品中加入了先進的機器學習和人工智能技術。 還沒結束 防病毒軟件供應商并沒有打算將其產品退出市場。 Check Point Software的安全解決方案副總裁Avi Rembaum說：“實際上，各種藥物還是很多的。如果出現了新病毒，現有藥物還不能治療這些新病毒。而且，如果某個人被傳染了老病毒，而這個人沒有產生抗體，那么現有藥物依然是有效的?！?Rembaum認為防病毒軟件還是應該保留在安全工具箱中。也許沒有比青霉素和阿司匹林更合適的了，它們現在仍然有效，在可預見的未來也會繼續有效，即使不一定能治療最新的流感變種。 Rembaum說：“重要的是要記住，安全總是多層面的。需要先進的威脅預防措施來阻止高級攻擊。”他指出，Check Point SandBlast就是這種技術的一個例子。 CyberX工業網絡安全副總裁Phil Neray說，防病毒軟件和防火墻都不會輕易消亡。他說：“只是它本身有不足之處，因為它不能防御現代的威脅，例如有針對性的攻擊、無文件惡意軟件和多態惡意軟件等?！?Neray說：“防病毒軟件還沒有消亡的一個領域是非傳統端點，例如物聯網、工業物聯網和工業控制系統（ICS）設備——因為它尚未涉足這一領域。這些設備沒有足夠的機器資源來運行防病毒軟件代理，因此需要依賴其他的防御措施，例如網絡行為分析和無代理漏洞評估等來保護它們。” WatchGuard Technologies首席技術官Corey Nachreiner說：“依靠簽名或者已知的惡意軟件特征碼來阻止威脅已經不行了。因此，盡管基于簽名的防病毒解決方案可能會消亡，但一般來說，防病毒解決方案還是像以前一樣重要?！?新瓶裝舊酒 他說，今天，即使一些不太老練的犯罪分子也能有辦法讓老的惡意軟件改頭換面，至少在二進制層面上。他們采用的逃避技巧有“包裝和隱藏”。使用包裝工具，攻擊者把以前很容易檢測到的、眾所周知的惡意特洛伊木馬在二進制層面上將其打亂，這樣原來的防病毒簽名無法再匹配它。 Nachreiner說：“...雖然特洛伊木馬沒變，但是它現在可以逃避基本的防病毒檢測。此外，攻擊者讓這一過程自動執行，其惡意軟件傳送服務器在針對新的受害者時不斷地重新包裝惡意軟件。” 結果：每天會出現數十萬個新的惡意軟件樣本，基于簽名的檢測防護對此就無能為力了。他說：“...業界已經認識到，被動反應式的、基于特征碼的惡意軟件檢測技術無法阻止惡意軟件。新的反惡意軟件控制措施應更多地關注主動檢測技術?！?Cybereason首席產品官Sam Curry說：“答案在于能夠發現是誰在發起攻擊的新技術。就像蓋房子需要釘子一樣，企業需要防病毒軟件；但是，不管是蓋房子的釘子還是IT防病毒軟件，都不應該成為負擔?！?他說，防病毒可以讓人更“衛生”，但實際的防疫工作也會出現在別的地方。阻止攻擊者，降低企業風險的最佳方式還與其他因素有關。 Curry說，行為數據（來自端點、網絡、用戶和應用程序）是關鍵，端點行為數據最為重要。在這些方面就需要人工智能了。 他說：“人工智能這個詞已經有點濫用了，而要想在網絡對抗中保持不敗，應非常重視最基本的學習、自適應軟件和算法，包括從機器學習和數據挖掘技術到更復雜的專家系統和人工智能等?，F在，攻擊者在網絡對抗中享有所有的優勢和不對稱。行為數據，結合自動化和行之有效的機器學習、數據科學和人工智能是扭轉這種不對稱的關鍵，也讓防護者在網絡對抗中占據優勢。” Ryan Francis是《計算機世界》的主編?？梢酝ㄟ^rfrancis@idgenterprise.com聯系他。 原文網址： http：//www.computerworld.com/article/3197545/security/for-enterprise-protection-antivirus-software-is-no-longer-enough.htmlendprint