Sophos实验室:网络攻击侦测的领
先者
随着恶意软件攻击变得越来越复杂和难以捉摸,安全公司必须以更高的智慧,灵活性和
速度加以应对。这也是SophosLabs不断努力的目标。
曾几何时,防病毒软件公司的注意力主要集中在识别与恶意
软件相关的签名上。
然后攻击者发动多态攻击在每台被感染
的计算机上生成恶意软件的唯一版本,从而使得静态检测的
效果大打折扣。
一些多态攻击很容易规避。举例来说,电子邮件过滤基本可
以预防通过电子邮件附件方式传送的攻击。
但是就当下而言
最危险的攻击都是由分布在整个网络中的复杂攻击链组件组
成的。从今年的报告来看,他们已经采用了功能强大的新技
术来抵御检测。
我们采用集成数个保护层的方式作为对策。
举例来说,我们
将重点放在检测和阻断托管漏洞开发工具包和恶意内容的网
站。我们建立了针对检测开发工具包组件的检测层,包括模
糊JavaScript重新定向,利用Java的JAR文件和存在风险的文
件等。就其本身而言,没有一个单独的层可以实现完美防御
的;但将他们整合使用就非常有效了。
我们也正在研究如何才能做得更好。
SOPHOS 2014年度安全威胁预测报告
24
Learn more
SophosLabs
我们专注于基于内容的检测(即将被下载的有关文件信息与
他们信息来源的网站结合在一起进行检测分
析)。独立来看,一个文件或它的源站点可能都不够可疑。
但将它们结合在一起分析,他们往往存在与威胁关联的微妙
疑点会触发我们的软件采取行动(且不会引发风险报警)。
对于每一个保护层都失效的极少数情况,我们会增加另一个
防御的终极层:运行时间检测。我们寻找那些恶意软件有可
能执行的信号。
例如,当一个程序发生一些合法程序很少会
有的异动,我们会将这个异动与之前与执行有关的分析结合
起来。当这个可能存在疑点的文件被下载时可能会提生我们
的怀疑度,导致我们立即将其阻止。
我们网络安全设备的新版本使用类似技术来阻止设备行为的
方式说明有可能感染恶意软件。
举例来说,对于可能被僵尸
网络控制的设备,Sophos UTM 9.2不仅会检查网络数据包和
确定试图到达非法域的终端,而且还能识别通过HTTP从僵
尸网络转发到被感染终端的恶意配置文件。
当然,由于被感染的C&C web服务器和恶意软件会以极快
的速度发生改变,因此Sophos的产品目前可以提供即时的云
更新。.
Sophos实验室管理着目前处于前沿地位的攻击者所需的巨量
数据。
每一天我们都会捕捉到来自全世界数以百万计的终端
设备的数十亿的数据点。我们构建了一个最先进的国家级大
数据基础设施,来帮助我们快速转换这些数据。这会涉及到
巨量来自受保护终端和服务器的信息,从中识别出新出现的
攻击;还要收集二进制文件,URL和遥测来帮助我们开发更
好的保护措施。
就我们使用的技术而言,我们的大数据基础设施主要是围绕
Hadoop构建的。这个开源软件是基于率先由谷歌和雅虎提
出的想法。供诸如脸谱,推特,易趣,当然还有Sophos公司
这样拥有巨量数据需要立即进行分析的企业使用。
SOPHOS 2014年度安全威胁预测报告
25