如何利用安全分析技术来检测高级恶意软件？（一）

几年前，有一家公司试图向我推销他们的最新产品，说这个产品可以帮我检测并阻止恶意软件感染企业系统。我礼貌地拒绝了，并解释说我的公司有很多工程师，不可能受到席卷互联网的恶意软件的困扰。而且我还告诉这家供应商，我们已经部署了企业级防病毒产品来应对这类问题。

不过最终我还是尝试了他们的试用版产品，设置它来捕捉离开交换端口分析器（Switched Port Analyzer）端口的边缘互联网流量。让我非常震惊的是，当我打开该设备并登录后，我才发现我们的问题有多么严重。我看到公司内有十多个系统都检测到 了恶意软件，尽管它们都安装了防病毒软件，并且更新了最新的病毒库。这些病毒感染都在忙着进行命令控制回调到世界各地的服务器，并可能已经存在一段时间 了，只是我们不知道。其中有些流量似乎是相当良性的链接欺诈，而其他恶意软件正在发送我们根本无法破译的加密数据。无论如何，很显然，我们存在问题，而且 必须采取行动。从此我开始接触安全分析技术。

恶意软件影响着我们所有人，无论我们的企业部署了怎样的防御措施。这是一种隐形和复杂的威胁，我们长久以来依赖的反恶意软件只是给我们制造了一个安全的幻觉。

在这篇文章中，我们将讨论检测和防止当今恶意软件、高级持续威胁（APT）、零日漏洞等所需要的不同类型的产品，并探讨如何将数据整合到安全分析技术中，以对企业面临的威胁提供一个新的更广阔的视图。

首先，可以说是最重要的，支持恶意软件为中心安全分析系统的技术是专门的高级恶意软件防御产品，正如上面描述的产品。就我而言，FireEye是我选择的供应商，因为其特别利用了虚拟化技术，另外Damballa、Bit9和很多其他供应商也提供类似的引人注目的产品。

FireEye的威胁防御平台可以实时分析流量，并限制恶意软件在虚拟机中进行进一步分析。该产品还能够寻找共同的恶意软件签名，它也能够基于系统的启发式行为进行检测。这在检测APT和零日攻击中尤为重要，因为其中根本不存在签名。

FireEye产品的一个缺点是，它只能检测连接到该设备覆盖网络的系统上的恶意软件。这是一个巨大的缺陷，为此，很多移动设备可能无法受到保护。这正是 Trusteer或Bit9等公司的基于代理的方法派上用场的地方。通过在每个端点安装代理，你可以保护设备--无论设备的位置：在办公室、家里或在路 上。

如果专有恶意软件防御系统不可行，你可能需要再看看你的入侵防御系统（IPS）。我注意到很多IPS供应商构建恶意软件检测规则到他们的产品中，其中有些非常接近专有高级恶意软件检测供应商提供的功能。

配置管理也是安全分析程序的关键组成部分。这里的重点是，你需要盘查关键系统（域服务器、应用服务器、Web服务器、数据库服务器等）上的关键配置和可执 行文件，因为攻击者通常会试图用新版本取代这些文件以保护他们在你环境中的立足点。Tripwire的开源版本是一个免费的数据完整性监控工具，这是个很 不错的工具，安全专业人士已经使用了很长时间。

我们的网络扫描工具在安全分析程序中发挥了很大的作用，这可能听起来有点奇怪。防止恶意软件感染环境的最好方法是通过有效的硬化。如果我们可以使用网络扫 描器来搜索网络中未打补丁和过时的系统，我们就可以在攻击者攻击它们之前进行修复。好消息是，因为有很多网络扫描供应商相互竞争，还发生了很多收购和并购 交易，产品之间的功能差别并不大。还有一些免费工具可以执行网络扫描，包括Nessus和OpenVAS，虽然与付费工具相比，它们有一定的局限性。