簡(jiǎn)介

眾所周知，手段高超的攻擊者現(xiàn)在擁有足夠的資源、專業(yè)知識(shí)和毅力，可能隨時(shí)危害任何組織的安全。惡意軟件無處不在。傳統(tǒng)的防御措施(包括防火墻和端點(diǎn)保護(hù))已無法有效地抵御這些攻擊，這意味著惡意軟件的處理過程必須有所發(fā)展，能夠快速做出應(yīng)對(duì)。

惡意軟件及其代表的有針對(duì)性的持續(xù)攻擊十分復(fù)雜，并非通過單時(shí)間點(diǎn)控制和自我防御型產(chǎn)品就能解決。高級(jí)惡意軟件防護(hù)(AMP)必須像其所要對(duì)抗的惡意軟件一樣無處不在。此類防護(hù)必須提供一套綜合的控制措施和一種無間斷的流程，能夠在攻擊前、中、后的整個(gè)過程中對(duì)這些威脅進(jìn)行檢測(cè)、確認(rèn)、跟蹤和分析，并做出補(bǔ)救。網(wǎng)絡(luò)、終端設(shè)備及二者之間所有元素所采取的防御措施必須集成起來，以便應(yīng)對(duì)層出不窮的新攻擊手段。

安全問題還在以難以緩解的勢(shì)頭不斷加劇。隨著多態(tài)惡意軟件的出現(xiàn)，組織所面臨的新惡意軟件正以每小時(shí)過萬的速度增加，攻擊者甚至可以通過非常簡(jiǎn)單的惡意軟件工具侵入一臺(tái)設(shè)備。通過匹配已知惡意軟件簽名來識(shí)別文件的黑名單方法已無法趕上這種增長(zhǎng)速度，而較新的檢測(cè)技術(shù)(如沙盒方法)也不能保證 100% 有效。與此同時(shí)，網(wǎng)絡(luò)犯罪分子也開始越來越多地利用互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的強(qiáng)大能力來發(fā)起攻擊，而不再局限于單個(gè)計(jì)算機(jī)?！端伎?2014 年度安全報(bào)告》證實(shí)了這種攻擊的普遍性：所有受訪的財(cái)富 500 強(qiáng)公司都存在進(jìn)入流向惡意軟件托管網(wǎng)站的流量。將電郵和網(wǎng)絡(luò)網(wǎng)關(guān)納入保護(hù)對(duì)象勢(shì)在必行。

圖 1. 追溯性安全功能是 Sourcefire(現(xiàn)已成為思科的一員)的獨(dú)特優(yōu)勢(shì)，可為對(duì)抗高級(jí)惡意軟件奠定基礎(chǔ)。此功能可通過持續(xù)的大數(shù)據(jù)分析匯聚不同擴(kuò)展網(wǎng)絡(luò)的數(shù)據(jù)和事件，從而提供持續(xù)的文件跟蹤和分析，確?？蓪?duì)最初被認(rèn)為安全可靠，但隨后發(fā)現(xiàn)存在惡意威脅的文件發(fā)出警報(bào)并做出補(bǔ)救。

本《高級(jí)惡意軟件防護(hù)選購(gòu)標(biāo)準(zhǔn)》確定了在選擇高級(jí)惡意軟件防護(hù)解決方案時(shí)應(yīng)向供應(yīng)商詢問的重要問題。本文還將介紹思科的綜合方法(包括大數(shù)據(jù)分析;綜合安全智能;跨網(wǎng)絡(luò)、終端設(shè)備、安全網(wǎng)關(guān)、虛擬系統(tǒng)和移動(dòng)設(shè)備實(shí)施能力;以及獨(dú)特的追溯性安全功能)如何有效對(duì)抗惡意軟件攻擊的源頭。#p#

