科技厂商通常会将自己的解决方案归类为“下一代”,寄希望于习惯购买“上一代”产品的顾客会心痒升级。他们会促使Gartner之类的分析公司推荐“下一代”产品,这样就能把当前市场领导者挤进历史的垃圾桶里。毕竟,谁敢在Gartner说你需要“下一代”防火墙的时候还固守原来的那套呢?
然而,在杀毒软件上,“下一代”这种冠名方式,毫无意义。杀毒软件就是,也一直都是杀毒软件。今天的终端防护平台,通常都会定期更新病毒特征码和检测引擎。换言之,如果你已经有了一套终端防护解决方案,你就已经拥有了下一代杀毒软件(NG-AV)——就在每天早晨静静集成进来的“.dat”文件中。
然而,不幸的是,这还不够。在威瑞森《2015数据泄露调查报告》中,70%的数据泄露都是由受害公司无法检测出的恶意软件造成的。攻击者进化的速度,超出了终端防护平台(EPP)厂商跟进的能力。
检测,其实是个有缺陷的防护策略,它注定会失败。图灵在1936年的停机问题就给出了明证。尽管NG-AV厂商宣称有了新的算法,你信吗?如果真有,那他们的产品必须比现有的表现好得多啊。但他们没有,所以,他们开始编故事,说即使是新算法,也是有局限性的嘛。
NG-AV 就是“虚假AV”,我们都知道那些所谓的局限性:
漏报:攻击者都在你系统里畅游了你还一无所知。
误报:更惨,让安全团队急于修复根本没受攻击的系统,既浪费时间金钱,又将他们的视线从真正的攻击上拉偏了。塔吉特数据泄露事件就是个极好的例子。
如今的网络态势,日均有30万个恶意软件新变种被发现,其中大多都用多态和加密来规避最新的检测方法。超过97%的恶意软件具多态性,专门针对特定终端开发。
根本没办法训练检测器,也做不到足够快地分发新病毒的特征码或检测引擎。检测技术面临着一个无法解决的数学难题:
“n字节的恶意软件,需要2的8n次方字节的空间才可以建模找出隐藏在多态性中的攻击。想搞定30字节的恶意软件,解码器需要分析匹配2的240次方个可能组合。我们可以做个形象的对比:宇宙中大约存在2的80次方个原子。”
顶着NG-AV王冠的伪装者们通常都披着机器学习、人工智能或深度学习的华丽外衣。但实际上,现有主要玩家都已经在用这些技术了——一个新人大约是不太可能在算法上领先一步的。而且,成名玩家同时还具有笼罩全球的优势和大把的研发预算。事实真相仅仅是:在检测界,根本就没有什么所谓的“下一代产品”——问题的根源在于:恶意软件执行之前就能被完美检测出的断言根本就是错的。
事后侦测才是关键。因为终端可能只是被所谓的“NG-AV”保护着,所以公司企业没准儿已经被人攻破而不自知。采用工具快速发现受攻击迹象才是真正重要的事。与“用检测来保护”的思路不同,事后侦测依赖于对每台终端的持续性低级监视,将应用执行、网络活动和文件系统/存储活动事件关联起来,查找数据泄露或者攻击者在内网巡游的迹象。
企业内集中监视数据,将数据发送至云端(如果规则允许的话),或者终端上及终端间事件的自主关联……有很多方法都可以让你自动建立起异常活动的精确视图,让你能够找出被攻击的迹象。
数据泄露避无可避。应用隔离能减小你的攻击界面。基于安全的虚拟化也是一种强有力的结构化组织方式,能够通过网络细分和数据中心工作负载虚拟化来减小攻击界面。甚至简单的网络分段,都可能拦住类似塔吉特遭到的那种攻击。在用户终端上,微虚拟化采用任务间CPU隔离,严格履行最小权限原则。硬件虚拟化则能切实实现隔离和安全转换。虚拟服务器和微虚拟化的终端可以防护它们自身、其上运行的应用程序、以及整个企业网络——通过减小攻击界面和丢弃应用程序每次执行时产生的临时性副产品,也就达到了无论是否遭到攻击,都能自动修复系统的目的。
隔离则彻底改革了事前检测:通过虚拟化形成的硬件隔离开辟了攻击检测新篇章——因为执行环境是如此安全,以致可以放心大胆地放任恶意软件运行。虚拟化允许对内存、文件系统、注册表改动和网络流量进行详尽的记录。这样的系统只报告已验证了的攻击,不用担心误报,还能提供有关攻击的完整详尽的鉴定报告,可用于在其他终端上针对同类攻击进行自动的实时的搜寻。
“下一代杀毒软件”比传统杀软强不了多少,但通过虚拟化安全实现的最小化权限原则,却能在数据泄露之前就封死出入口,还能告诉你未知的0-day攻击,让你能在内网中快速搜寻其他攻击迹象。
相关阅读
