在與高級惡意軟件的不斷升級的武器競賽中，很多企業(yè)需要部署更強(qiáng)的防御措施來實(shí)時保護(hù)企業(yè)網(wǎng)絡(luò)，而不能只是依靠桌面終端病毒掃描程序和網(wǎng)絡(luò)入侵防御產(chǎn)品。

然而，對于安全企業(yè)而言，高級惡意軟件越來越難檢測，這主要“歸功于”名為“crypters”和“packers”的自動化在線工具的普及(超過100)，以及很多利用社交網(wǎng)絡(luò)來建立信任的新攻擊技術(shù)，還有內(nèi)存攻擊和勒索軟件。所有這一切都意味著，我們正面對著一個越來越討厭的網(wǎng)絡(luò)世界。

Crypter和packers讓網(wǎng)絡(luò)罪犯更容易創(chuàng)建(幾秒鐘內(nèi))針對特定桌面的自定義代碼。這種“個性化”做法的結(jié)果是，簽名掃描器變得無效，并且，零日攻擊(例如11月Windows XP權(quán)限升級攻擊)變得非常難以阻止。

根據(jù)IT安全公司Sophos表示，勒索軟件正越來越受歡迎。例如在11月瞄準(zhǔn)SAP安裝的最新攻擊，以及感染網(wǎng)絡(luò)的CryptoLocker變體。在這些攻擊中，受感染的代碼在防護(hù)軟件(例如假的防病毒或反惡意軟件程序)的幌子下，通過釣魚攻擊誘使用戶下載。這些代碼并不會保護(hù)你，反而會要求你付錢(有時候是比特幣)才歸還你的數(shù)據(jù)。

提高勝算

攻擊事件可以很容易地繞過你的防御。Neohapsis公司高級安全顧問兼加州連鎖醫(yī)院前IT經(jīng)理Andy Hubbard表示：“在擁有9000到12000用戶的企業(yè)，平均每個月會遭遇1000到1200起病毒事件，雖然傳統(tǒng)反病毒產(chǎn)品可以捕捉很多這些事件，但這些桌面仍然需要進(jìn)行適當(dāng)?shù)木S護(hù)。”

據(jù)Hubbard稱，“各種版本的假冒防病毒程序仍然很常見，這意味著即使是很小比率的惡意電子郵件流量繞過垃圾郵件過濾器都可能帶來嚴(yán)重影響。”

在這種情況下，這意味著管理更新變得至關(guān)重要。Brennan IT公司IT經(jīng)理Dougan McMurray建議：“雖然垃圾郵件和web內(nèi)容過濾器及網(wǎng)絡(luò)威脅保護(hù)設(shè)備可能不是最新技術(shù)，但保持它們100%更新絕對是必要之舉。”

有時候，正是知識的差距讓壞人成功入侵企業(yè)。AVOA前首席信息官兼現(xiàn)任戰(zhàn)略顧問Tim Crawford表示：“企業(yè)不能總是證明除傳統(tǒng)防火墻外的附加保護(hù)功能的價值。隨著威脅向量逐漸從相對簡單的基于簽名的(威脅)變?yōu)楦鼜?fù)雜的基于行為的(威脅)，很多IT經(jīng)理的意識還沒有隨之轉(zhuǎn)變。”

更多反擊方式

企業(yè)可以利用兩種常見技術(shù)進(jìn)行反擊。首先，很多企業(yè)正在提高其實(shí)時全局掃描的能力。(國家安全局并不是唯一監(jiān)控互聯(lián)網(wǎng)流量的實(shí)體)。McAfee、Norse、FireEye、Palo Alto以及Network Box等供應(yīng)商都提供這方面的產(chǎn)品和服務(wù)。這些安全供應(yīng)商已經(jīng)在全世界范圍的主要客戶或互聯(lián)網(wǎng)連接點(diǎn)部署了傳感器，可以近乎實(shí)時地檢測零日漏洞。

Palo Alto公司利用其WildFire服務(wù)來瞄準(zhǔn)和調(diào)查威脅，并將威脅信息傳輸給其客戶。McAfee結(jié)合了其高級威脅防御設(shè)備與其針對端點(diǎn)和服務(wù)器的實(shí)時軟件，以試圖更好地捕捉零日攻擊。Norse公司提供的軟件可以讓信用卡公司在幾秒鐘內(nèi)通過讀卡器來檢查信用卡是否已經(jīng)失密。另外，Network Box的Z-Scan反惡意軟件服務(wù)則在關(guān)鍵網(wǎng)段部署了數(shù)十萬探頭來檢測高級惡意軟件和其他異常情況。該公司還增加了十幾個反惡意軟件掃描器以及3個IPS引擎來檢查數(shù)據(jù)包。

其他公司(例如Verdasys和FireEye)正聯(lián)手推出集成安全系統(tǒng)。在11月份推出的Verdasys Digital Guardian Connector for FireEye就結(jié)合了FireEye公司的檢測網(wǎng)絡(luò)與Verdasys的端點(diǎn)保護(hù)。我們期待未來出現(xiàn)更多合作伙伴。

預(yù)警系統(tǒng)

另外，還有來自思科、Blue Coat、Bit9和賽門鐵克等公司的更先進(jìn)和綜合聲譽(yù)管理技術(shù)。同樣地，這些系統(tǒng)在世界各地部署了傳感器，但不同的是，它們試圖尋找傳播惡意軟件的特定網(wǎng)絡(luò)域。雖然聲譽(yù)服務(wù)已經(jīng)存在好幾年，現(xiàn)在的不同在于，這些服務(wù)被整合到普通網(wǎng)絡(luò)防火墻以及IPS服務(wù)，使它們可以更好地瞄準(zhǔn)惡意軟件和異常網(wǎng)絡(luò)事件。由于這些系統(tǒng)從實(shí)際互聯(lián)網(wǎng)流量收集數(shù)據(jù)，當(dāng)新感染開始在全球范圍內(nèi)移動時，它們可以很好地作為預(yù)警系統(tǒng)。

思科的安全智能運(yùn)營中心(Security Intelligence Operations)--根源于SenderBase產(chǎn)品系列，可以用在各種思科設(shè)備中，包括其IPS、Web安全設(shè)備以及ASA CX防火墻系列。由于思科的覆蓋面和市場占用率，這可以作為很好的第一道防線，并發(fā)現(xiàn)很多潛在的漏洞利用。

有些防火墻供應(yīng)商已經(jīng)更進(jìn)了一步。這些公司在其自己的專有聲譽(yù)管理系統(tǒng)中加入了地理圍欄，這樣他們可以加強(qiáng)其保護(hù)，識別發(fā)送高級惡意軟件的特定域名，以及找出很多漏洞利用的起源地。這意味著你可以利用一系列簡單的菜單來拒絕或允許來自特定國家的流量。

但是，即使有了所有這些技術(shù)，這仍然是一場不公平的戰(zhàn)斗。咨詢公司Iron Horse公司總裁Tony Stirk警告說，“沒有什么是完美的。壞人想要傷害你，你會犯錯誤，壞人侵入，事故是不可避免的?？紤]到這一點(diǎn)，想象一下，流程如何會出錯，對此，你可以開始設(shè)計(jì)安全程序，讓流程變得更加靈活，并部署響應(yīng)程序以防事情變糟糕。如果你假設(shè)你最終會受到攻擊，唯一真正的防御是部署可靠的備份和良好的恢復(fù)過程。”