運(yùn)用大數(shù)據(jù)分析和綜合安全智能來解決惡意軟件問題

在已知惡意軟件呈指數(shù)級(jí)增長(zhǎng)的形勢(shì)下，為了更好地服務(wù)客戶，傳統(tǒng)端點(diǎn)保護(hù)解決方案供應(yīng)商推出了“云計(jì)算輔助防病毒”功能，實(shí)質(zhì)上就是將簽名數(shù)據(jù)庫(kù)遷移到云。這種做法解決了需要每隔五分鐘將數(shù)十億病毒簽名分發(fā)到每臺(tái)終端設(shè)備的問題，但是對(duì)于不斷發(fā)展的可以避開基于簽名的檢測(cè)的高級(jí)惡意軟件，卻束手無策。

需要詢問高級(jí)惡意軟件防護(hù)解決方案供應(yīng)商的問題

1. 你們?nèi)绾卫么髷?shù)據(jù)進(jìn)行持續(xù)的惡意軟件檢測(cè)?

2. 你們?nèi)绾螌?duì)惡意軟件進(jìn)行分析，以確定它的具體作用?

3. 你們的惡意軟件分析如何使檢測(cè)功能實(shí)現(xiàn)自動(dòng)更新?

4. 你們?nèi)绾问占c新出現(xiàn)的惡意軟件威脅相關(guān)的情報(bào)?

5. 你們?nèi)绾芜M(jìn)行不間斷分析，以實(shí)現(xiàn)追溯性惡意軟件檢測(cè)?

云計(jì)算輔助防病毒模式的另一個(gè)局限性在于，攻擊者可以充分利用他們的優(yōu)勢(shì)，即時(shí)間和耐心。大多數(shù)防惡意軟件技術(shù)通常都缺乏持續(xù)性和情景感知能力，僅注重在第一次發(fā)現(xiàn)文件時(shí)進(jìn)行檢測(cè)(即所謂的時(shí)間點(diǎn)檢測(cè))。但是，今天看起來不像惡意軟件的文件在明天(或翌日)可能會(huì)輕而易舉地轉(zhuǎn)變?yōu)閻阂廛浖Ｒ虼?，必須?duì)網(wǎng)絡(luò)進(jìn)行不間斷分析，并能夠根據(jù)最新的威脅情報(bào)，將文件狀態(tài)從無害轉(zhuǎn)變?yōu)閻阂狻?/p>

高級(jí)惡意軟件編寫者會(huì)想出并使用各種方法，來掩蓋惡意軟件的目的，增加檢測(cè)的難度。這些方法包括多態(tài)文件(可進(jìn)行一定程度的更改，騙過簽名引擎)、復(fù)雜的下載程序(可從命令與控制 [CnC] 網(wǎng)絡(luò)按需獲取惡意軟件)，以及自擦除型木馬(可刪除自身組件，使鑒別程序難以發(fā)現(xiàn)并分析該惡意軟件)。還有很多例子，這里不一一列舉。由于惡意軟件可能需要更長(zhǎng)時(shí)間才能從表現(xiàn)上加以判斷，所以我們需要采用新技術(shù)，在惡意軟件的整個(gè)生命周期中對(duì)其進(jìn)行捕捉和分析，以便了解其用途和去向，并確定初始檢測(cè)完成后可能發(fā)生的(以及時(shí)間點(diǎn)檢測(cè)技術(shù)可能會(huì)忽略的)惡意行為和危害表現(xiàn)。

Sourcefire(現(xiàn)已成為思科的一員)已開發(fā)出一種更加全面的新方法，來應(yīng)對(duì)惡意軟件檢測(cè)中存在的上述挑戰(zhàn)。憑借由數(shù)千家跨國(guó)企業(yè)組成的龐大客戶群，以及數(shù)百萬投入使用的終端設(shè)備惡意軟件防護(hù)代理，思科每月都會(huì)收集到上百萬份惡意軟件樣本數(shù)據(jù)。思科會(huì)在綜合安全智能云中對(duì)上萬種軟件的屬性進(jìn)行分析，區(qū)分出惡意軟件和無害軟件。分析內(nèi)容還包括軟件的網(wǎng)絡(luò)流量特征，這有助于識(shí)別出搜索 CnC 網(wǎng)絡(luò)的惡意軟件。思科還會(huì)利用已安裝 AMP 功能的海量在網(wǎng)設(shè)備(涵蓋所有 Sourcefire 和思科[1]產(chǎn)品系列)，來確s定正常文件和網(wǎng)絡(luò)活動(dòng)的表現(xiàn)(從全球和特定客戶組織內(nèi)部?jī)蓚€(gè)角度)，用于進(jìn)行比較。

