大數(shù)據(jù)分析重新定義惡意軟件策略
在與惡意軟件的戰(zhàn)爭中����,良好的情報一直是決定性因素��。但威脅乘以指數(shù)�,"數(shù)據(jù)分析師"分析信息可能變得和收集它一樣的重要。
未來的反惡意軟件是一個懸而未決的問題��。由于產(chǎn)生的惡意軟件數(shù)量日益龐大�,在過去應(yīng)對感染最常見的處理方法——基于簽名的文件掃描,正變得越來越無效����。但尚無一個更好的策略,很多企業(yè)的防病毒產(chǎn)品仍然在很大程度上依賴于它��。
但是事情正在發(fā)生變化���。殺毒軟件廠商都開始實現(xiàn)保持探索提前預(yù)知惡意軟件的動向(或至少緊跟在它們不太遠(yuǎn)的后面)��,更深入地追蹤惡意軟件——它正在做什么�,它從哪兒來����,它希望得到什么,預(yù)測未來它可能在哪里涌現(xiàn)����,都是必要的。
多倫多的安全咨詢和托管服務(wù)提供商 Sentry Metrics 公司首席執(zhí)行官 Dave Millier 說��,許多廠商都不再注重未來“一次一個(one at a time)”的威脅�����,而是開始收集數(shù)據(jù)���,并推測在將來的更廣泛的趨勢���。他表示,是相對較新的技術(shù)����,使這一切成為可能��。
“你看到更多的數(shù)據(jù)收集發(fā)生在網(wǎng)絡(luò)層面���,在那里你正在從安全角度嘗試使用大量的信息,我們過去沒有能夠使用�����?!?
與他一起工作的供應(yīng)商之一是Sourcefire,該公司已經(jīng)基本上開始將查看惡意軟件當(dāng)成是一個“大數(shù)據(jù)”的問題����。Sourcefire公司最近推出了一款基于云的企業(yè)安全產(chǎn)品,名為FireAMP�,以查看“模糊(fuzzier)”惡意軟件簽名擴大安全網(wǎng),更廣泛的全球模式監(jiān)測可疑活動���。FireAMP還使用Sourcefire稱為“機器學(xué)習(xí)(machine learning)”的方式�,為潛在威脅的可能屬性建立模型�����。
值得注意的是,F(xiàn)ireAMP能夠回顧在網(wǎng)絡(luò)上的爆發(fā)期間發(fā)生的事情����,不管出于企業(yè)安全的目的,還是出于法律原因���,這都是一項重要功能。
“我們的重點已經(jīng)做出重大的轉(zhuǎn)變�,通過我們基于云的平臺切入我們稱之為端點的斗爭記錄,”Sourcefire云技術(shù)集團(tuán)高級副總裁 Oliver Friedrichs 說���,“我們基本上是跨端點記錄文件的活動���,能夠在云中存儲文件活動的防篡改記錄?���!?
通過FireAMP,他說����,連接器安裝在終端,每當(dāng)用戶安裝或執(zhí)行應(yīng)用程序����,將數(shù)據(jù)發(fā)送到云中�����。
“在未來����,如果有違反��,我們可以告訴你威脅實際上從哪里進(jìn)來�����,它到哪里去��,patient zero(第一傳染源)是誰���,例如����,第一個人受到感染���,這種威脅實際上如何傳播和造成多大的傷害�。”
另一個反惡意軟件廠商�����,趨勢科技公司�����,也投資于新的情報能力�����,利用云基礎(chǔ)設(shè)施和在線社區(qū)的力量�。趨勢科技公司在加拿大的產(chǎn)品和服務(wù)總監(jiān) Tom Moss �,介紹了一個“以火救火戰(zhàn)略(fight fire with fire strategy)?�!?
“僵尸控制器是一種云的使用方式�,或使用互聯(lián)網(wǎng)控制大量的機器,”他說��,“我們利用的機器和網(wǎng)絡(luò)�����,我們的客戶收集有關(guān)惡意軟件如何行為,正在試圖和誰溝通的情報�。”
還是在這里����,"數(shù)據(jù)分析師"收集數(shù)據(jù)供日后分析。趨勢科技運行一種感染源的背景檢查����,他說:“這個域名在哪里注冊?這個人曾經(jīng)注冊過什么樣的域名?與這些域名相關(guān)聯(lián)的地址變化有多頻繁?”
Millier 說,分析正在成為對惡意軟件的斗爭的一部分����,IT安全行業(yè)同樣面臨著和其他人一樣的大數(shù)據(jù)的挑戰(zhàn)。把大量的數(shù)據(jù)帶到一個地方監(jiān)視�����,是一個健全的戰(zhàn)略�,他說,但很難進(jìn)行有意義的分析����,對大量的原始資料。
“為了能夠有效觸發(fā)�,為了能夠有效地通過搜索���,它確實需要被索引,并且需要進(jìn)行排序����,”Millier說,“因此你失去以非結(jié)構(gòu)化保持靈活性的辦法��?!?
Millier說,總體而言����,我們正在使用的安全數(shù)據(jù)收集和分析的各種工具�,已在近幾年大大改善,情報的深度和廣度是大得多�����。
“你得到在網(wǎng)絡(luò)中實際上發(fā)生的事情����,你在系統(tǒng)層面看到它,你在網(wǎng)絡(luò)層面看到它��,你在防火墻看它,甚至在應(yīng)用程序?qū)用婵此?��,?dāng)然能夠更快更好地識別威脅�����?����!?
CDA數(shù)據(jù)分析師考試相關(guān)入口一覽(建議收藏):
? 想報名CDA認(rèn)證考試��,點擊>>>
“CDA報名”
了解CDA考試詳情�;
? 想學(xué)習(xí)CDA考試教材�,點擊>>> “CDA教材” 了解CDA考試詳情;
? 想加入CDA考試題庫�,點擊>>> “CDA題庫” 了解CDA考試詳情;
? 想了解CDA考試含金量��,點擊>>> “CDA含金量” 了解CDA考試詳情����;
京公網(wǎng)安備 11010802034615號
經(jīng)營許可證編號:京B2-20210330