Ryan+Francis
要想更好地保护企业,还需要行为分析和人工智能以及其他技术 用于保护企业系统免受恶意软件攻击的防病毒软件和流感疫苗有些相似。虽然您应该拥有它,但它不能保证您不会感染流感的每一种病毒。 WhiteHat Security威胁研究中心副总裁Ryan O'Leary说:“防病毒软件能够很好地阻止已知的威胁,但问题已经不仅仅是病毒了。网络或者应用程序中的恶意软件和漏洞会带来更大的损失。” 更糟糕的是,和传统的防病毒软件相比,新威胁实在是太狡猾了。 O'Leary说:“作为一个行业我们应该认识到,思想上把一切都交给防病毒软件和防火墙会让您自己非常容易遭受损失。企业应对其安全计划采取更全面的方法,开始认真对待有可能危及整个公司的应用程序、网络和恶意软件问题。” Exabeam首席执行官Nir Polak说,恶意软件只是安全泄露事件的第一步——它的工作就是骗取信任,并用来创建能够访问企业网络的新的有效身份。 Polak说:“所以,检测出恶意软件是件好事,但这总是太晚了。当防病毒系统检测到恶意软件时,黑客已经从计算机中脱身,以新身份继续在网络上作恶。反恶意软件是必要的,但这根本不是一个完整的解决方案。” Glasswing Ventures的Rick Grinnell表示同意:“正如疫苗不能对症下药,患者很容易被传染一样,防病毒解决方案如果没有匹配上恶意软件特征码,那么用户将受到攻击。” Grinnell认为企业现在应把行为分析、人工智能和其他技术联合起来进一步增强防御,从而加强防病毒保护能力。 Grinnell说,15到20年前,赛门铁克(诺顿)和McAfee防护的是主流Wintel环境中少量传播很慢的病毒,因此,防病毒和特征码匹配机制工作的不错。 随着互联网的发展,软件漏洞越来越脆弱,而攻击技术越来越复杂,以感染数百万台机器的ILOVEYOU蠕虫为代表,2000年初爆发了恶意软件攻击。即使在那时,防病毒软件供应商也提供了十年内依然有效的相关保护措施。 Grinnell说,现在大约有一半的违规行为无法被防病毒软件检测到。为了应对更复杂的威胁,防病毒软件供应商添加了行为和白名单选项(其中一些难以部署)进行试验,以阻止恶意活动。 Grinnell补充说,这只会刺激攻击者设计出更复杂的方法。 怎么办? 为能够及时应对更新的攻击,出现了更加复杂的机器学习和人工智能防护技术。 Grinnell说:“这些解决方案能够迅速学习并适应变化很快的恶意软件类型,能发现‘藏在干草堆中的针,而恶意行为通常伪装隐藏在正常的数据流中,这些数据流是经过身份认证的用户帐户使用经核准的应用程序时所发出的。” 他补充说:“那么如果疫苗与现实世界中的病毒不匹配怎么办?这就是为什么行为分析是解决难题关键所在的原因。行为分析能发现数据流的激增或者异常——超出了正常范围界线。” 他说:“更好地了解现有数据将有助于企业作出更明智的决定——传统的防病毒软件是做不到的。” 他说,现在另一个问题是利用漏洞可以攻击越来越多的各种系统,其中很多系统没有能力运行任何本地安全软件。这就是为什么安全防护必须分层的原因,一些在端点上运行,其他的则在网络上运行。 真正的好方法不仅需要查看流入和流出的数据,还要根据外部威胁信息查看用户、机器、应用程序和数据的行为活动。 Grinnell说:“安全市场上一些较新的供应商正在利用先进的人工智能技术来查找最复杂的恶意软件——防病毒软件永远也匹配不上其特征码,在恶意软件发起攻击前阻止攻击。其他供应商正在使用行为模型,加上众筹数据和人类专家团队,尽早发现漏洞,以便在出现重大损失前快速做出响应。” 谁的保护最好?Grinnell指出,Cylance、Crowdstrike和Carbon Black,还有赛门铁克和McAfee有望重新得到重视。Palo Alto Networks和IBM等其他公司也在他们的产品中加入了先进的机器学习和人工智能技术。 