恶意软件防御：如何改善基于Web的恶意软件检测

近几年，反恶意软件虽 然还是CISO（首席信息安全官）所关注的安全问题，但它已经逐渐失去了其有效作用。是否把反恶意软件作为企业端点保护项目的组成部分，取决于合规性及监管条例的要求，比如PCI DSS和HIPAA，也取决于反恶意软件是否包含在安全“最佳”实践列表中，还取决于它如何取代近三十年来作为传统端点安全性首选工具的不确定性。

不管是什么原因，事实已经越来越明显，攻击者已经成功地研究出可以避免先进的反恶意软件检测的恶意软件，特别是基于Web的恶意软件防御。

一些惊人的事实：

• 根据2012年Sophos的报告，85%的恶意软件（病毒、蠕虫、间谍软件、广告软件和木马）都来自网页，偷渡式下载被认为是最大的网页威胁。
• Sophos的报告还显示，每天有3万个网站被感染，80%是被黑客攻击的合法网站，以至于网络罪犯还可以通过使用这些网站来托管恶意代码。
• 内容不可知恶意软件保护（CAMP）是谷歌公司今年早些时候内置在谷歌浏览器内的一种恶意软件检测组件，每月可以探测到超过5百万个恶意软件下载。 CAMP可以检测到99%的恶意软件，优于四家主要安全厂商基于Web的防病毒产品：McAfee公司的SiteAdvisor、Symantec公司的 Safe Web、Trend Micro的Site Safety Center和谷歌自己的Safe Browsing。谷歌最近的一项比较调查显示，这些产品加起来可以检测出它们所遇到恶意代码的40%，表现最出色的的产品只能检测出25%的恶意代码。
• 测试之后，谷歌的CAMP项目挑选出2200种未知二进制文件并提交给VirusTotal，VirusTotal是一家促进创建新发现恶意代码防病毒签名的服务机构。10天之后，发现CAMP所检测出的99%二进制文件，上述防病毒产品只检测出了20%。

目前恶意软件防御的缺点还没有造成特别明显的过失，这些数据只是说明基于签名的反恶意软件已经难以对付恶意软件。现阶段，我们已经不能信任传统的防病毒产品可以检测恶意软件。那么如果基于签名的反恶意软件工具不合适，那么什么是合适的工具呢？它们真的存在吗？其实我认为它们存在，带着一些警告。这也就是我们在这篇文章中要讨论的问题。

恶意软件检测替代品

和所有的安全产品一样，这个解决方案也不是一个完全适用的方法。对于终端来说，不管是在数据中心防火墙内还是员工手中自带设备，都有很多种工具和方法可以用于实现一个更高级别的安全性。但是根据每个组织所面临的不同挑战，所付出的努力会不同。

内容过滤：因为85%的恶意软件是通过Web传输（配上偷渡式下载成为最大的威胁），这些恶意软件要求企业提供更高级别的内容过滤。企业应该广泛部署两种关键的防御工具：

• Web代理：提供Web代理的产商不少，而且这种技术也已经存在相当长的一段时间了。像Blue Coat Systems和Websense提供基于订阅式服务，这样可以提供基于策略的允许或阻止网站访问。此外，这些服务提供情报和动态更新，以阻止用户访问已知的恶意站点。需要说明的是，这些产品不能检测零日漏洞，而由于这些产品带有基于签名的反恶意软件，在不良网站识别和签名检测时会有延迟。虽然Web代理 可能只是恶意软件防御装备中的一个环节，但是它们非常重要。
• DNS过滤：Open DNS这样的工具可以通过黑名单域名，积极地阻止用户访问已知的有害网站，这样用户就不能浏览有害网站。这样的DNS过滤工具也提供白名单服务。Open DNS利用数百万用户提供的数据，来整合出关于每天检测出的3万个新站点的更快情报。DNS过滤实现方式很简单，有许多大牌客户都使用这种服务作为保护 Web用户的第一道防线。DNS过滤最明显的优点是，这种服务并不要求部署昂贵的硬件设备。