|
【原创翻译,版权所有,如欲转载,请注明原创翻译作者,及文章出处(赛迪网)。违者,赛迪网将保留追究其法律责任的权利!】
在任何好的军事行动中,专门知识都是识别、阻止以及成功防御安全攻击的关键因素。对IT专家来说,这就意味着随时了解黑客团体中流行什么技术。
对当今的为信息所驱动的团体来说,安全威胁正在不断地变化和进化这个事实非常令人沮丧。像蠕虫、木马以及Rootkit攻击这些入侵机制,不断地进化成更多发达的形式,并且根据攻击的数量和频率盛衰更迭。
Zero-day漏洞攻击以及rootkit攻击很难被发现,因此也就很难防御。它们被越来越多地嵌入到应用软件中——无论是在PC,MAC或者移动操作系统中。它们的目的就是窃取有价值的信息,而不是扰乱系统或者进行网络破坏行为。
“如今,据分析家们估计,大体上所有安全攻击中的75%都是针对应用程序的,”Verisign的产品市场总监Scott Magrath,告诉TechNewsWorld。“但是,企业安全的全部花销中只有10%花在应用程序安全上。我们希望在未来几年里这种情况能够得到显著地改善——部分会由诸如PCI(支付卡行业数据安全标注)这样关注更多应用程序安全的法规来促进。这要求用户将他们的投资从网络级安全扩展到应用程序级别。”
由于此类征兆,人们对第三方安全管理服务,还有系统安全风险分析及管理方案的需求也不断地增长。预先保护应用程序和数据资源的必要性同样促使人们对启发式机制的开发和应用——启发式是用来监测和防御入侵的实验式的、基于判断规则的机制——以及安全产品和服务中其他形式的人工智能。
战争游戏
鉴于攻击者,骗子以及其他网络罪犯与安全系统开发者的每日不断竞争,网络空间可比作计算机与网络的战争游戏——不同之处在于它是真实的。随着新的漏洞被发现和攻击,安全服务提供者以逐渐增强的方式不断更新它们的响应系统,类似于武器装备竞赛。
安全术语以及概念,或者思维方式,都经常是军事基调的。例如,ESET的技术教育总监Randy Abrams这样说道:“攻击者总能够在它们允许安全产品获取到样本之前,检验他们的代码对安全产品的作用效果。它们有令人惊讶的高效率。”
“因此,”他对TechNewsWorld说,“用户们有选择性地访问网站以及下载应用程序是非常重要的。”
“保持跟操作系统和应用软件的卖主发布的安全补丁同步是保持安全的至关重要的一步。一辆汽车含有数个要求安全操作的系统——最重要的还是取决于操作者。NOD32(ESET的安全方案旗舰产品)提供的一层保护,就像安全带提供的一样。汽车仍然得由用户驾驶,以及正确地使用刹车和加速器,不然他们还是会受伤。但这不能说明安全带不是重要的安全工具。”他评论说。
在任何好的军事行动中,专门知识都是识别,阻止以及成功防御安全攻击中的关键因素。对IT专家来说,这意味着随时了解黑客团体中流行什么技术。
“恶意软件研究者监控着这些威胁可能来源的数个区域。监控合法卖主所发布的安全信息也是解迷行动的一部分,”Abrams指出。“通过识别他们报告的漏洞,很有可能猜测出新威胁大概的样子。”
启发式:它是否看起来像是恶意软件……
如果潜在的威胁能够早点被发现,对它们的防御会变得更简单。这就是新型启发式机制诞生的原因。“在IT安全领域,启发式过去都是根据威胁如何动作来识别它,而不是明确地识别出已经发现了的威胁。如果规则设计得很得当,启发式机制将既能够识别出已知威胁,又能够识别出新品种的威胁,”Abrams解释道。
“通过提取潜在漏洞攻击的动作元素,提供对潜在威胁的启发式监测是完全可能的,”他补充说。“这有助于用户在开发者开发了消除漏洞的补丁后使漏洞停止被攻击。”
作为识别新威胁的基本手段,启发式机制已经成为了当今安全系统的核心元件。例如,Abrams指出启发式机制已经成功阻止了注入式的Zero-day攻击。
“启发式机制不仅可以识别可疑操作,它还能够判断好和坏,”他指出。
“当冲击波蠕虫病毒出现时,ESET的用户们早已由NOD32中的启发式机制妥善地保护好了。NOD32还检测出许多其它威胁——因而使用户避免蒙受数据,信息以及隐私的损失,”Abrams 说。
“好的防毒软件会使用不同的监测恶意软件的方法,”卡巴斯基实验室的高级技术顾问Shane Coursen告诉TechNewsWorld说。
“通常,最基本的方法是字符串扫描,它常被用来检索已知的恶意软件”他说,“启发式增强了字符串扫描方法的能力,使其能够监测到很可能是恶意软件的那部分。两种方法结合可以形成更强大的保护。”
好的启发式设计中的关键元件,Coursen继续说道,“当然就是那些充分考虑现有的恶意软件感染方法以及媒介的设计了。并且重要的是,假阳性一定要遵循绝对最小值。尽管通常是字符串扫描需要不断更新,但是更新也可以提供新的启发式机制规则。
“更新——保证防毒产品和病毒库是最新的——在所有情况下都是至关重要的,”他强调。
“真正协调的操作是设置可疑动作的阈值,”ESET的Abrams继续说。“没有什么操作是只有恶意软件才会用的,合法的程序有时也会使用一些操作。诀窍是结合足够的细节证据来找到不好的那些,而让好的程序继续发挥他们的功能。”
学习并且有目的性
随着恶意软件以及它们的潜在威胁的不断加剧,快速的、自发的响应对任何安全系统都至关重要。
“一些产品使用低智能方法阻止恶意软件,它要求用户理解‘一个程序正在写入主机文件’的含义,然后决定这是否是适当的操作,”Abrams指出。“一些情况下,它——如果用户选择不正确的话,合法应用程序将会被停用。这个方案越低智能化,它对网络以及那些不是计算机技术专家的用户来说越没有用处。”
上一篇:Cisco 路由器安全配置必用10条命令
下一篇:防黑新方法 多种因素安全认证
|
精品推荐