越来越多利用零时差漏洞的针对性攻击和目标定点攻击等各种未知的Web威胁,正日益成为CIO们的安全困扰。
对于网络安全,很多大型企业的CIO总是会发牢骚:我们把网络安全放在了第一位,每年都花几十万的预算采购安全产品,防火墙、IPS、IDS等等,为什么这么坚固的城墙总还是漏洞不断呢?
没办法,互联网时代的Web威胁就是这样。尤其是非常规的Web威胁更不好对付。越来越多利用零时差漏洞的针对性攻击和目标定点攻击等各种未知的Web威胁,正日益成为CIO们的安全困扰,那么该如何防御呢?
启发式查杀
如今,病毒的发展表现得越来越“逐利性”。在Web2.0的发展背景下,出现了很多间谍软件或者网络钓鱼,它们要么通过用户下载共享软件的方式,偷偷潜入用户电脑并窃取敏感信息,要么先放一个诱饵网站,引诱用户输入银行帐号密码等信息。
另外一种零时差攻击也表现出强烈的利益驱使,它是黑客利用刚刚发现的系统漏洞,在尚未被修补上的时机发起的攻击。
所以说,很多大型企业往往会成为零时差漏洞的针对性攻击和目标定点攻击的主要威胁目标。对此,很多安全厂商都推出了能够在有效补丁发布前保护系统不受未知威胁攻击的安全软件,但是,从查杀病毒威胁的方式来说,却存在不同的思路。
启发式与基于行为的病毒分析方式就是其中一种。
它不是定义病毒文件,而是通过运算法则去查找反常的行为或者文件。启发式查毒检查潜在的恶意软件是依靠分析分析是否有值得怀疑的行为,比如与内存有关的可疑行为。另外,基于行为的病毒分析,则观察程序是否有典型的恶意软件的行为,比如启动emali传播垃圾邮件,它是鉴定程序是否有害,看它们做什么而不是包含什么。
现在,大多数主流的反病毒软件都拥有一种或者同时拥有两种分析方式。有测试表明,利用此种方式对使用一个月未更新的病毒库成功识别出20%到50%的病毒。不过,启发式与基于行为的病毒分析容易引起误报。
客制化病毒码
事实上,对于那些未知Web威胁所采用的定向攻击的手法,形成的病毒并不会大规模传播,普通病毒数据库很难收集到它们的病毒样本,因此,这些定向攻击的病毒也就很难被防病毒软件侦测并查杀。
另外一种有效的方式,则是依靠提供量身定做的客制化病毒码,使安全防护走在新病毒的前面,以主动抵御的方式则可快速有效地进行病毒查杀,从而让未知Web威胁带来的危害降低到最小。
趋势科技推出的Trend Micro Hosted Discover(TMHD)就是一个实例。这种针对未知Web威胁的主动式服务,通过为企业用户量身打造客制化病毒码,从而为不同企业形成差异化、针对性的网络安全防护。
具体而言,Discovery是对集中管理网络环境中的客户端电脑进行实时过滤和可疑代码的样本自动搜集,将收集到的样本传回至趋势科技MOC反病毒响应服务中心。
MOC中心的专家则利用他们病毒历史数据的研究,进一步追踪病毒的感染途径和网络感染来源,然后及时发布客制化的病毒码,对用户系统进行快速分析和确认,最终迅速通过China pattern的病毒特征码部署为全网所有其他客户端实施保护,阻断已被检测到的最新威胁在网络内扩散传播。
对于未知的Web威胁而言,这种通过客制化病毒码的方式,其实是一种主动式的防御保护。应该说,从CIO们的安全维护角度出发,主动总比被动来得好。