要想檢測(cè)出能夠避開傳統(tǒng)檢測(cè)策略的惡意軟件，就必須采用更周全的方法。思科使用了可以根據(jù)文件的用途(而非表現(xiàn))來確定惡意軟件的專用模塊，確保能夠檢測(cè)出各種新型攻擊(甚至包括零日攻擊)。為了緊跟惡意軟件的變化速度，這些模塊會(huì)根據(jù) Sourcefire VRT®(漏洞研究團(tuán)隊(duì))發(fā)現(xiàn)的新攻擊方法自動(dòng)實(shí)時(shí)更新。

即使是在文件已通過任何檢測(cè)點(diǎn)之后，Sourcefire 綜合安全智能也會(huì)繼續(xù)發(fā)揮其優(yōu)勢(shì)。Sourcefire 的云分析功能會(huì)在更長(zhǎng)的時(shí)間里，根據(jù)最新的威脅情報(bào)持續(xù)對(duì)文件進(jìn)行評(píng)估。

最終，上述優(yōu)勢(shì)將共同服務(wù)于整個(gè) AMP 社區(qū)，確保其能夠在文件性質(zhì)發(fā)生改變時(shí)收到警報(bào)。這樣一來，所有使用綜合安全智能云的組織都將能在第一時(shí)間察覺到惡意文件，真正獲得依托于云的強(qiáng)大功能的“集體免疫”保護(hù)。

需要詢問防惡意軟件解決方案供應(yīng)商的問題

1. 你們用什么方法，來確定惡意軟件在整個(gè)網(wǎng)絡(luò)中和受侵害設(shè)備上的擴(kuò)散程度?

2. 如果在受到侵害數(shù)小時(shí)或數(shù)日后才檢測(cè)到惡意軟件，你們?nèi)绾未_定哪些設(shè)備曾接觸過這些惡意軟件?

3. 你們?nèi)绾翁幚硪殉晒Ρ苓^初始檢測(cè)的惡意軟件，以及網(wǎng)絡(luò)上未被攔截的惡意軟件?

4. 你們?nèi)绾文茚槍?duì)可疑活動(dòng)快速進(jìn)行根本原因分析?

5. 你們有哪些形式的控制措施，用來阻止感染或解決根本原因?

追溯性安全功能：通過不間斷分析，對(duì)最初被視為無害或未知，但隨后被確定為惡意的文件發(fā)出警報(bào)。追溯性安全功能可以確定感染的范圍，加以抑制，最終使一切恢復(fù)如初 - 即實(shí)現(xiàn)自動(dòng)的惡意軟件補(bǔ)救。#p#

