惡意軟件變體的瘋狂增長給端點(diǎn)安全帶來了巨大挑戰(zhàn)。隨著端點(diǎn)的數(shù)量和種類的明顯增加，企業(yè)必須部署外圍網(wǎng)絡(luò)安全技術(shù)來保護(hù)所有最終用戶、服務(wù)器和流量，以及應(yīng)對不斷增長的流量、惡意軟件以及其它網(wǎng)絡(luò)威脅。

基于網(wǎng)絡(luò)的惡意軟件檢測(NBMD)是基于簽名的端點(diǎn)反惡意軟件檢測的替代品。這種產(chǎn)品“總是開啟狀態(tài)”，并且能夠應(yīng)對現(xiàn)代惡意軟件用來繞過客戶端安全使用的技巧。然而，部署往往是一個(gè)挑戰(zhàn)：要發(fā)揮其最大的效果，NBMD必須采用串聯(lián)部署，而且，如果沒有精心配置，它可能變得過于“激進(jìn)”，破壞關(guān)鍵任務(wù)應(yīng)用以及業(yè)務(wù)流程。

在本文中，我們將討論如何成功地串聯(lián)部署基于網(wǎng)絡(luò)的惡意軟件檢測，包括如何管理和配置這些系統(tǒng)來避免影響應(yīng)用基礎(chǔ)設(shè)施的最佳做法。

NBMD的優(yōu)勢

傳統(tǒng)的反惡意軟件檢測是基于供應(yīng)商的簽名：供應(yīng)商會(huì)隔離并檢查在網(wǎng)絡(luò)中發(fā)現(xiàn)的惡意軟件，并編寫簽名來告訴反惡意軟件產(chǎn)品應(yīng)該如何辨識(shí)這種惡意軟件，然后，分發(fā)簽名到其反惡意軟件產(chǎn)品的客戶。

相比之下，NBMD則是在沙盒環(huán)境實(shí)際執(zhí)行可疑文件，以確定其行為是可疑還是惡意，從而確定已知和未知的惡意軟件。NBMD產(chǎn)品提供的這種額外分析可以發(fā)現(xiàn)難以檢測的定制的多態(tài)惡意軟件，這種惡意軟件通常用于高級持續(xù)威脅或者說APT攻擊中。

雖然位于外圍的設(shè)備具有低延遲性(它不需要發(fā)送文件進(jìn)行分析)，但在繁忙的網(wǎng)絡(luò)中檢查所有流量和未知文件仍然是一個(gè)巨大的挑戰(zhàn)，即使入站點(diǎn)和出站點(diǎn)保持在最低限度。對于這個(gè)問題，最新的NBMD產(chǎn)品的做法是，將部分或者全部分析轉(zhuǎn)移到云中，幫助降低成本、提高可擴(kuò)展性和準(zhǔn)確性。

基于云的NBMD服務(wù)的一大優(yōu)勢在于，通過對很多客戶遇到的大量惡意軟件進(jìn)行分析，客戶可以從中收益。并且，它能夠作為所有文件哈希、指標(biāo)和測試的中央資料庫，這樣，新的惡意軟件的暴露面減少了，因?yàn)槲覀儾恍枰獙⒏碌慕Y(jié)果分發(fā)到所有本地設(shè)備。然而，NBMD在網(wǎng)絡(luò)內(nèi)部署的方式對其有效性以及普及率有著很大的影響。

成功地部署基于網(wǎng)絡(luò)的惡意軟件檢測

為了最大限度地發(fā)揮NBMD產(chǎn)品的優(yōu)勢，NBMD需要進(jìn)行串聯(lián)式部署;與其他串聯(lián)部署的安全設(shè)備(例如防火墻和入侵防御系統(tǒng))一樣，NBMD產(chǎn)品可以在惡意軟件進(jìn)入網(wǎng)絡(luò)前，捕獲并阻止惡意軟件。帶外或者端口鏡像部署模型意味著它更像是典型的監(jiān)控器，檢查流量，當(dāng)發(fā)現(xiàn)惡意軟件進(jìn)入網(wǎng)絡(luò)時(shí)發(fā)送警報(bào)。但這種部署不能很好地在服務(wù)器或者云中擴(kuò)展，因?yàn)楣芾韱T可能被警報(bào)“淹沒”，畢竟所有這些警報(bào)都需要進(jìn)行調(diào)查，并盡快解決以防止造成損害。串聯(lián)部署NBMD給了企業(yè)更多的靈活性來發(fā)出警報(bào)或阻止。

雖然在惡意軟件進(jìn)入網(wǎng)絡(luò)前進(jìn)行阻止很好，但自動(dòng)地阻止所有可疑文件進(jìn)入網(wǎng)絡(luò)也有其缺點(diǎn)，即誤報(bào)可能會(huì)破壞關(guān)鍵應(yīng)用程序和影響用戶工作流程。順利地過渡到串聯(lián)檢測以及從警報(bào)過渡到攔截的唯一方法是，花時(shí)間慢慢收緊規(guī)則來消除誤報(bào)造成的問題。企業(yè)應(yīng)該對于供應(yīng)商所謂的自學(xué)型系統(tǒng)持懷疑態(tài)度;企業(yè)應(yīng)該定義政策，并隨著時(shí)間的推移調(diào)整政策直到其可行，這里并沒有捷徑可走。

最初，企業(yè)可以將NBMD設(shè)備設(shè)置為僅阻止已知惡意文件，同時(shí)，對于任何存在不確定因素的文件發(fā)送警報(bào)，并確保有足夠的資源可用來處理這可能帶來的額外的工作量。一旦確定某些文件類型不會(huì)破壞任何進(jìn)程或者應(yīng)用程序，它們就可以從警報(bào)要求移除。在此期間，定期檢查關(guān)鍵應(yīng)用程序的日志以捕捉錯(cuò)誤消息，這可能發(fā)現(xiàn)關(guān)鍵文件被阻止或延遲的跡象。同時(shí)警告支持臺(tái)，對于常見的工作流程，用戶可能會(huì)遇到延遲或者中斷，他們應(yīng)該會(huì)從用戶得到反饋，這個(gè)過程將有助于定義規(guī)則。

NBMD也可用于識(shí)別各種其他企業(yè)威脅，包括可能是惡意的出站網(wǎng)絡(luò)流量，例如，感染的設(shè)備和攻擊者的命令控制中心之間的典型的通信。根據(jù)協(xié)議、目的地、時(shí)間、文件類型和數(shù)據(jù)包內(nèi)容等指標(biāo)，企業(yè)可以只允許某些應(yīng)用程序發(fā)送數(shù)據(jù)到網(wǎng)絡(luò)外部，這樣企業(yè)可以防止受感染設(shè)備發(fā)送數(shù)據(jù)出去，從而阻止數(shù)據(jù)泄漏。

然而，即使部署了良好設(shè)置的NBMD產(chǎn)品，企業(yè)仍需要在端點(diǎn)部署一些傳統(tǒng)反惡意軟件保護(hù)來加強(qiáng)保護(hù)，無論設(shè)備是否位于企業(yè)網(wǎng)絡(luò)。

展望NBMD的未來

對于努力應(yīng)對高級威脅的企業(yè)而言，在補(bǔ)充并最終取代傳統(tǒng)反惡意軟件程序的過程中，基于網(wǎng)絡(luò)的惡意軟件檢測產(chǎn)品是一個(gè)有吸引力的產(chǎn)品。雖然在NBMD部署過程中，仍然有很多障礙需要突破，如果企業(yè)能夠有足夠的毅力和決心來配置這些設(shè)備，最終將獲得豐富的回報(bào)