在過去幾年中，反惡意軟件已經(jīng)逐漸失去顯著效果，但眾多CISO仍然把它作為保障案例的主要方案。之所以堅(jiān)持將反惡意軟件作為企業(yè)終端保護(hù)規(guī)劃中的組成部分，通常是為了迎合合規(guī)性以及監(jiān)管委托(例如PCI DSS與HIPAA)的要求。是繼續(xù)把反惡意軟件保留在安全“最佳”實(shí)踐清單當(dāng)中，還是利用一套效果尚不明確的新機(jī)制取代這位在終端安全領(lǐng)域奮戰(zhàn)了三十年的老將?我想答案是顯而易見的。

無論出于何種原因，目前的情況已經(jīng)愈發(fā)明顯——攻擊者們已經(jīng)開始在與反惡意軟件之間的貓鼠游戲中占得先機(jī)，特別是在Web惡意軟件防御領(lǐng)域——谷歌的測試表明，即使是表現(xiàn)最出色的殺毒產(chǎn)品也只能檢測出25%的惡意代碼【詳見：反惡意軟件走向末路：最高檢測率僅25%】。

然而，如果基于簽名的反惡意軟件已經(jīng)不再合適、那么什么樣的工具有能力頂替上來?這樣的工具是否真實(shí)存在?我給出的答案是肯定的。

與所有安全機(jī)制一樣，這些替代方案也不可能做到放之四海而皆準(zhǔn)。目前我們可以選擇多種工具及方案幫助自身實(shí)現(xiàn)更高級別的終端安全水平，其作用范圍涵蓋數(shù)據(jù)中心與員工兩大方面。不過根據(jù)每家企業(yè)所面臨的具體挑戰(zhàn)，實(shí)施過程也可能會有所區(qū)別。

內(nèi)容過濾: 由于85%的惡意軟件通過網(wǎng)絡(luò)傳播(其中最大的威脅源自下載)，所以我們必須為自己的企業(yè)提供一定級別的內(nèi)容過濾機(jī)制。目前得到廣泛部署的過濾工具主要分為兩類：

一是網(wǎng)絡(luò)代理。 主推此類方案的廠商規(guī)模已經(jīng)達(dá)到兩位數(shù)，而且這項(xiàng)技術(shù)也已經(jīng)存在了相當(dāng)長的一段時間。Blue Coat Systems以及Websense等公司都提供訂閱式服務(wù)，根據(jù)具體政策對目標(biāo)網(wǎng)站加以放行或者阻斷。另外，這些服務(wù)還提供情報(bào)與動態(tài)更新，從而阻止用戶訪問已經(jīng)曝光的惡意站點(diǎn)。需要強(qiáng)調(diào)的是，這些產(chǎn)品無法檢測零日漏洞;由于采用基于簽名的反惡意軟件機(jī)制，此類產(chǎn)品在識別惡意站點(diǎn)并推出簽名方面存在一定延遲。盡管網(wǎng)絡(luò)代理僅僅作為我們惡意軟件防御鎧甲上的連接部分，但它的地位仍然非常重要。

二是DNS過濾。OpenDNS等工具能夠通過黑名單主動阻止用戶訪問已知惡意網(wǎng)站，從而幫助用戶遠(yuǎn)離安全威脅。它還提供白名單服務(wù)。OpenDNS用戶能夠與數(shù)以百萬計(jì)其他用戶共同合作，從而更快掌握每天新增的三萬個受感染網(wǎng)站的情報(bào)。其使用過程非常簡便，又有多家使用該服務(wù)的大牌客戶作為防御前沿保護(hù)網(wǎng)絡(luò)用戶。最重要的一點(diǎn)?這些服務(wù)并不需要搭配昂貴的硬件設(shè)備。

基于瀏覽器的安全機(jī)制: 網(wǎng)絡(luò)瀏覽器組件，例如微軟的Smart Screen(作為IE 8及更新版本的組成部分)，能夠有效過濾用戶對惡意網(wǎng)站的訪問。根據(jù)微軟的說法，其產(chǎn)品到目前為止已經(jīng)成功阻止了超過十億次惡意代碼下載嘗試。谷歌CAMP則是另一項(xiàng)舉措，允許Chrome用戶充分利用谷歌對惡意網(wǎng)站的規(guī)模化識別能力與動態(tài)知識儲備。