追溯性安全功能帶您回到過去

攻擊者不會(huì)安于一隅。他們會(huì)不斷估量現(xiàn)有的安全控制措施，然后調(diào)整策略，比各種防御措施搶先一步。實(shí)際上，大多數(shù)攻擊者在發(fā)起攻擊之前，都會(huì)用領(lǐng)先的防惡意軟件產(chǎn)品來測(cè)試他們的惡意軟件。由于黑名單方法的有效性正在減弱，越來越多的安全公司開始依靠基于虛擬機(jī) (VM) 的動(dòng)態(tài)分析，來研究并對(duì)抗惡意軟件。攻擊者也已采用了針鋒相對(duì)的策略：對(duì)于虛擬機(jī)環(huán)境，他們或者什么也不做，或者會(huì)將攻擊的時(shí)間推遲幾個(gè)小時(shí)(或幾天)，使攻擊文件在檢測(cè)期內(nèi)不執(zhí)行任何惡意活動(dòng)，從而被誤認(rèn)為安全無害。當(dāng)然，在經(jīng)過默默等待后，他們便會(huì)開始危害受害者的設(shè)備。不幸的是，這類時(shí)間點(diǎn)檢測(cè)技術(shù)無法再次對(duì)文件進(jìn)行分析。只要某個(gè)文件被視為安全無害，無論檢測(cè)技術(shù)本身有所改進(jìn)，還是該文件轉(zhuǎn)而表現(xiàn)出惡意軟件行為，其狀態(tài)將一直是“安全無害”。更糟的是，當(dāng)惡意軟件成功避過檢測(cè)后，這類控制措施無法跟蹤惡意軟件在環(huán)境中的擴(kuò)散情況、探明根本原因，或確定潛在的惡意軟件網(wǎng)關(guān)(即重復(fù)感染惡意軟件，并成為感染擴(kuò)散源的系統(tǒng))。

上面只是一個(gè)簡(jiǎn)單的例子，用來說明惡意軟件編寫者如何比安全公司搶先一步，以及現(xiàn)有防惡意軟件控件的局限性。不過，最好的方法是假定沒有任何一種檢測(cè)防御措施能做到 100% 有效，假定您的所有保護(hù)僅基于看似可靠的檢測(cè)(不僅高估了您保護(hù)關(guān)鍵資產(chǎn)的能力，而且低估了攻擊者的能力)。因此，組織需要對(duì)已被避過的現(xiàn)有防御措施進(jìn)行規(guī)劃：這些措施必須能夠探明感染的范圍和情景，然后快速抑制損害，并全面消除威脅、根本原因和惡意軟件網(wǎng)關(guān)。要實(shí)現(xiàn)所有這些目標(biāo)，追溯性安全功能必不可少。

從本質(zhì)上講，AMP 的 Retrospective Security™(追溯性安全)功能可使組織回到過去，確保無論惡意軟件是在何時(shí)最終定性，都能確定曾與其發(fā)生接觸的設(shè)備。此功能需要跟蹤每一個(gè)穿越受保護(hù)網(wǎng)絡(luò)的文件、查看每個(gè)受保護(hù)設(shè)備上的每一項(xiàng)操作的完整沿襲情況，并將文件在組織中的移動(dòng)軌跡與它們?cè)谙到y(tǒng)中的行為進(jìn)行直觀的映射。

使用傳統(tǒng)防惡意軟件保護(hù)時(shí)，如果惡意軟件是在其已造成危害之后才被發(fā)現(xiàn)，您的選擇通常非常有限。您無法乘時(shí)光機(jī)回到過去，將該文件攔截在入口，因?yàn)樗呀?jīng)進(jìn)入您的環(huán)境，很可能正在大搞破壞。而在這時(shí)，大多數(shù)防惡意軟件控件都早已停止工作，以至于您無法搞清問題的整體情況，只能不知所措地問:“現(xiàn)在該怎么辦?”

也正是在這種情況下，AMP 的大數(shù)據(jù)分析能力可以大派用場(chǎng)。利用名為“文件軌跡” (File Trajectory) 的功能，您可以快速準(zhǔn)確地確定文件如何進(jìn)入組織，對(duì)惡意軟件進(jìn)行跟蹤，并立即清除受影響設(shè)備中的病毒(而且在很多情況下會(huì)自動(dòng)進(jìn)行)。更重要的是，由于 AMP 可以跟蹤每個(gè)文件的每次使用，所以組織可以找到“病原體”(惡意軟件的第一個(gè)受害者)以及所有其他受感染的設(shè)備，從而徹底根除感染。眾所周知，在清除惡意軟件后，即使留下一個(gè)實(shí)例，也極有可能發(fā)生再感染。

