在不断变化的恶意软件环境中,快照有什么用?

  • 时间:
  • 浏览:27
  • 来源:it300
在不断变化的恶意软件环境中,快照有什么用?

在处理高级恶意软件和目标攻击时,企业必须扩展其方法以解决现代威胁的整个生命周期

在我之前的专栏中,我写道,高级恶意软件和有针对性的攻击正在彻底改变我们的需求保护我们的系统。在进入点关注可见性和阻塞以保护系统已经不够了。

今天的攻击达到了一个新的复杂程度,爆发是不可避免的。就像臭名昭着的银行抢劫犯Willie Sutton,他伪装成邮递员,维护人员,甚至是一名警察,进入目标金融机构并躲避俘虏几十年,现代恶意软件可以伪装成逃避防御的合法应用程序。后来的时候突然发生,你不知道你在寻找什么。要控制和阻止损害,您需要更广泛的IT安全方法,以实现持续的可见性和控制。因为一旦你“看到它”,那么你就可以“控制它”并“保护它”。

想一想今天的航空运输安全程序是如何演变的,因为我们已经变得更加了解潜在的威胁。机场安全检查站对于防止我们的飞机威胁的过程至关重要。然而,增加联邦空警和持续培训飞行人员以发现空中可疑行为对于维护安全也至关重要。在通过初始检查点时,个人可能看起来完全“正常”并逃脱通知。但是行为改变了(即,他或者随着时间的推移,她可能会变得越来越焦虑,激动或愤怒。

现在考虑今天的恶意软件防御。像沙箱这样的技术与机场安检门有着类似的“快照”安全方法。它提供了基准级别的保护,但它无法识别在沙盒环境中显示为“正常”的复杂恶意软件 - 无法执行或识别它在沙箱中运行并修改其行为。然而,与我们的航空运输安全计划不同,该计划继续监控检查站以外的人员,一旦文件被视为“干净”并离开沙箱就不再可见。此时,恶意软件已渗入网络,问题从威胁预防转移到威胁清除;没有ongoi可见性,爆发是不可避免的。

为了应对高级恶意软件和有针对性的攻击,组织必须扩展他们对恶意软件问题的处理方法,以解决现代威胁的整个生命周期 - 从入口点到传播,再到感染后的修复。显然,您仍需要包含恶意软件检测的第一道防线;在进入点将文件识别为恶意软件并相应地进行补救的能力是基本的第一步。但是,您还必须确定将可见性和控制扩展到传播和感染后修复的技术。让我们仔细研究恶意软件生命周期的这些阶段以及可以帮助增强保护的技术。

传播

恶意软件通过第一个检查点可能会立即改变其行为,但可能不会持续几天,几周甚至几个月。您需要能够持续监控文件并识别和分析行为中可疑变化的解决方案,自动交叉检查其他上下文信息,如带宽使用情况,时间和文件移动,以获得更高的智能。持续的文件可见性和分析对于了解如何控制爆发并阻止未来的攻击至关重要。

感染后修复

一旦确定了可疑行为,您需要能够根据最新威胁情报自动评估文件并回溯警告恶意软件的解决方案。您无法承受系统性能延迟所以可以使用的技术在没有完整系统扫描的情况下,分析云来分析单个文件将节省计算成本。接下来你需要了解违规的范围 - 文件的轨迹是什么?通过了解文件触及的系统以及是否已执行,可以获得可操作的情报来控制爆发。有了这种洞察力,您可以快速采取措施来修复 - 隔离以前认为安全但现在被视为恶意软件并执行清理的文件。

恶意软件检测是任何防御策略的关键组成部分,但它不是故障安全的。如果没有连续的文件分析和回顾性警报,您将一直处于黑暗中,直到您的系统开始显着动摇。当攻击变得明显时,你将被挑战知道如何控制和制止损害。

猜你喜欢

希腊最高法院批准俄罗斯对比特币嫌疑人的请求

希腊最高法院批准俄罗斯对比特币嫌疑人的请求希腊最高法院上周五表示,一名据称使用比特币数字货币洗钱40亿美元的俄罗斯人应该被引渡到俄罗斯,一位法院消息人士说。AlexanderV

2019-02-01

塑造美国网络防御的创造性破坏和自满情绪

塑造美国网络防御的创造性破坏和自满情绪创造性的破坏,思维的范式转换取代现有的秩序,可能是一个难以捉摸的概念,但它作为人类行为驱动力的力量是不可否认的。在硅谷和其他美国的高层科技

2019-02-01

为什么我(非常)担心PRISM

为什么我(非常)担心PRISM美国国家安全局正在利用我们的数字生活,监控语音电话,电子邮件,社交媒体以及谁知道什么。美国国家安全局方面的人说,这是为了国家安全;它已经停止了恐怖

2019-02-01

先发优势:为什么新的恶意软件最初会打败反恐

先发优势:为什么新的恶意软件最初会打败反恐虽然反病毒解决方案可以有效对抗广泛使用的恶意软件,但是有一个很好的机会,新的恶意软件会躲过那些解决方案。最近有重大安全事件的报告激增,

2019-02-01

台湾银行抢劫与朝鲜黑客有关

台湾银行抢劫与朝鲜黑客有关最近针对台湾一家银行的网络抢劫事件已被安全研究人员联系到一个据信在朝鲜境外活动的臭名昭着的威胁组织。黑客利用SWIFT全球金融网络大致窃取来自台湾远东

2019-02-01