近年來,端點安全領域的評估發生了快速變化,特別是與檢測率有關。在大多數情況下,檢測率的測量依賴于可以從公共或私有存儲庫容易檢索到已知的惡意軟件。
端點安全解決方案通過使用各種功能(如哈希散列,簽名,啟發式算法,以及基于機器學習的模型的黑名單)逐漸提高其檢測率的準確性,主要針對的是已知的惡意軟件。此外,這些解決方案還包括基于深度學習的模型,可掃描文件(靜態)或查看進程或機器(動態)的行為。
盡管端點安全解決方案提高了已知惡意軟件的檢測率,但是,在檢測未知的惡意軟件方面仍然存在問題。未知惡意軟件實例的數量不斷增加。每天都會出現新的變種,這使得研究人員難以在規避技術上保持領先地位。
讓研究人員對新變種如此棘手的原因是,它們通常是原始惡意軟件二進制文件的修改版本。通過勒索軟件修改涉及安全廠商可能簽署的功能,從硬編碼字符串開始,C&C服務器的IP/域名,注冊表項,文件路徑,元數據甚至互斥體,與加密文件相關的證書,偏移量和文件擴展名。它也可以在代碼本身上,例如使用諸如多態性的技術,其中操作碼在保持原始功能的同時被改變,其中添加了無用的代碼段來混淆和改變結構的順序。提供新的惡意軟件的主要方法是不同的,從哈希修改開始,或通過FUD打包,加密,多態或變質,或重寫一些惡意軟件代碼。
除了攻擊者可能用于創建這種突變和相同惡意軟件的其他變種的上述方法之外,還可以生成新版本的現有惡意軟件或新的惡意軟件系列,以實現相同的目的。可以使用惡意軟件提供的新功能來定義現有惡意軟件實例的新版本,從而改變其業務邏輯。另一種技術是應用新的攻擊向量或逃避技術來繞過端點安全性的當前簽名。另外,一個新的惡意軟件系列可以從頭開始,或者基于另一個惡意軟件的源代碼。例如,Hidden Tear或EDA2是許多新的勒索軟件系列的基礎的開源勒索軟件。
那么這些新變種如何影響基礎架構的安全性?在攻擊中使用未知的惡意軟件大大增加了網絡犯罪分子成功的可能性,因為它允許黑客以更少的嘗試更智能地工作,從而獲得更大的成功。此外,網絡邊緣的持續破壞以及訪問內部網絡的設備數量的增加進一步使安全更加復雜化。在當今云計算,移動,物聯網和數據中心的視野中,網絡安全工具必須對所有網段和環境提供更嚴格的控制。由于傳統沙箱技術對處理延遲造成了影響,企業必須采用新技術,提供更快的速度和更強的預防技術,采用行為分析來防止惡意軟件在開發階段之前部署。
盡管越來越多的未知惡意軟件實例和新的變種仍然存在問題,組織可以采取一些措施和步驟來評估端點安全性,以確保其優化進行檢測。
首先,重要的是驗證解決方案不僅僅依賴于哈希黑名單,這在現實世界中容易繞過。即使將單個字節嵌入到PE文件的末尾,對文件的一個小的改變也可以改變哈希值而不損害其功能。驗證解決方案可以檢測到新的惡意軟件也是至關重要。即使這樣的樣本(即最近發布的新的惡意軟件)是已知的,直到最近也沒有被發現。因此,當解決方案需要時間來檢測這樣一個新系列的惡意軟件時,這是一個糟糕的信號。
為此,有大量的公共存儲庫帶有惡意軟件。但是請記住,這些存儲庫通常包含許多非惡意軟件文件,這些可能是良性的或是潛在不需要的應用程序(在評價方面可能有較低的優先級)。因此,組織不能假設惡意軟件是正確的文件分類。或者,組織可以通過從互聯網上的發布或從Alient Vault OTX等威脅情報源中查找樣本來自己捆綁這樣的存儲庫。請記住,盡可能使存儲庫多樣化,這很重要:捆綁盡可能多的不同系列的樣本,因此其結果是有代表性的。
最終,主要目標是測試新的未知的惡意軟件。基于可用的惡意軟件源代碼創建突變是評估端點安全解決方案的一個絕佳選擇。
京公網安備 11010502049343號