而且，文件軌跡功能不僅會(huì)分析與文件活動(dòng)相關(guān)的信息，還會(huì)跟蹤有關(guān)文件沿襲、使用、依賴關(guān)系、通信和協(xié)議的信息，并確定哪些文件會(huì)安裝惡意軟件，以幫助對(duì)檢測(cè)到的惡意軟件或可疑活動(dòng)進(jìn)行快速的根本原因分析。在發(fā)生攻擊時(shí)，安全團(tuán)隊(duì)可以立即從檢測(cè)模式切換到控制模式，快速探明感染的規(guī)模和根本原因，從而有效阻止進(jìn)一步感染。

圖 2. 文件軌跡功能演示屏幕，顯示了惡意軟件擴(kuò)散情況(包括進(jìn)入點(diǎn)信息)、惡意軟件活動(dòng)，以及受感染的終端設(shè)備。

在面對(duì)大量檢測(cè)事件(尤其是惡意軟件)時(shí)，另一個(gè)難題是確定哪個(gè)事件具有最高的優(yōu)先級(jí)，且必須做出應(yīng)對(duì)。通常，單個(gè)事件(即使是在終端設(shè)備上攔截到惡意文件)不一定意味著網(wǎng)絡(luò)受到侵害。但是，當(dāng)多個(gè)事件(即使是看似無害的活動(dòng))一起產(chǎn)生作用時(shí)，就會(huì)大大提高系統(tǒng)受到侵害的風(fēng)險(xiǎn)，威脅很可能正在迫近或正在發(fā)生。

危害指示器 (Indicators of Compromise) 是 AMP 的另一個(gè)功能，它能執(zhí)行更加深入的分析，以發(fā)現(xiàn)表現(xiàn)出受侵害癥狀的系統(tǒng)。此功能讓時(shí)間點(diǎn)檢測(cè)技術(shù)望塵莫及。通過在最初檢測(cè)到惡意軟件相關(guān)活動(dòng)后，持續(xù)對(duì)其進(jìn)行捕捉、分析和關(guān)聯(lián)，危害指示器可自動(dòng)完成分析和風(fēng)險(xiǎn)優(yōu)先級(jí)的確定。

圖 3. 危害指示器演示屏幕，顯示了表明系統(tǒng)可能已經(jīng)受到侵害但看似無害的事件。此功能非常重要，因?yàn)楦呒?jí)惡意軟件很少會(huì)“自投羅網(wǎng)”地與防病毒簽名完全匹配。

最后，當(dāng)惡意軟件在企業(yè)中扎穩(wěn)腳跟后，它通常會(huì)嘗試與 CnC 服務(wù)器進(jìn)行通信;如果惡意軟件是由攻擊者直接控制的，則會(huì)開始進(jìn)行一些偵測(cè)活動(dòng)，悄悄向其預(yù)期目標(biāo)接近。

AMP 會(huì)監(jiān)控受保護(hù)終端設(shè)備上的通信活動(dòng)，并與綜合安全智能分析數(shù)據(jù)進(jìn)行比較，以確定危害是否已經(jīng)發(fā)生。在必要的情況下，它會(huì)阻止該終端設(shè)備進(jìn)行通信，分發(fā)惡意軟件。此功能在針對(duì)未受企業(yè)網(wǎng)絡(luò)保護(hù)的終端設(shè)備(例如遠(yuǎn)程或移動(dòng)員工使用的系統(tǒng))控制惡意軟件擴(kuò)散方面，為安全人員提供了獨(dú)特的優(yōu)勢(shì)。不僅如此，文件軌跡和危害指示器功能還可以使用已捕獲的網(wǎng)絡(luò)活動(dòng)，幫助加快調(diào)查以及危害優(yōu)先級(jí)的確認(rèn)。#p#

出類拔萃的協(xié)同性：在網(wǎng)絡(luò)、安全網(wǎng)關(guān)、物理和虛擬終端，以及移動(dòng)設(shè)備上全面實(shí)施