还没结束 防病毒软件供应商并没有打算将其产品退出市场。 Check Point Software的安全解决方案副总裁Avi Rembaum说:“实际上,各种药物还是很多的。如果出现了新病毒,现有药物还不能治疗这些新病毒。而且,如果某个人被传染了老病毒,而这个人没有产生抗体,那么现有药物依然是有效的。” Rembaum认为防病毒软件还是应该保留在安全工具箱中。也许没有比青霉素和阿司匹林更合适的了,它们现在仍然有效,在可预见的未来也会继续有效,即使不一定能治疗最新的流感变种。 Rembaum说:“重要的是要记住,安全总是多层面的。需要先进的威胁预防措施来阻止高级攻击。”他指出,Check Point SandBlast就是这种技术的一个例子。 CyberX工业网络安全副总裁Phil Neray说,防病毒软件和防火墙都不会轻易消亡。他说:“只是它本身有不足之处,因为它不能防御现代的威胁,例如有针对性的攻击、无文件恶意软件和多态恶意软件等。” Neray说:“防病毒软件还没有消亡的一个领域是非传统端点,例如物联网、工业物联网和工业控制系统(ICS)设备——因为它尚未涉足这一领域。这些设备没有足够的机器资源来运行防病毒软件代理,因此需要依赖其他的防御措施,例如网络行为分析和无代理漏洞评估等来保护它们。” WatchGuard Technologies首席技术官Corey Nachreiner说:“依靠签名或者已知的恶意软件特征码来阻止威胁已经不行了。因此,尽管基于签名的防病毒解决方案可能会消亡,但一般来说,防病毒解决方案还是像以前一样重要。” 新瓶装旧酒 他说,今天,即使一些不太老练的犯罪分子也能有办法让老的恶意软件改头换面,至少在二进制层面上。他们采用的逃避技巧有“包装和隐藏”。使用包装工具,攻击者把以前很容易检测到的、众所周知的恶意特洛伊木马在二进制层面上将其打乱,这样原来的防病毒签名无法再匹配它。 Nachreiner说:“...虽然特洛伊木马没变,但是它现在可以逃避基本的防病毒检测。此外,攻击者让这一过程自动执行,其恶意软件传送服务器在针对新的受害者时不断地重新包装恶意软件。” 结果:每天会出现数十万个新的惡意软件样本,基于签名的检测防护对此就无能为力了。他说:“...业界已经认识到,被动反应式的、基于特征码的恶意软件检测技术无法阻止恶意软件。新的反恶意软件控制措施应更多地关注主动检测技术。” Cybereason首席产品官Sam Curry说:“答案在于能够发现是谁在发起攻击的新技术。就像盖房子需要钉子一样,企业需要防病毒软件;但是,不管是盖房子的钉子还是IT防病毒软件,都不应该成为负担。” 他说,防病毒可以让人更“卫生”,但实际的防疫工作也会出现在别的地方。阻止攻击者,降低企业风险的最佳方式还与其他因素有关。 Curry说,行为数据(来自端点、网络、用户和应用程序)是关键,端点行为数据最为重要。在这些方面就需要人工智能了。 他说:“人工智能这个词已经有点滥用了,而要想在网络对抗中保持不败,应非常重视最基本的学习、自适应软件和算法,包括从机器学习和数据挖掘技术到更复杂的专家系统和人工智能等。现在,攻击者在网络对抗中享有所有的优势和不对称。行为数据,结合自动化和行之有效的机器学习、数据科学和人工智能是扭转这种不对称的关键,也让防护者在网络对抗中占据优势。” Ryan Francis是《计算机世界》的主编。可以通过rfrancis@idgenterprise.com联系他。 原文网址: http://www.computerworld.com/article/3197545/security/for-enterprise-protection-antivirus-software-is-no-longer-enough.htmlendprint