|
ESET使用三种方法来满足这些要求:一般签名,被动启发式以及高级启发式。
一般通常用来有效地识别和阻止类型已知的威胁。它考察某些操作与已知威胁的相似程度。
“我喜欢使用类推”Abrams说。“你一定在街上看到过狗,你一看就知道它是一条狗,但你不知道它是什么品种。如果你的工作就是认出狗,那么品种就无关紧要,但是把猫当成狗你就会遭到惩罚,这就是问题所在。我们见过足够多的bagels,mytobs,zotobs等等,当一个新的出现时,我们可以说,虽然没见过这个样品,但是我们知道它是一个mytob.”
启发式机制,相对地,是用来防御未知威胁的。“启发式机制会在扫描或者访问文件的时候分析它们,然后会观察它会采取什么操作。如果文件写入注册表并修改系统文件,那么它有可能是重要的安全补丁——但如果它还发送电子邮件,并且使用IRC(互联网转播对话),那么它就更加可疑了。再加上我们可能找到的一些其他这段代码采取的操作,我们就可以宣布这个文件很大可能上不是好的了。”
高级启发式更进一步地使用启发式机制,它包括“在病毒扫描器中建立沙盒,然后使用模仿技术来‘运行’要检测的程序,”Abram解释说。“这个方法让我们能够看到该程序究竟会做些什么。模仿技术使加密的恶意软件自己解密,或者使压缩的恶意软件自己解压缩,因此能够将程序暴露在签名检测和其他启发式检测方法的监控之下。”
“信息安全委外管理服务的各公司(MSSPs)必须使客户们相信他们不会阻碍常规商业活动的顺利进行——并且作为公司之外的组织,一旦出现此类情况,MSSPs能够迅速意识到并做出反应。”Gartner的网络安全及隐私小组的Kelly Kavanagh说。
随着互联网威胁的变异,IT系统专家和安全服务提供者们也随之改变了他们的响应策略。
在这个系列的第一部分中,我们介绍了网络威胁的表象变迁。而第二部分我们将关注专家们用来防御最新一轮冲击的策略。
越来越多的组织在开发全面的安全策略,并且在他们信息操作的整个范围内,实现了多种多样的网上以及按需求定制的安全应用和服务。
对快速、高效并且无干扰的保护方案的需求使一些安全系统开发者成为信息安全委外管理提供者(MSSPs)。除了自动或者按需递交补丁和系统的更新程序外,MSSP们还扩展了他们提供的安全管理服务的范围。
另外,像Verisign和Checkpoint Software这样的公司已经随同策略管理服务启动了系统化的、对各组织的安全风险剖析。
进化中的恶意软件
根据卡巴斯基实验室的半年安全回顾称,2006年前半年信息系统安全威胁发生了显著变化。每月新出现的恶意程序比去年同期增长了8%。
“越来越多的黑客使用窃取个人信息和电子帐户信息的木马程序,”美国卡巴斯基实验室的高级技术顾问Shane Coursen说。
“互联网犯罪的历史仍然比较短,”他告诉TechNewsWorld,“因此对窃取个人信息以及机密信息的程序的使用才刚刚开始;事实上,我们确实发现了攻击者们改良的攻击手段,他们哄骗我们运行他们的应用程序,访问他们的恶意网站等等。”
使用含有rootkit技术的恶意软件就是需要注意的一个方面,Coursen继续说。“Rootkits功能很强大,它使人们能够隐藏他们的恶意操作及程序。此类软件正在逐渐增多;但是黑客们开发此类病毒需要很长时间并花费很大精力。不同于病毒和木马,rootkits并不简单,也不是有点基本的脚本技术的人就能使用的。通常情况下,我们发现的都是带有一两个类似rootkits的基本特性的木马程序。”
最近几个月最危险的威胁趋势就是控制数据做抵押品。“恶意软件使用者使用一种程序修改受害者机器上的数据并且给用户发送勒索信。这些程序彼此十分相像,不是削弱受害机器的功能,就是阻止用户访问数据,”卡巴斯基实验室安全公告中公布道。
后门木马
今年前半年里,特洛伊木马在大多数情况下都是网络勒索者的最佳选择。每月新的恶意程序的数量——包括改良版——比去年同期的平均值增长了8%。
根据卡巴斯基的安全回顾,木马占了恶意程序中的很大比例。比起2005年的前六个月,卡巴斯基的数据显示病毒和蠕虫的数量呈现了轻微的下降(1.1%),木马是今年前半年恶意软件中新改良版本显著增长(9%)的唯一一个。“数量增多的木马程序很大程度上决定了恶意软件整体的增长,”作者称。
“各类木马程序中,最普通的就是后门(30%),木马-下载器(26%),Trojan-PSW(12%)以及木马-间谍(13%)。这些木马与其他的有何区别呢?答案很简单:他们的目的都是钱。这些木马是窃取个人信息和建立僵尸网络的关键元素。这就是为什么它们在恶意攻击者中最受欢迎:那些攻击者越来越多地成为由利益驱动的攻击者,”他们解释道。
使用恶意软件——通常是木马——来勒索是近来出现的威胁,他们补充说。“最危险的一个趋势就是有一类事件的增多,此类事件中恶意软件使用者用程序修改受害机器上的数据然后勒索用户。这些程序彼此十分相像,不是削弱受害机器的功能,就是阻止用户访问数据”
今年前半年,被用于勒索的木马的数量从2个增加到6个。在它们发展的巅峰时刻,木马攻击主要局限于俄罗斯和CIS(独联体)。但是7月底,这些软件的作者和使用者明显分歧了——类似的勒索案件在德国,英国以及很多其他国家相继出现。
进化中的MSSPs
近来,由于信息安全威胁的性质以及他们的日益进化,威胁防御措施几乎嵌入到了信息部门的所有操作环节。MSSPs的发展壮大也是直接结果之一。
“MSSPs开始提供覆盖管理周期中更多安全漏洞的服务,比如内部和外部的漏洞扫描;足够的威胁知识来识别出现的攻击;提高将数据资产与漏洞,威胁以及攻击联系在一起的意识;以及防御攻击的能力,”Gartner(NYSE:IT)互联网安全及隐私小组的Kelly Kavanagh告诉TechNewsWorld。
上一篇:Cisco 路由器安全配置必用10条命令
下一篇:防黑新方法 多种因素安全认证
|
精品推荐