安全控制不能孤軍奮戰(zhàn)。要抵御高級(jí)惡意軟件，就必須在網(wǎng)絡(luò)、網(wǎng)關(guān)和終端設(shè)備的防御措施與跟蹤威脅及補(bǔ)救活動(dòng)的管理控制臺(tái)之間，進(jìn)行大量的協(xié)調(diào)。思科提供包含綜合安全智能云、高級(jí)網(wǎng)絡(luò)分析和多個(gè)實(shí)施點(diǎn)的集成系統(tǒng)，幫助您的組織確保高級(jí)惡意軟件不會(huì)乘隙而入。

需要詢問 AMP 供應(yīng)商的問題

1. 你們能對(duì)安全網(wǎng)關(guān)和網(wǎng)絡(luò)、物理和虛擬終端，以及移動(dòng)設(shè)備上的惡意軟件進(jìn)行全面的攔截、跟蹤、分析和修復(fù)，并確定其根本原因嗎?

2. 你們?nèi)绾伪Ｗo(hù)游離于受保護(hù)網(wǎng)絡(luò)之外的設(shè)備?

3. 你們?nèi)绾未_定哪些設(shè)備已經(jīng)受到危害?

4. 你們?nèi)绾未_認(rèn)系統(tǒng)是否正在受到侵害?你們?nèi)绾芜M(jìn)行補(bǔ)救?

5. 你們是否支持使用自定義惡意軟件檢測(cè)規(guī)則來補(bǔ)救獨(dú)特的攻擊?具體方法是什么?

思科豐富的 AMP 功能以網(wǎng)絡(luò)為起點(diǎn)，幫助檢測(cè)并攔截任何外來的惡意軟件。當(dāng)每個(gè)文件進(jìn)入(或離開)網(wǎng)絡(luò)時(shí)，AMP 會(huì)生成文件指紋，然后咨詢 Sourcefire FireSIGHT® 中央管理控制臺(tái)，以確定該文件是否已被識(shí)別為惡意文件。

如果 FireSIGHT 控制臺(tái)未曾見過該文件，它會(huì)與綜合安全智能云進(jìn)行核對(duì)，快速確定該文件是否曾在綜合安全智能網(wǎng)絡(luò)中留下記錄。這種輕量級(jí)查找不會(huì)造成任何延遲。而且，與在沙盒中運(yùn)行網(wǎng)絡(luò)中的每個(gè)文件相比，此方法的可擴(kuò)展性也大大提升。對(duì)于已確定為惡意的文件，F(xiàn)ireSIGHT 控制臺(tái)會(huì)執(zhí)行文件軌跡功能，來探明受侵害的情景和范圍。

此外，也可以在每臺(tái)要保護(hù)的設(shè)備上部署輕量級(jí)的終端惡意軟件防護(hù)代理(FireAMP™ 連接器)，這樣，所有文件活動(dòng)都可以通過綜合安全智能云進(jìn)行檢查，識(shí)別出那些已知是惡意軟件的文件。FireAMP 連接器的作用不只是查找惡意文件，它還能檢測(cè)和阻止設(shè)備中的惡意軟件的行為(即使相關(guān)文件以前從未見過)，以此保護(hù)終端不受零日攻擊的威脅。FireAMP 連接器還會(huì)使用前面介紹的追溯性安全功能和文件軌跡功能來識(shí)別任何感染事件的范圍，并找出需要立即補(bǔ)救的設(shè)備。

如果確定文件可疑，AMP 會(huì)執(zhí)行更深入的分析。如前面所述，基于云的分析能準(zhǔn)確地確定文件的用途，一旦確定文件可疑，即會(huì)建立攻擊簡(jiǎn)檔，生成危害表現(xiàn)及其他屬性。您可以使用功能強(qiáng)大的大數(shù)據(jù)分析功能來搜索這些數(shù)據(jù)。

