久久精品国产久金国产思思,亚洲欧美在线中文字幕不卡,日本不卡免费高清一级视频

好消息！你已經(jīng)擁有下一代殺軟了

責任編輯：editor005

作者：nana

2016-04-25 14:57:25

摘自：安全牛

科技廠商通常會將自己的解決方案歸類為“下一代”，寄希望于習慣購買“上一代”產(chǎn)品的顧客會心癢升級。根本沒辦法訓練檢測器，也做不到足夠快地分發(fā)新病毒的特征碼或檢測引擎。

科技廠商通常會將自己的解決方案歸類為“下一代”，寄希望于習慣購買“上一代”產(chǎn)品的顧客會心癢升級。他們會促使Gartner之類的分析公司推薦“下一代”產(chǎn)品，這樣就能把當前市場領(lǐng)導者擠進歷史的垃圾桶里。畢竟，誰敢在Gartner說你需要“下一代”防火墻的時候還固守原來的那套呢？

然而，在殺毒軟件上，“下一代”這種冠名方式，毫無意義。殺毒軟件就是，也一直都是殺毒軟件。今天的終端防護平臺，通常都會定期更新病毒特征碼和檢測引擎。換言之，如果你已經(jīng)有了一套終端防護解決方案，你就已經(jīng)擁有了下一代殺毒軟件(NG-AV)——就在每天早晨靜靜集成進來的“.dat”文件中。

然而，不幸的是，這還不夠。在威瑞森《2015數(shù)據(jù)泄露調(diào)查報告》中，70%的數(shù)據(jù)泄露都是由受害公司無法檢測出的惡意軟件造成的。攻擊者進化的速度，超出了終端防護平臺(EPP)廠商跟進的能力。

檢測，其實是個有缺陷的防護策略，它注定會失敗。圖靈在1936年的停機問題就給出了明證。盡管NG-AV廠商宣稱有了新的算法，你信嗎？如果真有，那他們的產(chǎn)品必須比現(xiàn)有的表現(xiàn)好得多啊。但他們沒有，所以，他們開始編故事，說即使是新算法，也是有局限性的嘛。

NG-AV 就是“虛假AV”，我們都知道那些所謂的局限性：

漏報：攻擊者都在你系統(tǒng)里暢游了你還一無所知。

誤報：更慘，讓安全團隊急于修復根本沒受攻擊的系統(tǒng)，既浪費時間金錢，又將他們的視線從真正的攻擊上拉偏了。塔吉特數(shù)據(jù)泄露事件就是個極好的例子。

如今的網(wǎng)絡(luò)態(tài)勢，日均有30萬個惡意軟件新變種被發(fā)現(xiàn)，其中大多都用多態(tài)和加密來規(guī)避最新的檢測方法。超過97%的惡意軟件具多態(tài)性，專門針對特定終端開發(fā)。

根本沒辦法訓練檢測器，也做不到足夠快地分發(fā)新病毒的特征碼或檢測引擎。檢測技術(shù)面臨著一個無法解決的數(shù)學難題：

“n字節(jié)的惡意軟件，需要2的8n次方字節(jié)的空間才可以建模找出隱藏在多態(tài)性中的攻擊。想搞定30字節(jié)的惡意軟件，解碼器需要分析匹配2的240次方個可能組合。我們可以做個形象的對比：宇宙中大約存在2的80次方個原子。”

頂著NG-AV王冠的偽裝者們通常都披著機器學習、人工智能或深度學習的華麗外衣。但實際上，現(xiàn)有主要玩家都已經(jīng)在用這些技術(shù)了——一個新人大約是不太可能在算法上領(lǐng)先一步的。而且，成名玩家同時還具有籠罩全球的優(yōu)勢和大把的研發(fā)預(yù)算。事實真相僅僅是：在檢測界，根本就沒有什么所謂的“下一代產(chǎn)品”——問題的根源在于：惡意軟件執(zhí)行之前就能被完美檢測出的斷言根本就是錯的。

事后偵測才是關(guān)鍵。因為終端可能只是被所謂的“NG-AV”保護著，所以公司企業(yè)沒準兒已經(jīng)被人攻破而不自知。采用工具快速發(fā)現(xiàn)受攻擊跡象才是真正重要的事。與“用檢測來保護”的思路不同，事后偵測依賴于對每臺終端的持續(xù)性低級監(jiān)視，將應(yīng)用執(zhí)行、網(wǎng)絡(luò)活動和文件系統(tǒng)/存儲活動事件關(guān)聯(lián)起來，查找數(shù)據(jù)泄露或者攻擊者在內(nèi)網(wǎng)巡游的跡象。

企業(yè)內(nèi)集中監(jiān)視數(shù)據(jù)，將數(shù)據(jù)發(fā)送至云端（如果規(guī)則允許的話），或者終端上及終端間事件的自主關(guān)聯(lián)……有很多方法都可以讓你自動建立起異?；顒拥木_視圖，讓你能夠找出被攻擊的跡象。

數(shù)據(jù)泄露避無可避。應(yīng)用隔離能減小你的攻擊界面。基于安全的虛擬化也是一種強有力的結(jié)構(gòu)化組織方式，能夠通過網(wǎng)絡(luò)細分和數(shù)據(jù)中心工作負載虛擬化來減小攻擊界面。甚至簡單的網(wǎng)絡(luò)分段，都可能攔住類似塔吉特遭到的那種攻擊。在用戶終端上，微虛擬化采用任務(wù)間CPU隔離，嚴格履行最小權(quán)限原則。硬件虛擬化則能切實實現(xiàn)隔離和安全轉(zhuǎn)換。虛擬服務(wù)器和微虛擬化的終端可以防護它們自身、其上運行的應(yīng)用程序、以及整個企業(yè)網(wǎng)絡(luò)——通過減小攻擊界面和丟棄應(yīng)用程序每次執(zhí)行時產(chǎn)生的臨時性副產(chǎn)品，也就達到了無論是否遭到攻擊，都能自動修復系統(tǒng)的目的。

隔離則徹底改革了事前檢測：通過虛擬化形成的硬件隔離開辟了攻擊檢測新篇章——因為執(zhí)行環(huán)境是如此安全，以致可以放心大膽地放任惡意軟件運行。虛擬化允許對內(nèi)存、文件系統(tǒng)、注冊表改動和網(wǎng)絡(luò)流量進行詳盡的記錄。這樣的系統(tǒng)只報告已驗證了的攻擊，不用擔心誤報，還能提供有關(guān)攻擊的完整詳盡的鑒定報告，可用于在其他終端上針對同類攻擊進行自動的實時的搜尋。

“下一代殺毒軟件”比傳統(tǒng)殺軟強不了多少，但通過虛擬化安全實現(xiàn)的最小化權(quán)限原則，卻能在數(shù)據(jù)泄露之前就封死出入口，還能告訴你未知的0-day攻擊，讓你能在內(nèi)網(wǎng)中快速搜尋其他攻擊跡象。

下一代殺軟下一代產(chǎn)品