基于主機(jī)的異常/取證工具: 這類工具在市場上的表現(xiàn)還不夠成熟，但卻能夠帶來出色的新型防御能力，從而幫助企業(yè)保護(hù)那些更為珍貴的資產(chǎn)，其中包括數(shù)據(jù)庫服務(wù)器、財(cái)務(wù)系統(tǒng)、電子郵件服務(wù)器以及高管與其他高風(fēng)險用戶的業(yè)務(wù)系統(tǒng)等。從理論角度講，每個終端都擁有配套代理機(jī)制，而且會首先對系統(tǒng)的正常活動進(jìn)行基準(zhǔn)設(shè)定(例如應(yīng)用程序運(yùn)行、網(wǎng)絡(luò)連接/共享開啟、內(nèi)存調(diào)用以及監(jiān)控開啟狀態(tài)下的文件訪問等情況)。一旦基準(zhǔn)設(shè)定完成，這些代理會繼續(xù)對系統(tǒng)進(jìn)行監(jiān)控，從而尋找那些可能屬于惡意行為的不規(guī)則活動。

某些產(chǎn)品供應(yīng)商還會與其它廠商及服務(wù)供應(yīng)商合作，VirusTotal就是其中的典型代表。他們會在用戶從互聯(lián)網(wǎng)下載應(yīng)用程序、二進(jìn)制文件、電子郵件甚至U盤數(shù)據(jù)時自動上傳可疑或者未知二進(jìn)制代碼，并進(jìn)行自動分析。

這些工具在出現(xiàn)安全事故后也能發(fā)揮顯著作用。在一般的違規(guī)狀況下，取證工具需要在違規(guī)發(fā)生后才被安裝在受影響系統(tǒng)當(dāng)中。但某些來自Carbon Black、Mandiant以及Guidance Software的Encase等新銳廠商的工具會被預(yù)先安裝并在必要時提供違規(guī)前系統(tǒng)中發(fā)生的所有活動，從而幫助技術(shù)人員了解違規(guī)事件的產(chǎn)生原因以及違規(guī)事件造成的影響。

虛擬化保護(hù): 在過去三年中，還有另一種技術(shù)日漸成熟并蓄勢待發(fā)，這就是虛擬化或者隔離機(jī)制。這些技術(shù)并沒有繼續(xù)沿用已經(jīng)暴露出嚴(yán)重局限的簽名或者黑名單方案。

通過虛擬化與隔離機(jī)制，Bromium公司希望能憑借自己的微虛擬機(jī)系統(tǒng)將計(jì)算機(jī)上的每個進(jìn)程與每個應(yīng)用程序進(jìn)行分別隔離。這些微虛擬機(jī)在本地主機(jī)內(nèi)形成云體系，并進(jìn)一步按照進(jìn)程的關(guān)聯(lián)性進(jìn)行劃分，例如網(wǎng)絡(luò)瀏覽器、辦公套件以及電子郵件等等。

除此之外，F(xiàn)ireEye公司還推出了一款虛擬化容器，允許安全專業(yè)人士在受控環(huán)境下對可疑惡意軟件進(jìn)行評估——這樣一來分析過程將不會受到其它未知風(fēng)險或者不相關(guān)代碼的影響。分析師們能夠重現(xiàn)可疑攻擊過程，分析惡意代碼如何影響相關(guān)虛擬化系統(tǒng)，從而匯總出其行為基準(zhǔn)。這套基準(zhǔn)信息將成為重要依據(jù)，幫助安全專家判斷惡意代碼是否會對其它系統(tǒng)及網(wǎng)絡(luò)產(chǎn)生類似的影響。

由于惡意軟件始終處于不斷發(fā)展之中，過度依賴于單一惡意軟件防御系統(tǒng)或者同一套方案組合就顯得非常愚蠢。我們不能想當(dāng)然地認(rèn)為目前正有效保護(hù)寶貴IT資產(chǎn)的工具能夠在五年后仍然發(fā)揮同樣理想的作用。因此，請以向新技術(shù)過渡為出發(fā)點(diǎn)逐步遠(yuǎn)離基于簽名的反惡意軟件——請記住，我們必須不斷重新評估當(dāng)前威脅環(huán)境并做出相應(yīng)調(diào)整，這才是保障安全的不二法門。

【本文編譯自searchsecurity.techtarget.com，原文標(biāo)題"Malware defense revisited How to improve Web based malware detection"(原文鏈接：http://searchsecurity.techtarget.com/tip/Malware-defense-revisited-How-to-improve-Web-based-malware-detection)，核子可樂協(xié)助編譯。】