高级恶意软件在被发现和被消除之前其实已经活跃很久了。与此同时,在未被发现期间,这些软件对系统和组织已造成重大破坏。
高级恶意软件是网络世界里最新、最具潜在破坏性的威胁。它们隐秘,具有针对性且极具“耐心”。一些知名的恶意软件尽管通常带有易于识别的签名,但通过不断变化总能逃过一般识别模式的防御。此外,它们通常专注于特定目标,并在达到目的之前“小心翼翼”,尽量减少在网络上的“踪迹”。可以说,高级恶意软件在被发现和被消除之前其实已经活跃很久了。与此同时,在未被发现期间,这些软件对系统和组织已造成重大破坏。
针对高级恶意软件如上特殊性,传统网络安全解决方案的开发方式不再百分之百的有效。基于“签名”方法的整体解决方案对于捕获那些已知恶意软件高效准确,但仅靠这些方法显然不足以使机构或组织得到充分保护。
那么,我们应该如何应对这种高级恶意软件?我想先谈谈目前普遍存在的对高级恶意软件解决方案的两大误解,继而分析怎样才是最有效的方式。
误解一:高级恶意软件的主要问题在于如何识别
正如前面所分析的高级恶意软件的特性,传统的解决方案已经无法满足我们的需求,因此需要另辟蹊径。目前,应对这种威胁的一个常见方法是一种基于“行为”的技术,称为沙盒技术。
沙盒是一种强大的离线查找工具,可将未知或可疑文件隔离在一个虚拟环境里,允许它们在其中充分“表演”,就好像它们已达到目标;而沙盒内置的设备会监控文件的“一举一动”。如果疑似病毒确认具有威胁性,那么它则无法在隔离的虚拟环境里产生真正威胁。沙盒技术创造出了一个相对安全的环境,可以用来测试可疑文件。此外,由于沙盒无需在分析前了解文件情况,即无需“签名”,因此它成为了一项识别高级恶意软件的强大技术。
但是,“沙盒”也有其局限性。例如,许多沙盒技术只能在既定操作系统的通用版本上运行,并非是客户实际操作环境的真正影像。这就可能导致对可疑文件行为的错误假设。这种局限性在某种程度上限制了它们捕获高级威胁的能力。
但这种基于行为的方法在识别大量高级威胁方面仍表现得相当有效,因此市场对该项技术反响热烈。然而,正是这种热烈反响产生了一个共同的传言——高级恶意软件的主要问题在于如何识别。
事实上,识别高级恶意软件非常重要,但是真正的挑战是如何处理高级恶意软件,阻止并修复其造成的伤害。
沙盒技术是一项功能,而非产品,识别高级恶意软件只是其中的一个步骤,而非解决方案。虽然传统的解决方案通常无法识别高级恶意软件,但它们却具有良好的防护能力。沙盒的局限是只能识别威胁,而不能进行阻止和修复,因此,为了真正地抵御高级恶意软件,沙盒必须配有阻止威胁并修复其所造成的损害的工具。如果没有这些附加功能,安全行业只是解决了问题的一部分,而将大多数工作留给了客户。
误解二:沙盒可以隔离恶意软件
对恶意软件的分析往往是复杂且耗时的,因此沙盒并不是一项实时技术。事实上,大多数沙盒只能对文件复本进行分析,而原始文件则被发送到目标终点。所以即使发现一个可疑文件是恶意的,实际文件早已到达终点并造成损害。