利用這些簡(jiǎn)檔，AMP 能為組織提供主動(dòng)防范惡意軟件感染的能力(見圖 2)。如果追溯性安全功能根據(jù)另一個(gè)環(huán)境中發(fā)生的事件確定某個(gè)文件存在惡意威脅，綜合安全智能云可以將這些確定的信息下發(fā)到您組織中的 FireSIGHT 控制臺(tái)，以便您在網(wǎng)絡(luò)或終端設(shè)備攔截這些惡意軟件，并與 AMP 社區(qū)中的其他成員一起獲得集體免疫保護(hù)。此外，如果本地管理員發(fā)現(xiàn)有本地化的攻擊，且需要立即采取措施，組織也可以建立自定義規(guī)則來阻止特定文件和 IP 地址。

FireAMP Mobile 連接器也依賴該綜合安全智能云，來實(shí)時(shí)地快速分析 Android 應(yīng)用中的潛在威脅。通過將可視性擴(kuò)展到移動(dòng)設(shè)備，您可以快速了解哪些設(shè)備受到感染，以及哪些應(yīng)用將惡意軟件帶入了系統(tǒng)。當(dāng)您需要對(duì)攻擊造成的影響進(jìn)行補(bǔ)救時(shí)，F(xiàn)ireAMP Mobile 中強(qiáng)大的控制功能可幫助您阻止特定應(yīng)用(加入黑名單)，讓您可以限制允許在訪問企業(yè)資源的移動(dòng)設(shè)備上使用的應(yīng)用。FireAMP Virtual 可將同樣的功能和高級(jí)惡意軟件防護(hù)擴(kuò)展到 VMware 虛擬實(shí)例。

在思科于 2013 年收購(gòu) Sourcefire 后，思科電郵和網(wǎng)絡(luò)安全網(wǎng)關(guān)現(xiàn)在也加入了 AMP 功能，用于增強(qiáng)在這些潛在進(jìn)入點(diǎn)對(duì)高級(jí)惡意軟件的檢測(cè)與攔截。關(guān)鍵的 AMP 功能包括上文所述的文件信譽(yù)和文件沙盒。此外，追溯性警報(bào)可以對(duì)穿越電郵和網(wǎng)絡(luò)網(wǎng)關(guān)的文件進(jìn)行不間斷分析，通過來自綜合安全智能云的實(shí)時(shí)更新隨時(shí)獲得最新的威脅等級(jí)動(dòng)態(tài)。一旦將某個(gè)文件識(shí)別為威脅，AMP 將將會(huì)對(duì)管理員發(fā)出警告，讓管理員一目了然地了解哪些人有可能已被感染以及何時(shí)被感染。這樣，客戶就可以在攻擊還沒來得及擴(kuò)散之前，就迅速識(shí)別并處理掉它們。

如我們之前所述，惡意軟件能從移動(dòng)設(shè)備、甚至虛擬系統(tǒng)開始，穿過安全網(wǎng)關(guān)和網(wǎng)絡(luò)，進(jìn)入組織內(nèi)部，直達(dá)終端設(shè)備。擁有對(duì)整個(gè)組織中所有活動(dòng)的全面可視性非常重要。通過使用全球安全智能網(wǎng)絡(luò)，并獲得對(duì)網(wǎng)關(guān)、網(wǎng)絡(luò)、終端設(shè)備、移動(dòng)設(shè)備和虛擬系統(tǒng)進(jìn)行感染檢測(cè)、攔截、跟蹤、調(diào)查和補(bǔ)救的能力，組織可以消除其他安全控制措施由于覆蓋范圍有限所導(dǎo)致的盲點(diǎn)。#p#

高級(jí)惡意軟件防護(hù)實(shí)例

要了解集成高級(jí)惡意軟件防護(hù)的功能，最好的辦法就是了解它如何在 Java 零日攻擊公開宣布的整整兩天之前就將其檢測(cè)出來。在本實(shí)例中，一位查看 FireAMP 控制臺(tái)(終端設(shè)備、移動(dòng)設(shè)備和虛擬連接器的管理控制臺(tái))的客戶在一些設(shè)備上檢測(cè)到一些奇怪的活動(dòng)，看起來像惡意軟件的行為方式。這位客戶通過綜合安全智能云對(duì)相關(guān)文件進(jìn)行分析，并獲得了明確的確認(rèn)：的確存在惡意軟件。

接下來需要確定攻擊所涉范圍并盡快進(jìn)行清理。該客戶使用了 FireAMP 軌跡功能來查找曾接觸過相關(guān)文件或曾表現(xiàn)出攻擊行為方式的設(shè)備。受影響設(shè)備清理完畢后，該客戶立即建立了自定義規(guī)則來阻止這些文件和相關(guān)的惡意軟件危害表現(xiàn)。

不過，客戶只會(huì)在短期內(nèi)需要這些自定義規(guī)則，因?yàn)檫@些文件和危害表現(xiàn)被添加到大數(shù)據(jù)分析引擎后，每位 AMP 客戶都能從隨之形成的集體免疫保護(hù)中獲益。當(dāng)他們自己的環(huán)境中出現(xiàn)同樣的攻擊時(shí)，他們會(huì)得到警報(bào)。由此，整個(gè) AMP 客戶群都可以提前得到保護(hù)，甚至早于零日攻擊的公開宣布。

小結(jié)

盡管業(yè)內(nèi)都知道需要?jiǎng)?chuàng)新性的解決方案才能檢測(cè)和補(bǔ)救高級(jí)惡意軟件攻擊，但無論采用的是傳統(tǒng)的終端保護(hù)套件，還是新的“銀色要點(diǎn)”防御，太多的組織仍然大意地將全部努力都放在檢測(cè)上。這樣必然會(huì)導(dǎo)致問題，業(yè)內(nèi)也在不斷地曝出關(guān)于數(shù)據(jù)丟失或泄露的重大新聞。

要想有機(jī)會(huì)有效抵御最新的攻擊，解決方案必須采用大數(shù)據(jù)分析功能來跟蹤在整個(gè)網(wǎng)絡(luò)中、在物理和虛擬環(huán)境中，以及在受保護(hù)終端和移動(dòng)設(shè)備上的文件交互和活動(dòng)。許多攻擊在傳統(tǒng)檢測(cè)方式工作期間會(huì)保持靜止?fàn)顟B(tài)，客戶需要有能力回顧歷史記錄，并以追溯方式將判斷結(jié)果更改為“惡意”，然后跟蹤這些文件在組織中的軌跡和表現(xiàn)，才能更有效地遏制和補(bǔ)救這些高級(jí)攻擊所造成的損害。

最后，高級(jí)惡意軟件防護(hù)必須密切關(guān)注的不僅僅是受保護(hù)的終端設(shè)備，還應(yīng)該包括網(wǎng)絡(luò)、移動(dòng)設(shè)備和虛擬系統(tǒng)，這樣才能提供一致的防護(hù)水平。沒有人能預(yù)測(cè)下一輪攻擊的目標(biāo)會(huì)是什么。

高級(jí)惡意軟件防護(hù)的好處包括：

● 可以使用一致的策略靈活部署到多個(gè)位置，包括終端設(shè)備、網(wǎng)絡(luò)、安全網(wǎng)關(guān)、移動(dòng)設(shè)備和虛擬系統(tǒng)

● 利用綜合安全智能云的優(yōu)勢(shì)識(shí)別并分析新出現(xiàn)的攻擊方式，甚至趕在業(yè)內(nèi)人士發(fā)現(xiàn)它之前

● 能夠追溯識(shí)別惡意軟件，并利用文件軌跡功能，在惡意軟件擴(kuò)散之前即找到您組織中的所有相關(guān)實(shí)例

● 可以加入 AMP 社區(qū)，獲得來自 Sourcefire VRT 的前沿研究成果，以及部署在全球數(shù)千客戶環(huán)境中的無數(shù)終端惡意軟件防護(hù)代理所收集的文件樣本，借此獲得集體免疫保護(hù)優(yōu)勢(shì)。